Как нас найти Запись на сервис Покупка в кредит Обратный звонок

Продажи +7 (8482) 63 00 77

Сервис +7 (8482) 63 00 50

Тест-драйвАвто в наличииАкции
Модельный ряд
ВИКИНГИ, Тольятти
закрыть меню

Автомобили LADA в наличии в дилерском центре

Удобные условия автокредита по программе LADA Finance

Запишись на официальный сервис и ТО своей LADA

закрыть меню

Автомобили LADA в наличии в дилерском центре

Удобные условия автокредита по программе LADA Finance

Запишись на официальный сервис и ТО своей LADA

Выбери удобный день и время, оцени LADA в действии

закрыть меню

Раскрытие информации

 

ПОЛОЖЕНИЕ об обработке и защите персональных данных в ООО ТК «Викинги»

 1. Область применения

 1.1. Предмет Положения

Положение об обработке персональных данных в ООО ТК «Викинги» (далее – Положение) определяет правила обработки персональных данных (далее – ПДн) в ООО ТК «Викинги» (далее - Компания) с целью обеспечения защиты прав субъектов персональных данных при обработке персональных данных в Компании, в том числе защиты прав на неприкосновенность частной жизни.

1.2. Понятие персональных данных и их обработки

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных – это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Компания обрабатывает персональные данные, содержащиеся в различных управленческих документах, первичной учетной документации, договорах с потребителями услуг, деловой переписке, любых других документах, а также в информационных системах персональных данных Компании.

 1.3. Понятие оператора персональных данных

Компания является оператором персональных данных, относительно которых он организует и (или) осуществляет обработку, а также определяет цели и содержание обработки персональных данных.

В соответствии с частью 2 статьи 3 Федерального Закона «О персональных данных» от 27.07.2006 N 152-ФЗ (далее - ФЗ 152) Компания не может являться оператором персональных данных, относительно которых не определяет целей обработки. Это происходит в следующих случаях:

Компания действует в роли поверенного, на основании договора поручения в соответствии со статьей 971 Гражданского кодекса РФ. Такое поручение может быть дано Компании доверителем в любой форме, в том числе в устной форме и в форме совершаемых им действий.

Собственником информационных ресурсов (ПДн) – является субъект.

Держателем ПДн является Компания, которому сотрудник, физлицо добровольно передает во владение свои персональные данные. Компания выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

Поименный перечень должностных лиц, допущенных к обработке ПДн, определяется приказом директора.

Компания обязана действовать во исполнение ненормативных правовых актов или отвечать на письменные запросы, используя при этом сведения о субъектах персональных данных, содержащихся в них.

 2. Нормативные ссылки

Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне», Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении положения об особенности обработки персональных данных без использования средств автоматизации», Трудовым кодексом РФ, нормативными документами Компании.

 3. Основания и условие обработки персональных данных

3.1. Основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных, в том числе:

- Трудовым кодексом Российской Федерации (№197-ФЗ от 30.12.2001);

- Налоговым кодексом РФ;

- Федеральным законом № 27-ФЗ от 01.04.1996 "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

- Федеральным законом № 149-ФЗ от 27.07.2006 "Об информации, информационных технологиях и о защите информации";

- Федеральным законом № 2124-1 от 27.12.1991 "О средствах массовой информации";

- Постановлением Правительства Российской Федерации от 15.09.2008 №687 "Об утверждении Положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации";

- Постановлением Правительства Российской Федерации от 01.11.2009 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Приказом ФСТЭК РФ от 18.02.2013 №21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Согласием субъекта на обработку персональных данных;

- на основании и в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- на основании поручения в целях доверителя, поручившего Компании от своего имени совершить определенные юридические действия. Права и обязанности по сделке, совершенной поверенным, возникают непосредственно у доверителя. В отношении этих персональных данных Компания не является оператором;

- на основании ненормативного правового акта в целях его авторов, используя при этом сведения о субъектах персональных данных, содержащихся в них. В отношении этих персональных данных Компания не является оператором.

3.2. Условие обработки персональных данных

В случае если Компания обрабатывает персональные данные на основании устава и при отсутствии иных законных оснований, необходимым условием такой обработки является согласие субъекта персональных данных.

Согласие должно быть:

  • Свободным, то есть его дача не должна никоим образом связываться с иными обстоятельствами и отношениями, связывающими субъекта и Компанию.
  • Конкретным, то есть оно дается на совершение конкретных действий с конкретными целями и не может быть отсылочным.
  • Сознательным, осведомленным, то есть прежде чем спросить согласие, Компания обязан предоставить субъекту исчерпывающую информацию о целях сбора и обработки данных, а также возможных последствиях для субъекта, таких как, например, получение информации рекламного характера.
  • Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Он может в любой момент и без объяснения причин отозвать согласие на обработку своих персональных данных, совершение отдельных операций с ними, либо использование в отдельных целях, например, таких как продвижение услуг Компании. В случае отзыва согласия, Компания в соответствии с частью 5 статьи 20 ФЗ 152 в течение трех дней прекращает обработку его персональных данных и уничтожает их, о чем уведомляет субъекта любым доступным способом.

    Согласие может быть получено и отозвано в любой форме, процесс сбора персональных данных, для обработки которых требуется согласие, организуется таким образом, что из действий, производимых субъектом явствует его воля, либо он выражает ее устно. В отдельных случаях, если это возможно, согласие выражается письменно в свободной форме, в частности путем собственноручного проставления необходимых пометок при заполнении различных анкет, регистрационных форм на веб-сайтах.

    3.3. Конфиденциальность и общедоступные источники персональных данных

    Компания обеспечивает конфиденциальность обрабатываемых персональных данных независимо от того является ли он их оператором.

    В целях информационного обеспечения Компанией могут создаваться общедоступные источники персональных данных.

    Общедоступными персональными данными сотрудников являются фамилия, имя, отчество, должность, телефон, структурное подразделение, достижения, фотография. В отношении общедоступных персональных данных не требуется обеспечения конфиденциальности.

    4. Обработка персональных данных в Компании

    4.1. Виды субъектов персональных данных

    Компания является коммерческой организацией в форме хозяйственного общества. В целях осуществления уставной деятельности Компания является оператором персональных данных следующих категорий субъектов:

    • сотрудников;
    • уволенных сотрудников;
    • близких родственников;
    • соискателей;
    • физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с оператором.

    Вне каких-либо ИСПДн Компания обрабатывает персональные данные сотрудников, контрагентов или физических лиц, иных лиц, полученные любым законным путем при заключении и исполнении договоров, либо исполнении ненормативных правовых актов и иной незапрещенной законом деятельности.

    Персональные данные, цель обработки которых достигнуты, либо исчезла необходимость в достижении, в соответствии с частью 4 статьи 22 ФЗ 152 уничтожаются в течение трех дней.

    Документы, содержащие персональные данные, которые в соответствии с законодательством РФ имеют длительные сроки хранения переводятся на архивное хранение. Сроки хранения документов установлены в соответствии с номенклатурой дел Компании.

    4.2. Особенности обработки персональных данных работников, состоящих в трудовых отношениях с оператором.

    Основания обработки. В соответствии с пунктом 2 статьей 6 ФЗ 152 обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

    Цели обработки. Персональные данные работников Компании обрабатываются Компанией в целях исполнения оператором обязательств по трудовому договору.

    Состав персональных данных:

    • Фамилия, имя, отчество
    • Паспортные данные (дата выдачи, серия, номер, кем выдан)
    • Пол
    • Дата и место рождения
    • Адрес прописки
    • Адрес фактического проживания
    • Номер телефона (стационарный домашний, мобильный)
    • ИНН
    • Номер свидетельства государственного пенсионного страхования
    • Данные о дипломе (вид образования, название учебного заведения, год окончания, вид обучения, специальность по диплому (свидетельству), квалификация по диплому(свидетельству) серия диплома, номер диплома, дата выдачи)
    • Сведения о повышении квалификации
    • Основная профессия, специальность (должность)
    • Подразделение (место работы)
    • Cтаж работы
    • Ученая степень
    • Последнее место работы
    • Семейное положение
    • Ближайшие родственники
    • Квалификационный уровень
    • Страховой стаж
    • Наличие наград (виды наград), достижения
    • Электронная почта
    • Фотография
    • Сумма, подлежащая начислению
    • Подпись и расшифровка подписи
    • Сведения, содержащиеся в свидетельстве о браке
    • Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей
    • Данные водительского удостоверения

     

    Способы обработки. ПДн работников обрабатываются смешанным способом. Полученная в ходе обработки персональных данных информация передается по внутренней сети Компании (информация доступна лишь для строго определенных сотрудников в соответствии с матрицей разграничения доступа).

    Все персональные данные работников Компания получает у субъекта. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник уведомляется об этом заранее и от него получается письменное согласие. Компания сообщает сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.

    Компания не получает и не обрабатывает персональные данные сотрудника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Компания может получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.

    Для упрощения процедуры расчетов с сотрудниками, по их поручению, отраженному в коллективном договоре, Компания в необходимом объеме передает по защищенному каналу связи персональные данные в банк-партнер, который выпускает банковскую карту на имя сотрудника. Впоследствии, на счета этих карт Компания производит перечисления необходимых выплат в рамках исполнения своих обязанностей как работодателя. Процедура, предшествующая передаче ПДн в банк, организуется таким образом, чтобы из действий, производимых сотрудником явствовала его воля и впоследствии они могли быть подтверждены документально.

    Сроки обработки. Обработка персональных данных сотрудников производится до достижения целей обработки, обозначенных в законодательстве. В случае расторжения трудового договора, ПДн обрабатываются до тех пор, пока у Компания существует необходимость обеспечить соблюдение законов и иных нормативных правовых актов, если для этого требуется использовать ПДн. Примером такого использования является исполнение обязанностей Компании, как налогового агента сотрудника в соответствии со статьей 226 Налогового кодекса РФ. После достижения целей обработки документы по личному составу сдаются на архивное хранение в соответствии с номенклатурой дел Компании.

    4.3. Особенности обработки персональных данных физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с оператором.

    Основания обработки. В соответствии с пунктом 2 статьей 6 ФЗ 152 обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

    Цели обработки. Персональные данные физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с оператором, обрабатываются с целью регистрации сведений, необходимых при заключении, исполнении договоров и иных гражданско-правовых сделок при реализации автомобилей и запасных частей к ним, при техническом обслуживании и ремонте легковых автомобилей; продвижения товаров и услуг оператора путем осуществления прямых контактов с субъектом с помощью средств связи; сбора и обработки статистической информации и проведения маркетинговых, социологических и других исследований

    Состав персональных данных:

    • Фамилия, имя, отчество
    • Паспортные данные (дата выдачи, серия, номер, кем выдан)
    • Адрес фактического проживания
    • Дата рождения
    • Данные водительского удостоверения
    • ИНН
    • Номер телефона (стационарный домашний, мобильный)
    • Электронная почта
    • Подпись и расшифровка подписи

     

    Способы обработки. ПДн физлиц обрабатываются смешанным способом. Полученная в ходе обработки персональных данных информация передается по внутренней сети Компании (информация доступна лишь для строго определенных сотрудников в соответствии с матрицей разграничения доступа).

    Сроки обработки. Обработка персональных данных физлиц производится до достижения целей обработки, обозначенных в договоре. В случае расторжения договора, ПДн обрабатываются до тех пор, пока у Компания существует необходимость обеспечить соблюдение законов и иных нормативных правовых актов, если для этого требуется использовать ПДн.

     5. Права субъектов ПДН

    5.1. Право на доступ к своим персональным данным

    Субъект персональных данных имеет право на получение сведений о наличии у Компании персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

     5.2. Право на обжалование действий и бездействия оператора

    Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, то он вправе обратиться с заявлением на имя генерального директора Компании для рассмотрения его жалобы.

    В случае если обращение в Компания не привело, по мнению субъекта, к устранению нарушений, то он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

     6. Обязанности оператора ПДн

    Компания при сборе персональных данных информирует субъекта о целях сбора и, в случае необходимости, получает согласие на использование данных в этих целях.

    При обращении субъекта за информацией в порядке и на основании пункта 4.1 настоящего положения Компания обязан ему ее предоставить безвозмездно в течение десяти рабочих дней с момента получения запроса.

    В случае выявления неправомерных действий с персональными данными Компания в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, они уничтожаются.

    Компания уничтожает персональные данные, когда достигаются цели их обработки. Некоторые документы, содержащие персональные данные и имеющие длительные сроки хранения в соответствии с номенклатурой дел Компании, переводятся на архивное хранение.

    В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания уничтожает их в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных.

    Субъект уведомляется об уничтожении его персональных данных посредством отправки соответствующего электронного сообщения.

    7. Информационные системы персональных данных и картотеки, доступ к ПД и их передача

     7.1. Автоматизированные информационные системы персональных данных

    В целях повышения производительности труда, а также снижения влияния человеческого фактора при совершении строго стандартизированных операций над персональными данными (приведении их в удобную для человека форму представления) с целью принятия решения сотрудником самостоятельно, Компания создает и эксплуатирует информационные системы персональных данных (далее ИСПДн).

    Информационная система персональных данных – это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Сведения о сотрудниках (физлицах) Компании хранятся на электронных носителях – в базах данных 1С. СУБД располагаются в помещениях с ограниченным доступом.

    Права доступа к базам данных прописываются в приказе по Компании.

    При получении сведений, составляющих ПД сотрудников (физлиц), указанные в приказе лица имеют право получать только те ПД, которые необходимы для выполнения конкретных функций, заданий.

    Доступ к ПДн осуществляется из локальной сети Компании.

    Удаленный доступ к ПДн имеют сотрудники структурных подразделений Компании, которым доступ необходим для выполнения своих служебных обязанностей по администрированию серверов и баз данных.

    Доступ к ПДн имеют сотрудники, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утвержденных приказом генерального директора Компании.

    В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.

    В случае если Компании оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к персональным данным, то соответствующие данные предоставляются только после подписания с ними соглашения о неразглашении конфиденциальной информации, либо при выполнении требований ч.3 ст.6 152-ФЗ.

    К числу потребителей персональных данных вне Компании относятся:

    - налоговые инспекции;

    - правоохранительные органы;

    - органы статистики;

    - медицинская страховая компания;

    - военкомат;

    - органы социального страхования;

    - пенсионные фонды.

    ПД сотрудника передаются в судебные и другие правоохранительные органы только на основании полученных официальных запросов.

    Не допускается отвечать на вопросы, связанные с передачей ПД сотрудника, по телефону или факсу.

    Ответы на правомерные письменные запросы государственных и негосударственных организаций, учреждений даются в письменной форме.

    Передача ПД сотрудников осуществляется в целях выполнения задач, соответствующих объективной причине сбора этой информации.

    В целях информационного обеспечения в Компании могут создаваться общедоступные источники персональных данных (в том числе на сайте, справочники, электронные базы, публикации, информационные стенды, ведомости, отчетные формы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, номер телефона, фотография и достижения.

    7.2. Картотеки персональных данных

    В Компании используется смешанная система документооборота, созданы картотеки, предназначенные для хранения и работы с документами, содержащими персональные данные.

    Эксплуатируются картотеки документации по сотрудникам. Документы представляют собой стандартизированные формы, утвержденные уполномоченными государственными органами и внесенные в ОКУД, а также разработанные в Компании. Места их хранения определены и обеспечены условия для сохранности персональных данных и исключающие несанкционированный к ним доступ. Доступ к документам имеют только те лица, которым он необходим для исполнения служебных обязанностей.

    ПД сотрудников также хранятся на бумажных носителях в помещениях отдела кадров. Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных сотрудников хранятся отдельно от личных дел действующих сотрудников (раздельное хранение).

    Регистрация и учет мест хранения материальных носителей персональных данных организуется в соответствии с приказом генерального директора Компании, обеспечивая раздельное хранение ресурсов персональных данных, обработка которых осуществляется с различными целями.

    При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

    Сведения о начислении и выплате заработной платы сотрудникам хранятся на бумажных носителях в помещении отдела по начислению заработной платы. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив.  

    Обязанности по ведению, хранению личных дел сотрудников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные сотрудников, возлагаются на сотрудников отдела кадров. Они закрепляются в должностных инструкциях.

    Правила работы и доступа сотрудников к картотекам с персональными данными устанавливаются в соответствующих организационно-распорядительных документах, на основании которых действует структурное подразделение Компании, в ведении которого находится соответствующая картотека или база данных.

     7.3 Использование съемных носителей информации

    При работе со съемными, в том числе машинными, носителями Персональных данных выполняются следующие требования:

    - каждый съемный носитель персональных данных закрепляется за конкретным работником Компании, которому он выдан. Учет и выдачу съемных носителей персональных данных осуществляет администратор безопасности ИСПДн.

    - хранение съемных носителей персональных данных осуществляется в запираемых шкафах (ящиках), исключающих несанкционированный доступ к ним. Ответственность за хранение съемных носителей персональных данных возлагается на работников, которым они выданы;

    -  доступ к съемным, в том числе машинным, носителям персональных данных предоставляется только работниками допущенными к обработке персональных данных конкретных субъектов Персональных данных;

    - контроль хранения и использования съемных носителей персональных данных и доступа к ним организуется администратором безопасности ИСПДн.

    - уничтожение информации на съемных носителях персональных данных осуществляется в порядке, предусмотренном приказом генерального директора Компании.

    7.4 Передача персональных данных

    Передача персональных данных субъектов между структурными подразделениями Компании осуществляется только между работниками Компании, имеющими право доступа к направляемой (передаваемой) информации, содержащей Персональные данные, с соблюдением требований, установленных законодательством Российской Федерации, настоящим и иными внутренними документами Компании.

    Правила доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах осуществляется в соответствии с Порядком разграничения доступа.

    Работники Компании, получившие доступ к определенным персональным данным при выполнении трудовых обязанностей, не вправе разглашать и передавать третьим лицам, а также работникам Компании, в трудовые обязанности которых не входит обработка такой категории персональных данных.

    Передача обрабатываемых Компанией персональных данных третьему лицу должна осуществляться при наличии письменного согласия Субъекта персональных данных на передачу персональных данных третьему лицу, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в других случаях, предусмотренных законодательством Российской Федерации.

    Передача обрабатываемых Компанией персональных данных третьему лицу должна осуществляться только на основании договора и соглашения о конфиденциальности В случае заключения договора, по которому Компания поручает обработку персональных данных третьему лицу, в качестве обязательных условий в соглашение о конфиденциальности включаются:

    -обязанности лица, осуществляющего обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при обработке;

    -перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющего обработку персональных данных по поручению Компании, и цели обработки персональных данных;

    -требования к защите обрабатываемых персональных данных, предусмотренные Федеральным законом № 152-ФЗ.

    8. Обеспечение конфиденциальности и безопасности ПДн

    Компания обеспечивает конфиденциальность всех обрабатываемых им персональных данных, за исключением общедоступных. Конфиденциальность не установлена относительно общедоступных персональных данных, которые приобрели такой статус волей субъекта персональных данных и могут быть в любой момент, по желанию субъекта вновь приобрести статус конфиденциальных.

    Компания при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

    Конфиденциальность и безопасность персональных данных обеспечиваются применением организационных, правовых и технических мер защиты информации. Для защиты информации, обрабатываемой в автоматизированных ИСПДн, используются программные и программно-аппаратные средства защиты в соответствии с требованиями законодательства, которые устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации в пределах их полномочий.

    9. Защита персональных данных

    9.1 Общие требования к обеспечению безопасности ПДн в ИСПДн

    Контроль за обеспечением безопасности ПДн при их обработке в ИСПДн осуществляется сотрудником, отвечающим за обработку и защиту персональных данных.

    В целях защиты ПДн от несанкционированного доступа и иных неправомерных действий мероприятия по организации и техническому обеспечению безопасности должны включать:

    - определение уровня защищенности ИСПДн на основании установленных критериев в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

    - разработку модели угроз в соответствии с приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

    - установку, настройку и применение соответствующих программных, аппаратных и программно-аппаратных средств защиты информации в рамках СЗПДн;

    - разработку должностных инструкций по обеспечению безопасности ПДн при их обработке в ИСПДн для персонала, задействованного в эксплуатации данной ИСПДн.

    Обмен персональными данными при их обработке в информационных системах персональных данных Компании осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения сертифицированных программных и технических средств.

    Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Компании, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

    - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

    - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

    - применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

    - оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

    - учет машинных носителей персональных данных;

    - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

    - восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

    - установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Компании, а также регистрацию и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;

    - контроль принимаемых мер по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

    Средства защиты информации, применяемые в составе СЗПДн, в законодательно установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

    Все технические средства защиты информации должны быть снабжены инструкциями по эксплуатации (рекомендациями по использованию).

    Необходимость и целесообразность применения средств криптографической защиты для обеспечения безопасности ПДн при их обработке в ИСПДн определяется на основе анализа модели угроз безопасности. Если средства криптографической защиты используются в собственных ИСПДн, то необходимо руководствоваться требованиями ФСБ России, изложенными в приказе № 378 от 10.07.2014 года.

    10. Ответственность за нарушение правил обработки ПДн сотрудниками Компании

    За нарушение правил работы с персональными данными, повлекшими за собой нанесение ущерба субъектам персональных данных, сотрудники несут дисциплинарную, административную и уголовную ответственность, в соответствии с законодательством РФ.

     Сотрудник информируется об ответственности, предусмотренными локальными нормативными актами Компании, Кодексом об административных правонарушениях РФ и Уголовным кодексом РФ.

    Разглашение персональных данных сотрудника (физлица), передача их посторонним лицам, в том числе, сотрудникам, не имеющим к ним доступа, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных Политикой информационной безопасности, локальными нормативными актами (приказами, распоряжениями) Компании, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания.

    Сотрудники, имеющие доступ к персональным данным субъекта и допустившие их разглашение, публичное раскрытие, несут полную материальную ответственность в случае причинения его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).

    11. Заключительные положения

    Настоящее Положение доводится до сведения всех сотрудников Компании под подпись (приложение А, приложение Б, приложение В, приложение Г).

    Сотрудники знакомятся с настоящим Положением при поступлении на работу.

    Генеральный директор Компании контролирует выполнение требований настоящего Положения.

    12. Актуализация Положения

    Ответственным за актуализацию настоящего Положения является лицо, осуществляющее организацию обработки и защиты ПДн Компании.

     

    Правила рассмотрения запросов субъектов персональных  данных или их представителей

    1. Общие положения

     1.1. Правила рассмотрения запросов субъектов персональных данных или их представителей (далее – Правила) определяют последовательность действий при рассмотрении запросов субъектов персональных данных или их представителей, поданных в соответствии с частью 1 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Запросы), правила ведения делопроизводства по запросам, поступающим в адрес ООО ТК «Викинги» (далее - Компания), а также осуществление контроля за соблюдением Правил.

    1.2. Рассмотрение Запросов Компании, являющимся в соответствии со статьей 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон) оператором, осуществляющим обработку персональных данных, выполняется с соблюдением прав субъектов персональных данных или их представителей и в соответствии с обязанностями оператора, определенными Федеральным законом.

    1.3. Формы запросов приведены в локальном нормативном акте Компании – в Политике в отношении обработки персональных данных.

     2. Прием и регистрация Запросов

     2.1. Запросы могут быть доставлены лично, через представителей, почтовым отправлением, по электронным каналам связи в форме электронного документа.

    2.2. Содержание Запроса определено частью 3 статьи 14 Федерального закона, а именно: должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя

    2.3. Запросы в адрес Компании, поступающие непосредственно от граждан, принимаются и регистрируются в управлении делами.

    2.4. В Запросах, поступивших повторно и удовлетворяющих требованиям частей 4 и 5 статьи 14 Федерального закона, а именно, если сведения об обрабатываемых персональных данных не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения, делается отметка о повторном поступлении Запроса, и к нему приобщаются копии материалов предыдущих Запросов. Компания вправе отказать субъекту персональных данных или его представителю в рассмотрении повторного Запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Компании.

    2.5. Специалист, ответственный за делопроизводство, заносит необходимую информацию о Запросе в журнал учета обращений субъектов персональных данных.

    2.6. Регистрация Запросов производится путем присвоения порядкового номера каждому поступившему Запросу в течение трех календарных дней         с даты их поступления. На лицевой стороне первого листа письменного Запроса проставляется регистрационный штамп.

    2.7. Запрос, ошибочно поступивший в Компанию, направляется специалистом, ответственным за делопроизводство, по указанному в Запросе адресу с сопроводительным письмом с уведомлением субъекта персональных данных или его представителя, направившего Запрос, о переадресации Запроса.

     3. Направление Запроса на рассмотрение

     3.1. После регистрации, в тот же день, Запрос, поступивший в адрес Компании, вместе с карточкой передается для рассмотрения ответственному лицу для определения исполнителя и поручения по Запросу.

    3.2. Срок для определения исполнителей и поручений по Запросу не может превышать семь календарных дней со дня его регистрации.

    3.3. В случае если Запрос, поступивший в адрес Компании, содержит требование уточнить персональные данные, блокировать их или уничтожить в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, ответственное лицо в тот же день определяет исполнителей и дает поручение осуществить блокирование неправомерно обрабатываемых либо неточных персональных данных, относящихся к этому субъекту.

    3.4. В поручении указываются фамилии, инициалы исполнителей, содержание поручения (при необходимости), срок исполнения.

     4. Рассмотрение Запросов

     4.1. Исполнитель при рассмотрении Запроса обеспечивает объективное, всестороннее и своевременное рассмотрение Запроса, запрашивает необходимые для рассмотрения Запроса документы и материалы у должностных лиц по компетенции.

    4.2. Запрос рассматривается не более тридцати календарных дней со дня его получения В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные, после чего уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах

    4.3. В установленный срок (тридцать календарных дней) входит время     на визирование и определение исполнителей, рассмотрение Запроса по существу, подготовку текста ответа, его возможное согласование, подписание и направление ответа гражданину.

    5. Оформление ответов на Запросы

     5.1. Ответы на Запросы, поступившие в адрес Компании, подписываются руководителем или лицом, имеющим право подписи.

    5.2. Подготовку ответа обеспечивает руководитель структурного подразделения Компании (должностное лицо) в соответствии с поручением по Запросу. В случае, если в поручении указано несколько исполнителей (должностных лиц), ответственным исполнителем считается должностное лицо, указанное первым в поручении по Запросу. Ответ на Запрос готовит основной исполнитель, указанный в поручении первым, при этом другие исполнители визируют данный ответ.

    5.4. Ответ на Запрос, поступивший по информационным системам общего пользования, направляется по почтовому адресу, указанному в Запросе.

    5.5. Текст ответа должен излагаться четко, последовательно, кратко, исчерпывающе давать пояснения на все поставленные вопросы.

    5.6. Запрос считается исполненным, если по существу поставленных вопросов субъекту персональных данных или его представителю в доступной форме представлены сведения, указанные в запросе, или приняты меры, по изменению неполных, неактуальных персональных данных, по блокированию или уничтожению - в случае выявления неправомерной обработки персональных данных при обращении субъекта.

    5.7. Ответы на Запросы оформляются в соответствии с порядком, установленным в Компании, и должны содержать дату и регистрационный номер документа, фамилию и инициалы гражданина, его почтовый адрес, текст документа (ответ на Запрос), наименование должности лица, подписавшего документ, его инициалы, фамилию, подпись, а также инициалы, фамилию и номер телефона исполнителя.

     

    ПОЛОЖЕНИЕ о неавтоматизированной обработке персональных данных

     1.      Общие положения

    1.1. Положение определяет порядок осуществления неавтоматизированной обработки персональных данных (далее - ПДн) сотрудников и физических лиц, находящихся в договорных или иных гражданско-правовых отношениях с ООО ТК «Викинги» (далее - Компания) согласно требований Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении положения об особенности обработки персональных данных без использования средств автоматизации».

    1.2. Настоящее Положение определяет порядок получения, обработки, использования и накопления ПДн, а также хранения и уничтожения документов, содержащих сведения, отнесенные к ПДн.

    1.3. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

    1.4. Данное Положение обязательно для применения во всех структурных подразделениях Компании.

    2.      Порядок обработки персональных данных без использования средств автоматизаци

    2.1. Фиксация ПДн при неавтоматизированной обработке может осуществляться на бумажных и других материальных носителях, считывание информации с которых может производиться без использования средств вычислительной техники.

    2.2. При неавтоматизированной обработке ПДн не допускается фиксация на материальных носителях ПДн, обрабатываемых с целью, отличной от цели, определенной в Положении об обработке персональных данных.

    2.3. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

    2.4. Сотрудники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте неавтоматизированной обработки ПДн, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки. Инструктаж проводит администратор безопасности информационной системы персональных данных (далее - ИСПДн).

    2.5 При обработке ПДн, осуществляемой без использования средств автоматизации, определяются места хранения материальных носителей ПДн, а также сотрудники, имеющие доступ к материальным носителям, их должности и номера кабинетов.

    2.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

    - типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

    - типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

    - типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

    - типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

    2.7. Порядок уничтожения персональных данных определен в Порядке уничтожения персональных данных.

     3. Обеспечение безопасности персональных данных при неавтоматизированной обработке

     3.1. Бумажные документы и иные материальные носители, содержащие ПДн, должны храниться в закрытых для визуального просмотра запираемых шкафах, исключающих возможность несанкционированного доступа к ним. Организация хранения и доступа к документам определены в Порядке доступа в помещения, где обрабатываются персональные данные.

    3.2. В рабочее время документы, содержащие ПДн, не должны находиться на столах сотрудников отделов дольше времени необходимого на их обработку. Во время обработки документы, содержащие ПДн, по возможности размещаются таким образом, чтобы исключить возможность просмотра информации посторонними лицами.

    3.3. В конце рабочего дня все документы, содержащие ПДн, должны быть убраны в сейфы или шкафы, закрывающиеся на замок. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются механическим путём до состояния, не позволяющего считывать информацию с носителей.

     

     

    Яндекс.Метрика