Положение об обработке и защите персональных данных
Обновлено:01 февраля 2023 г.Редакция 2.0
1. ВВОДНЫЕ ПОЛОЖЕНИЯ
1.1. НАЗНАЧЕНИЕ
Настоящий документ устанавливает:
- цели обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, используемых способов обработки персональных данных;
- перечень целей обработки персональных данных в ИСПДн;
- программное и техническое обеспечение комплекса задач, выполняемых ИСПДн;
- состав информационного обеспечения ИСПДн;
- состав технологических операций по сбору, регистрации, подготовке, контролю, отображению, блокировке и удалению персональных данных в ИСПДн.
1.2. ОБЛАСТЬ ДЕЙСТВИЯ
Настоящий документ распространяется на структурные подразделения ООО «АНТХОС», использующие в своей деятельности персональные данные. Настоящий документ рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних организационных и методических документах ООО «АНТХОС», а также для учета положений документа в договорах, на основании которых возможно получение, обработка, хранение, передача, уничтожение персональных данных.
1.3. ПЕРИОД ДЕЙСТВИЯ И ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ
Плановая актуализация настоящего документа проводится не реже чем 1 раз в год.
Внеплановая актуализация настоящего документа проводится в обязательном порядке в следующих случаях:
- при внесении существенных изменений в структуру или конфигурацию программно-аппаратных средств ИСПДн;
- при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты персональных данных;
- при изменении категорий обрабатываемой информации в ИСПДн ООО «АНТХОС»;
- при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся информационной безопасности в ООО «АНТХОС»;
- при изменении условий эксплуатации ИСПДн ООО «АНТХОС».
Решение о внеплановой актуализации настоящего документа принимает руководитель ООО «АНТХОС». Ответственность за поддержание настоящего документа в актуальном состоянии несет Ответственный за безопасность ПДн.
2. 2. ГЛОССАРИЙ
2.1. ТЕРМИНЫ И ОБОЗНАЧЕНИЯ КОРПОРАТИВНОГО ГЛОССАРИЯ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ | Любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). | |
ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ | Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. | |
ОПЕРАТОР | Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. | |
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. | |
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ | Обработка персональных данных с помощью средств вычислительной техники Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. | |
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. | |
БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). | |
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. | |
ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. | |
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. | |
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
2. СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ
ИСПДн - Информационная система персональных данных
ОС - Операционная система
ПДн - Персональные данные
ПО - Программное обеспечение
ПФР – Пенсионный фонд России
ПЭМИН - Побочные электромагнитные излучения и наводки
СЗПДн - Система защиты персональных данных
3. ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ОБЩИЕ ПОЛОЖЕНИЯ
Оператор персональных данных: ООО «АНТХОС» (далее, Оператор ПДн).
Адрес: г. Москва
Правовым основанием обработки персональных данных являются Конституция РФ, Трудовой кодекс РФ № 197-ФЗ от 30.12.2001 г., Федеральный закон РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г., Федеральный закон РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другие правовые акты РФ.
Целями обработки персональных данных Оператором являются:
- исполнение условий трудовых договоров с работниками Оператора;
- исполнение условий договоров, сторонами которых являются субъекты персональных данных (при этом персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектами персональных данных);
- хранение персональных данных субъектов, имеющих когда-либо с Оператором трудовые отношения (в целях исполнения законодательства РФ по архивному хранению);
- фиксация в целях безопасности Оператора однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
- обезличенные ПДн;
- персональные данные, разрешенные субъектом персональных данных для распространения;
- персональные данные, позволяющие идентифицировать субъекта персональных данных;
- персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Обработка специальных категорий персональных данных Оператором не производится.
Оператор производит обработку персональных данных следующих субъектов ПДн:
- 1) работников Оператора;
- 2) субъектов, персональные данные которых получены Оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- 3) субъектов, имеющих когда-либо с Оператором трудовые отношения (пенсионеры, уволенные);
- 4) субъектов, однократно проходящих на территорию, на которой находится Оператор, в целях обеспечения мероприятий по борьбе с терроризмом.
Трансграничная передача ПДн Оператором не производится.
3.2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
К персональным данным работников (а также бывших работников) Оператора, исполнителей услуг по договорам гражданско-правового относятся:
1) Личные данные работников Оператора:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес по прописки и фактического проживания;
- семейное положение;
- образование;
- профессия (специальность);
- сведения о трудовом и общем стаже;
- сведения о воинском учете;
- доходы;
- номер контактного телефона;
- страховое свидетельство государственного пенсионного страхования;
- сведения о состоянии здоровья, относящиеся к вопросу выполнения работником трудовой функции;
- данные об изображении лица;
- ИНН
2) Условия Трудовых договоров, заключенных с работниками Оператора.
3) Сведения об уровне заработной платы работников Оператора, за исключением сведений о системе оплаты труда.
Сведения о своем семейном, социальном, имущественном положении работник предоставляет Оператору по своему желанию.
К персональным данным субъектов, имеющих с Оператором договорные отношения, стороной которого является субъект ПДн, относятся:
- фамилия, имя, отчество;
- дата рождения;
- адрес регистрации;
- электронный почтовый ящик;
- номер контактного телефона.
К персональным данным субъектов, однократно посещающих территорию Оператора, относятся:
- фамилия, инициалы;
- номер и серия документа, удостоверяющего личность.
3.3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Оператором включает в себя следующие действия: получение, хранение, передачу, а также актуализацию, блокирование, защиту, уничтожение.
Получение, хранение, передача, актуализация или любое другое использование персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами Оператора.
Блокирование и уничтожение персональных данных производится в соответствии с Положением Оператора "Положение об уничтожении персональных данных субъектов персональных данных в случае достижения целей их обработки".
Обработка персональных данных работника
Все персональные данные работника Оператор получает у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни работника (семейное, социальное, имущественное положение) только с его письменного согласия.
При принятии решений, затрагивающих интересы работника, на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Специалист по работе с персоналом, при приеме кандидата на работу вносит персональные сведения о работнике в базу данных, сверяя правильность указываемых сведений в соответствии с предъявленными документами.
При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
- При оформлении работника в ООО «АНТХОС» специалистом по работе с персоналом заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения о месте жительства и контактных телефонах.
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
При выявлении работником недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных, он может потребовать блокирования обработки его персональных данных до внесения достоверных сведений.
При обработке персональных данных работников Оператор вправе определять способы обработки, документирования, хранения и защиты персональных данных работников на базе современных информационных технологий.
Оператор имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.
Оператор обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.
На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., обработка персональных данных осуществляется Оператором без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.
Работник Оператора обязан:
- передавать работодателю или его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;
- своевременно сообщать работодателю об изменениях своих персональных данных в недельный срок.
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействий работодателя при обработке и защите его персональных данных.
Изменение персональных данных работника вносится в базу данных специалистом по работе с персоналом на основании представленных документов.
В случае изменение фамилии, имени, отчества работника Оператор издает приказ о внесении изменений в документы, содержащие его персональные данные на основании заявления работника и представленных документов, подтверждающих изменение персональных данных (паспорт, свидетельство о регистрации (расторжении) брака, об изменении фамилии, имени, отчества, решение суда и др.).
Измененные сведения работника, содержащиеся в трудовом договоре: фамилия, имя, отчество работника, сведения документов, удостоверяющих личность работника вносятся непосредственно в текст трудового договора и заверяются подписями работника и работодателя или уполномоченного им лица.
Персональные данные работников хранятся у специалистов по работе с персоналом Оператора.
Работник, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия на своем рабочем месте, сотрудник обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое локальным актом Оператора (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
Доступ к персональным данным работников имеют работники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень работников, имеющих доступ к персональным данным работников, утверждается приказом Руководителя Оператора.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Оператора, доступ к персональным данным работников может быть предоставлен иному работнику, который не включен в приказ о назначении ответственных работников для доступа к персональным данным работника, и которым они необходимы в связи с исполнением трудовых обязанностей.
В случае, если Оператору оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.
Процедура оформления доступа к персональным данным работника включает в себя:
- ознакомление работника под роспись с настоящим Положением;
- письменное обязательство о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки, подготовленного по установленной форме от работника.
Работники, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работников, которые необходимы им для выполнения конкретных трудовых функций.
Доступ к персональным данным работников без специального разрешения имеют работники, указанные п .3.5 настоящего положения.
Допуск к персональным данным работников других работников, не имеющих надлежащим образом оформленного доступа, запрещается.
Специалист по работе с персоналом вправе передавать персональные данные сотрудника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения работниками соответствующих структурных подразделений своих трудовых обязанностей.
При передаче персональных данных работника, специалист по персоналу, предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство.
Передача (обмен и т.д.) персональных данных работников между подразделениями Оператора должен осуществляться только между работниками, имеющими доступ к персональным данным работников, в соответствии со своими должностными обязанностями.
Передача персональных данных работников третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме и должно включать в себя:
- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес Оператора, получающего согласие работника;
- цель передачи персональных данных работника;
- перечень персональных данных, на передачу которых дает согласие работник;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- перечень действий, осуществляемых с персональными данными работника, на совершение которых дается согласие.
Не допускается передача персональных данных работников в коммерческих целях без его письменного согласия, оформленного по установленной форме (см. Приложение 1).
Передача документов (иных материальных носителей), содержащих персональные данные работников осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг Оператору;
- соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Представителю работника персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением.
Информация передается при наличии одного из документов:
- нотариально удостоверенной доверенности представителя работника;
- письменного заявления работника, написанного в присутствии специалиста по работе с персоналом Оператора (если заявление написано работником не в присутствии специалиста по работе с персоналом, то оно должно быть нотариально заверено).
К числу массовых потребителей персональных данных вне ООО «АНТХОС» относятся как государственные, так и негосударственные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
Надзорно-контролирующим органам доступ к персональным данным работников Оператора в ИСПДн должен предоставляться только в пределах их компетенций.
Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.
Документы, содержащие персональные данные работника, могут быть отправлены через почтовую или курьерскую службы. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
Обработка персональных данных субъектов, связанных с Оператором договорными отношениями, стороной которого является субъект ПДн.
При заключении договора на оказание услуг потребитель предъявляет паспорт или иной документ, удостоверяющий личность.
Уничтожение ПДн потребителя производится по окончании сроков действия договора об оказании услуг. Перечень работников, имеющих доступ к персональным данным потребителей, утверждается приказом Руководителя Оператора.
Обработка персональных данных субъектов – бывших работников Оператора.
Под обработкой ПДн бывших работников Оператора понимается хранение, передача и уничтожение ПДн. По окончании действия трудового договора между оператором и субъектом, ПДн субъекта передаются на архивное хранение. Передача ПДн бывших работников Оператора производится по требованию самого субъекта (или по нотариально заверенной доверенности, подписанной субъектом) только на бумажном носителе. Доступ к персональным данным бывших работников имеют работники Оператора, которые персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень работников, имеющих доступ к персональным данным бывших работников, утверждается приказом Руководителя Оператора.
Обработка персональных данных субъектов для однократного пропуска на территорию оператора.
Состав персональных данных, получаемых Оператором о субъекте:
Фамилия, инициалы, номер и серия документа, удостоверяющего личность.
Персональные данные субъектов для однократного пропуска на территорию оператора хранятся в специальном журнале посещений в единственном экземпляре в течение 1 года.
3.4. ПОРЯДОК ОБРАЩЕНИЯ СУБЪЕКТОВ ПДН К ОПЕРАТОРУ НА ПОЛУЧЕНИЕ ИЛИ УТОЧНЕНИЕ СВОИХ ПДН
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- предоставление персональных данных нарушает конституционные права и свободы других лиц.
- фамилия, инициалы субъекта ПДн;
- дата поступления обращения (с указанием входящего номера письма обращения);
- дата ответа на обращение (с указанием исходящего номера письменного ответа).
3.5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
- генеральный директор;
- заместители генерального директора;
- руководители подразделений;
- секретарь руководителя;
- секретарь;
- специалист по охране труда;
- бухгалтерия;
- специалисты по работе с персоналом;
- юридический отдел;
- отдел автоматизации и контроля;
- собственник данных.
Указанные подразделения осуществляют обработку, включая сбор, накопление, систематизацию, уточнение и передачу персональных данных в объемах и целях, предусмотренных законодательством Российской Федерации и локальными нормативными актами Оператора, а также обеспечивают их защиту от неправомерного использования, утраты и несанкционированного уничтожения.
Доступ работникам указанных подразделений Оператора (за исключением собственника данных) к персональным данным для выполнения должностных обязанностей может быть открыт только после подписания обязательства о неразглашении персональных данных.
При передаче персональных данных работника внешнему потребителю Оператор должен соблюдать следующие требования:
- передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
- передача персональных данных третьим лицам осуществляется только с письменного согласия собственника персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральными законами РФ;
- ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения Генерального директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений;
- не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу;
- по возможности персональные данные обезличиваются.
К числу массовых потребителей персональных данных вне ООО «АНТХОС» можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
3.6. НАЗНАЧЕНИЕ ИСПДН
- ведение учетной деятельности ООО «АНТХОС»;
- ведение автоматизации на корпоративных порталах и системе CRM Битрикс24.
3.7. ЗАДАЧИ, ВЫПОЛНЯЕМЫЕ С ИСПОЛЬЗОВАНИЕМ ИСПДН
№ | ИСПДн | Способ обработки (автоматизированная/неавтоматизированная) | Технологический процесс
| |
1. | 1С: Зарплата и управление персоналом | 1. Неавтоматизированная
2. Автоматизированная | 1. Сбор ПДн
2. Регистрация и подготовка, контроль, отображение, блокирование, удаление ПДн | |
2. | Битрикс24 | Автоматизированная | Регистрация и подготовка, контроль, отображение, блокирование, удаление ПДн |
3.8. ПРОГРАММНОЕ И ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСА ЗАДАЧ, ВЫПОЛНЯЕМЫХ ИСПДН
- ОС;
- СУБД;
- Техническое обеспечение комплекса задач;
- АРМ пользователей ИСПДн;
- Серверы баз данных ИСПДн;
- Коммуникационное оборудование;
- Средства вывода ПДн на печать (принтеры, МФУ).
3.9. СОСТАВ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ ИСПДН
Информационным обеспечением ИСПДн являются персональные данные следующих субъектов:
- работников ООО «АНТХОС»;
- потребителей услуг ООО «АНТХОС».
В ИСПДн ООО «АНТХОС» с ПДн производятся следующие технологические операции:
- сбор ПДн – осуществляется при приеме субъекта на работу (заполнение Личной карточки работника по форме № Т-2), при заключении договоров об оказании услуг, однократном пропуске на территорию ООО «АНТХОС» (запись в Журнале посещений). Сбор ПДн не является автоматизированным процессом.
- регистрация ПДн – осуществляется в ИСПДн после заключения трудового соглашения с субъектом, договора об оказании услуг с потребителем. Регистрация ПДн в ИСПДн является автоматизированным процессом.
- подготовка и выдача ПДн – за исключением случаев, описанных в положениях Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных», осуществляется средствами используемого ПО при необходимости по заявлению субъекта ПДн (субъект имеет доступ только к своим персональным данным), а также работников ООО «АНТХОС», допущенных к обработке ПДн в установленном порядке. Подготовка и выдача ПДн является автоматизированным процессом.
- контроль ПДн – осуществляется по заявлению субъекта ПДн при условии изменений ПДн в целях актуализации.
- отображение ПДн – производится средствами используемого ПО согласно Техническому проекту на создание ИСПДн ООО «АНТХОС». Формы отображения ПДн представлены в приложении 4 к настоящему документу.
- блокирование ПДн – производится средствами используемого ПО по заявлению субъекта ПДн в соответствии с положениями Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных».
- удаление ПДн – производится средствами используемого ПО при достижении цели обработки (при расторжении или окончании действия трудового соглашения между ООО «АНТХОС» и работником – передается в архивное хранение, действия договора об оказании услуг между потребителями и ООО «АНТХОС») в соответствии с положениями Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных».
- Указанные технологические операции производятся уполномоченными работниками, допущенными к обработке ПДн.
3.11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
3.11.1. «ВНУТРЕННЯЯ ЗАЩИТА»
Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
Защита персональных данных сотрудника на электронных носителях:
- В ООО «АНТХОС» используется доменная структура организации корпоративной сети с многоуровневой системой доступа в соответствии с правами, определенными должностными обязанностями;
- программные средства хранения и обработки персональных данных имеют механизмы авторизации и аутентификации с возможностью протоколирования действий пользователей;
- внешние носители информации, содержащие персональные данные, хранятся в сейфе помещения с ограниченным доступом.
3.11.2 «ВНЕШНЯЯ ЗАЩИТА»
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
Для защиты персональных данных необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим компании;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Все лица, связанные с получением, обработкой и защитой персональных данных обязаны заключить «Соглашение о неразглашении персональных данных».
Антивирусная защита в ООО «АНТХОС», осуществляется с помощью специализированного программного обеспечения.
3.12. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
Каждый сотрудник ООО «АНТХОС», получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско–правовую или уголовную ответственность в соответствии с федеральным законом.