Положение об обработке и защите персональных данных

Содержание:

 

1.

Общие положения ……………………………………………

4

2.

Основные понятия ……………………………………………………………...

5

3.

Состав персональных данных ………………………………………………....

6

4.

Категории субъектов персональных данных ………………………………....

6

5.

Цели обработки персональных данных …………………………………….....

7

6.

Права субъекта персональных данных ………………………………………..

7

7.

Обязанности субъекта персональных данных ………………………………..

9

8.

Права оператора персональных данных ………………………………………

9

9.

Обязанности оператора персональных данных ………………………………

9

10.

Лицо, ответственные за организацию обработки

персональных данных ………………………………………………………….

11

11.

Сбор и обработка персональных данных работников предприятия ………...

11

12.

Доступ к персональным данным субъектов персональных данных…………

12

13.

Передача персональных данных……………………………………………….

15

14.

Порядок обработки биометрических персональных данных………………...

16

15.

Хранение персональных данных……………………………………………….

17

16.

Блокировка, обезличивание, уничтожение персональных данных………….

18

17.

Требования к помещениям, где обрабатываются

и хранятся персональные данные……………………………………………...

 

19

18.

Защита персональных данных …………………………………………………

19

19.

Ответственность за нарушение правил работы

с персональными данными………………………………………………..

 

21

20.

Контроль ………………………………………………………………………...

22

Приложение 1………………………………………………………………………..

23

Приложение 2………………………………………………………………………..

24

Приложение 3………………………………………………………………………..

25

Приложение 4………………………………………………………………………..

26

Приложение 5………………………………………………………………………..

27

Приложение 6………………………………………………………………………..

28

Приложение 7………………………………………………………………………..

29

Приложение 8………………………………………………………………………..

30

Приложение 9………………………………………………………………………..

31

Приложение 10………………………………………………………………………

32

Приложение 11………………………………………………………………………

33

 1. Общие положения

 1.1. Настоящее Положение об обработке  и защите персональных данных (далее - Положение) на ФКП «Завод имени Я.М.Свердлова» (далее - предприятие) разработано в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также другими действующими нормативно-правовыми актами Российской Федерации.

1.2 Персональные данные являются конфиденциальными сведениями, согласно Указу Президента Российской Федерации от 06.03.1997г. №188 «Об утверждении перечня сведений конфиденциального характера».

1.3 ФКП «Завод имени Я.М.Свердлова» является оператором персональных данных, входящим в Реестр операторов, осуществляющих обработку персональных данных, и должно обеспечивать выполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных».

1.4 Целью разработки данного Положения является защита персональных данных субъектов персональных данных от несанкционированного доступа и разглашения, установление порядка осуществления оператором обработки персональных данных, в том числе в информационных системах персональных данных (далее - ИСПДн), а также обеспечение защиты прав и свобод субъектов в отношении их персональных данных.

1.5 Порядок ввода в действие и изменения Положения.

1.5.1 Настоящее Положение вступает в силу с момента его утверждения генеральным директором предприятия и действует бессрочно, до замены его новым Положением.

1.5.2 Актуализация Положения проводится один раз в пять лет.

1.5.3 Внеплановая актуализация проводится при возникновении одного из следующих условий:

1.5.3.1 изменение целей и/или состава обрабатываемых персональных данных;

1.5.3.2 возникновение условий, существенно влияющих на процессы обработки персональных данных и не регламентированных настоящим документом;

1.5.3.3 по результатам контрольных мероприятий и проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности персональных данных;

1.5.3.4 при появлении новых требований к обеспечению безопасности персональных данных со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации.

1.5.4  Все изменения в Положение вносятся приказом генерального директора предприятия.

1.6 Действующая редакция хранится на месте нахождения оператора по адресу: Нижегородская область, г.Дзержинск, пр.Свердлова, д.4, электронная версия Положения размещена на сайте предприятия по адресу www.sverdlova.ru, а также на сайте санатория-профилактория «Ока» по адресу www.sp-oka.ru.

1.7 Работники предприятия, которые имеют доступ к обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись в листе ознакомления (Приложение 1).

1.8 Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии предприятия, если иное не определено действующим законодательством.

 2. Основные понятия

 Биометрические персональные данные - сведения, которые  характеризуют  физиологические  и  биологические  особенности  человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов персональных данных, в том числе их передачи;

Документированная информация - информация с реквизитами,  зафиксированная на материальном носителе путем документирования, позволяющими определить такую информацию или ее материальный носитель;

Информация - сведения (сообщения, данные) независимо от формы их представления;

Информационная система персональных данных (ИСПДн) -информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Клиент -  потребитель или заказчик определенного вида услуг или товаров; 

Контрагент - сторона гражданско-правового договора.

Конфиденциальность - необходимость предотвращения утечки (разглашения) какой-либо информации;

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;

Обработка персональных данных - совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);

Потребитель персональных данных - юридическое или физическое лицо, обращающееся к собственнику или держателю персональных данных за получением необходимых сведений и пользующееся ими без права передачи и разглашения.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 3. Состав персональных данных
3.1 Состав персональных данных, обрабатываемых на предприятии, определен «Перечнем персональных данных, обрабатываемых на ФКП «Завод имени Я.М.Свердлова», утвержденным генеральным директором предприятия.

 4. Категории субъектов персональных данных

 4.1 На предприятии обрабатываются персональные данные следующих категорий субъектов персональных данных:

4.1.1 физические лица, состоящие с предприятием в трудовых отношениях, уволившиеся с предприятия, в том числе ветераны предприятия, физические лица, являющиеся кандидатами на работу, физические лица, состоящие с предприятием в гражданско-правовых отношениях, учащиеся, проходящие практику на предприятии (далее - работники предприятия);

4.1.2 работники  сторонних организаций, в том числе прибывшие в командировку и другие посетители (далее - работники контрагента);

4.1.3 физические лица, пользующиеся услугами социальной сферы предприятия (санатория-профилактория «Ока», детского оздоровительного лагеря «Космос», физкультурно-оздоровительного комплекса «Уран», Дворца культуры имени Я.М.Свердлова), в том числе дети и их законные представители (далее - клиенты);

4.1.4 физические лица, которые заключили  с предприятием договора на энергоснабжение, технологическое присоединение (далее - абоненты).

 5. Цели обработки персональных данных

 5.1 Обработка персональных данных  на предприятии ведется в целях:

5.1.1 заключения, исполнения и прекращения трудовых договоров, гражданско-правовых договоров с физическими лицами, договоров с юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом предприятия;

5.1.2 организации кадрового учета предприятия, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и другими федеральными законами и иными нормативно-правовыми актами;

5.1.3 предоставления услуг социальной сферы;

5.1.4 заключения и исполнения договоров с физическими лицами на энергоснабжение, технологическое присоединение;

5.1.5 планирования, организации, регулирования деятельности предприятия.

 6. Права субъекта персональных данных

 6.1 Субъект персональных данных обладает правами, предусмотренными Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

6.2 Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

6.2.1 подтверждение факта обработки персональных данных оператором;

6.2.2 правовые основания, цели, способы  обработки персональных данных;

6.2.3 наименование и местонахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

6.2.4 обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6.2.5 сроки обработки персональных данных, в том числе сроки их хранения;

6.2.6 порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законодательством;

6.2.7 наименование и адрес юридического лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

6.2.8 иные сведения, предусмотренные федеральным законодательством.

6.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным законодательством, в том числе если:

6.3.1 обработка персональных данных, включая персональные данные, полученные в результате оперативно - розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

6.3.2 обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных  уголовно - процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

6.3.3 обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

6.3.4 доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

6.3.5 обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

6.4 Субъект персональных данных вправе требовать от оператора блокирования или уничтожения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.5 Субъект персональных данных имеет право требовать от оператора извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные   данные,   обо   всех   произведенных   в   них   исключениях, исправлениях   или дополнениях.

6.6 Субъект персональных данных имеет право обжаловать неправомерные действия или бездействия оператора при обработке и защите его персональных данных в соответствии с действующим законодательством.

6.7 Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных.

 7. Обязанности субъекта персональных данных

 7.1 Субъект персональных данных обязан своевременно передавать оператору персональные данные и изменения в персональных данных в объеме необходимом и достаточном для достижения цели обработки персональных данных.

 8. Права оператора персональных данных

 8.1 Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.), или с письменного согласия субъекта на передачу персональных данных третьей стороне (подробнее см. в разделе 13).

8.2 Оператор вправе отказать субъекту персональных данных в предоставлении информации, касающейся обработки его персональных данных, в случаях, предусмотренных действующим законодательством.

8.3 Использовать персональные данные субъекта без его согласия в случаях, предусмотренных действующим законодательством.

8.4 Отстаивать свои интересы в спорных вопросах.

 9. Обязанности оператора персональных данных

 9.1 Соблюдать требования Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» при обработке персональных данных.

9.2 Оператор до начала обработки персональных данных  обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных действующим законодательством.

9.3 При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, указанную в п.6.2.

9.4 Оператор должен осуществлять обработку персональных данных исключительно в целях, для которых они предназначены.

9.5 При определении объема и содержания обрабатываемых персональных данных субъекта персональных данных оператор должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

9.6 Обработка оператором персональных данных субъектов персональных данных должна осуществляться на основе принципов:

9.6.1 законности целей и способов обработки персональных данных;

9.6.2 соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также договорам, заключаемым с контрагентами;

9.6.3 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

9.6.4 достоверности персональных данных, их достаточности для целей обработки;

9.6.5 недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

9.6.6 уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;

9.6.7 ответственности оператора за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

9.6.8 наличие четкой разрешительной системы доступа к документам и базам данных, содержащим персональные данные.

9.7 Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством.

9.8 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.

9.9 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

9.10 Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей (Интернет), обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

9.11 Оператор обязан представить документы и локальные акты и (или) иным образом подтвердить принятие мер, обеспечивающих выполнение обязанностей по защите персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных.

10.  Лицо, ответственное за организацию обработки персональных данных

 10.1 Лицо, ответственное за организацию обработки и защиты персональных данных, назначается приказом генерального директора предприятия.

10.2 Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

10.2.1 осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

10.2.2 доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

10.2.3 организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

 11. Сбор и обработка персональных данных субъектов персональных данных

 11.1 Все персональные данные субъекта персональных данных (далее – субъект) следует получать у него самого. Если персональные данные субъекта возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (Приложение 2). Оператор персональных данных должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

11.2 Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности субъектов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

11.3 При получении персональных данных от третьей стороны (за исключением случаев, если персональные данные были предоставлены на основании федерального закона или если персональные данные являются общедоступными),  оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование и адрес оператора;

- цель обработки персональных данных и ее правовое основание;

- права субъекта персональных данных.

11.4 Оператор вправе обрабатывать персональные данные субъекта  только с его письменного согласия, за исключением случаев, предусмотренных действующим законодательством.

11.5 Форма согласия на обработку персональных данных:

11.5.1 форма согласия на обработку персональных данных субъектов категории «работники предприятия» представлено в  Приложении 3 к Положению;

11.5.2 форма согласия на обработку персональных данных субъектов категории «работники контрагента» представлено в  Приложении 4 к Положению;

11.5.3 форма согласия на обработку персональных данных субъектов категории «клиенты социальной сферы» представлено в  Приложении 5 к Положению;

11.5.4 форма согласия на обработку персональных данных субъектов категории «абоненты» представлено в  Приложении 6 к Положению.

11.6 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному заявлению (Приложение 7). В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных федеральным законодательством.

11.7 Согласие субъекта персональных данных не требуется в следующих случаях:

11.7.1 обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

11.7.2 обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

11.7.3 обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

11.7.4 обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

11.7.5 обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

11.7.6 обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

11.7.6 обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

11.7.7 осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

11.8 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных действующим законодательством.

11.9 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

11.10 Персональные данные на материальных носителях формируются в пакет анкетно-биографических и характеризующих материалов, в электронном виде - обрабатываются в информационных системах персональных данных с использованием определенных информационных технологий и технических средств.

11.11 При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

11.12 При принятии решений, затрагивающих интересы субъектов, оператор не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

11.13 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

11.14 Сбор и обработка персональных данных субъектов категории «работники контрагента» осуществляется в целях исполнения договорных обязательств. Условия конфиденциальности и защиты персональных данных должны быть прописаны в договоре с контрагентом либо дополнительном соглашении к договору.12. Доступ к персональным данным субъектов персональных данных

12.1 Доступ к персональным данным субъектов персональных данных разрешается только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций. Перечень лиц, допущенных к работе с персональными данными, утверждается генеральным директором предприятия.
12.2 Процедура оформления допуска к персональным данным субъектов персональных данных включает в себя:
12.2.1 ознакомление работника, который включен в перечень лиц, допущенных к работе с персональными данными, с настоящим Положением под роспись в листе ознакомления и иными нормативными актами предприятия (приказы, распоряжения, инструкции и т.п.), регулирующими обработку и защиту персональных данных субъектов;
12.2.2 истребование с работника, имеющего доступ к персональным данным, (за исключением руководителя предприятия) письменного обязательства о соблюдении конфиденциальности персональных данных субъектов и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 8).
12.3 Обязательство оформляется за подписью работника в одном экземпляре, которое регистрируется и хранится на ФКП «Завод имени Я.М.Свердлова» в Управлении по безопасности. При увольнении работника с предприятия обязательство передается в отдел кадров и подшивается в личное дело.
12.4 Доступ к персональным данным субъектов персональных данных других работников предприятия, не имеющих надлежащим образом оформленного допуска, запрещается.
12.5 Лица, допущенные к персональным данным субъектов, должны четко знать и выполнять установленные требования федерального законодательства по порядку работы с персональными данными.
12.6 Доступ третьих лиц к документам (иным материальным носителям), содержащим персональные данные субъекта персональных данных, возможен только с письменного согласия субъекта и осуществляется при наличии:
- договора на оказание услуг предприятию;
- соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, ее перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
12.7 Доступ третьих лиц к персональным данным субъекта персональных данных может осуществляться без согласия субъекта в случаях, предусмотренных действующим законодательством (налоговые, правоохранительные органы и др.).
12.8 В подразделениях предприятия определены лица, ответственные за порядок обработки и хранения персональных данных, назначенные приказом генерального директора предприятия, в обязанности которых входит:
12.8.1 контролировать исполнение требований безопасности персональных данных работниками структурного подразделения;
12.8.2 знакомить работников структурного подразделения, допущенных к работе с персональными данными, с нормативными документами предприятия по защите персональных данных и изменениями к ним;
12.8.3 контролировать оформление работниками подразделения, допущенными к работе с персональными данными, обязательства о соблюдении режима конфиденциальности персональных данных;
12.8.4 сообщать в Управление по безопасности об изменении списка лиц, допущенных к работе с персональными данными, по подразделению.

13. Передача персональных данных

13.1 При передаче персональных данных субъектов оператор должен соблюдать следующие требования:
13.1.1 Передача персональных данных субъектов третьему лицу:
13.1.1.1 передача персональных данных от держателя или его представителей третьему лицу допускается с согласия субъекта персональных данных в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
13.1.1.2 при передаче персональных данных субъекта персональных данных потребителям (в том числе и в коммерческих целях) за пределы ФКП «Завод имени Я.М.Свердлова»», оператору запрещено сообщать эти данные третьей стороне без письменного согласия субъекта (Приложение 9), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью или в случаях, установленных федеральным законодательством;
13.1.1.3 ответы на правомерные письменные запросы других фирм, учреждений и организаций предоставляются только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений;
13.1.1.4 не допускается отвечать на вопросы, связанные с передачей персональных данных, по незащищенным (открытым) каналам связи (электронной почте, телефону, факсу);
13.1.1.5 по возможности персональные данные обезличиваются.
13.1.2 Внутри ФКП «Завод имени Я.М.Свердлова» к разряду потребителей персональных данных относятся работники структурных подразделений предприятия, которым эти данные необходимы для выполнения должностных обязанностей. Потребители персональных данных должны быть включены в перечень лиц, допущенных к работе с персональными данными, ознакомлены с нормативными документами, регламентирующими обработку и защиту персональных данных, и подписать обязательство о неразглашении персональных данных (Приложение 8).
13.2 Оператору персональных данных необходимо предупредить лиц, получивших персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъектов персональных данных, обязаны соблюдать режим конфиденциальности.
13.3 Передача электронных версий документов, содержащих персональные данные субъектов, по сети разрешена только по защищенным каналам связи с использованием средств криптографической защиты информации.
13.4 В других случаях передача электронных версий документов, содержащих персональные данные, возможна только с использованием машинного носителя (диск, флеш-карта и т.д.), зарегистрированного в Управлении по безопасности. В подразделениях предприятия, при наличии данных носителей, они должны быть зарегистрированы в журнале учета машинных носителей персональных данных (Приложение 10). Ответственность за порядок обращения с машинными носителями персональных данных в подразделениях возлагается на ответственного за обработку и хранение персональных данных. Право пользования машинными носителями персональных данных с разрешения руководителя подразделения может быть предоставлено только лицам, допущенным к работе с персональными данными.
13.7 Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов распространяются как на бумажные, так и на машинные носители информации.
13.8 Передачу персональных данных субъектов в пределах предприятия и третьим лицам необходимо осуществлять в соответствии с настоящим Положением и законодательством Российской Федерации по защите персональных данных.

14. Порядок обработки биометрических персональных данных

14.1 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
14.2 Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
14.3 Личные фотографии субъектов, используемые в системе контроля и управления доступом, входят в категорию биометрических персональных данных.
14.4 Обработка биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
14.5 В отношении биометрических персональных данных должны быть приняты все предусмотренные законодательством правовые, организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении биометрических персональных данных.

15. Хранение персональных данных

15.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на материальных носителях, так и в электронном виде - локальной компьютерной сети, компьютерных программах, информационных системах персональных данных (ИСПДн), содержащих данные о кадровом составе предприятия, заработной плате работников, пенсионных отчислениях, сведения о налоговых платежах, воинском учете, картотеку клиентов Сбербанка, данные для обеспечения пропускного режима и др.
15.2 Оператору необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
15.3 При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Материальные носители должны храниться в шкафах, ящиках, запирающихся на ключ.
15.4 Если хранение материальных носителей персональных данных в ящиках, шкафах не представляется возможным (например, медицинская санитарная часть предприятия), доступ в помещение, где они хранятся, должен быть ограничен списком лиц, утвержденным начальником структурного подразделения.
15.5 Если хранение персональных данных организовано на машинном носителе (диск, флеш-карта и т.д.), то данный носитель должен быть поставлен на учет в Управлении по безопасности.
15.6 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
15.7 Сроки хранения документов, содержащих персональные данные, определены «Перечнем типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Минкультуры России № 558 от 25.08.2010г.
15.8 В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
15.9 По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном и машинном носителе.

16. Блокировка, обезличивание, уничтожение персональных данных

16.1 Порядок блокировки и разблокировки персональных данных:
16.1.1 Блокировка персональных данных субъектов осуществляется с письменного заявления субъекта персональных данных.
16.1.2 Блокировка позволяет остановить обработку данных в случаях:
- выявления недостоверных персональных данных;
- выявления неправомерных действий с ними;
- достижения цели обработки персональных данных;
- отзыва субъектом персональных данных согласия на обработку его персональных данных.
16.1.3 Блокировка персональных данных субъекта может быть временно снята, если это требуется для соблюдения законодательства.
16.1.4 Разблокировка персональных данных субъекта осуществляется с его письменного согласия или заявления. Повторное согласие субъекта персональных данных на обработку его данных влечет разблокирование его персональных данных.
16.2 Порядок обезличивания и уничтожения персональных данных:
16.2.1 Обезличивание персональных данных субъекта происходит по письменному заявлению субъекта персональных данных, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.
16.2.2 При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту без использования дополнительной информации.
16.2.3 Бумажные носители документов при обезличивании персональных данных уничтожаются.
16.2.4 Операция обезличивания персональных данных субъекта необратима.
16.2.5 Оператор обязан обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.
16.2.6 Уничтожение персональных данных субъекта подразумевает прекращение какого-либо доступа к персональным данным субъекта.
16.2.7 При уничтожении персональных данных субъекта оператор не может получить доступ к персональным данным субъекта в информационных системах.
16.2.8 Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.
16.2.9 Операция уничтожения персональных данных необратима.
16.2.10 Документы, машинные носители, содержащие персональные данные, подлежат уничтожению в порядке, предусмотренном действующим законодательством.
16.2.11 Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
16.2.12 Персональные данные на машинных носителях уничтожаются путем стирания или форматирования носителя.
16.2.13 Уничтожение производится комиссионно. Комиссия по уничтожению персональных данных назначается приказом генерального директора предприятия. Факт уничтожения персональных подтверждается документально актом об уничтожении носителей, подписанным членами комиссии. Форма акта об уничтожении персональных данных, их носителей представлена в Приложении 11.

17. Требования к помещениям, где обрабатываются и хранятся персональные данные

17.1 Доступ в помещения, где обрабатываются и хранятся персональные данные, должен быть ограничен установлением особого режима прохода в такие помещения, направленного на защиту персональных данных от несанкционированного доступа к ним, их изменения или распространения.
17.2 Запрещается оставлять помещение, в котором обрабатываются персональные данные, открытым без присмотра.
17.3 Доступ в помещения, в которых обрабатываются и хранятся персональные данные субъектов, осуществляется в соответствии с Инструкцией о пропускном режиме ФКП «Завод имени Я.М.Свердлова».

18. Защита персональных данных

18.1 Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном федеральным законодательством.
18.2 Оператор при обработке персональных данных должен принимать все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий.
18.3 Организационные меры по защите персональных данных включают в себя:
- выбор целесообразных способов (мер и средств) защиты персональных данных в соответствии с задачами и замыслом защиты;
- разработка документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (положения, политика, инструкции);
- знание работниками требований нормативно-методических документов по защите информации и сохранении персональных данных;
- определение перечня лиц, допущенных к обработке персональных данных;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- назначение ответственного лица за организацию обработки и защиты персональных данных;
- назначение администратора безопасности ИСПДн;
- определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн и разработка мер и мероприятий по защите персональных данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, где осуществляется обработка персональных данных;
- установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями;
- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;
- организация контролируемого режима входа в указанные помещения и выхода из них;
- организация порядка уничтожения информации;
- осуществление внутреннего контроля и аудита.
18.4 Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации.
18.5 Технические средства защиты информации делятся на два основных класса:
18.5.1 средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические средства и т.п.);
18.5.2 средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
18.6 Для осуществления мероприятий по защите персональных данных при их обработке в информационных системах от НСД и неправомерных действий пользователей и нарушителей средства защиты персональных данных (СЗПДн) могут включать в себя следующие подсистемы:
- управления доступом;
- регистрации и учета;
- обеспечения целостности обрабатываемой информации;
- антивирусной защиты;
- обеспечения безопасности межсетевого взаимодействия ИСПДн;
- анализа защищенности;
- защиты электронной почты;
- обнаружения вторжений.
18.7 Для защиты персональных данных субъектов от посторонних лиц, не имеющих непосредственного отношения к деятельности предприятия, необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим предприятия;
- порядок охраны территории, зданий, помещений, транспортных средств.
18.8 Доступ к персональным данным субъектов персональных данных, которые обрабатываются в ИСПДн, должен быть ограничен средствами аутентификации и идентификации. Учетная запись выдается в Отделе информационных технологий предприятия персонально для каждого пользователя системы для выполнения работниками своих служебных обязанностей. Запрещено передавать пароль для входа в ИСПДн другому лицу.
18.9 ИСПДн могут быть использованы исключительно для деятельности, предусмотренной производственной необходимостью и должностными обязанностями. Запрещено использовать ИСПДн в личных целях.

19. Ответственность за нарушение правил работы с персональными данными

19.1 Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
19.2 Руководитель подразделения, разрешающий доступ работника подразделения к персональным данным, несет персональную ответственность за данное разрешение.
19.3 Каждый работник, получающий доступ к персональным данным субъектов и подписавший обязательство о неразглашении, несет единоличную, персональную ответственность за конфиденциальность информации.
19.4 Лица, виновные в нарушении норм порядка обработки и защиты персональных данных субъектов, несут ответственность в соответствии с федеральным законодательством.
19.5 Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет дисциплинарную, административную, гражданско - правовую или уголовную ответственность граждан и юридических лиц.
19.6 В соответствии со ст. 7 Федерального закона №152 от 27.07.2006г. «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять личные сведения без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
19.7 К уголовной, административной и дисциплинарной ответственности привлекается лицо, виновное в разглашении персональных данных, в соответствии со ст.24 Федерального закона от 27.07.2006г. «О персональных данных», ст. 23, 24 Конституции РФ, ст. 86 ТК РФ, Федеральным законом от 27.07.2006г. № 149-ФЗ «Об информации, информатизации и защите информации», ст. 90 ТК РФ, пп. «в» п. 6 ст. 81 ТК РФ.

20. Контроль

20.1 Контроль за соблюдением требований нормативной документации, обеспечением комплексного использования технических средств, методов и организационных мероприятий по защите персональных данных, обеспечением соблюдения режима проводимых работ и сохранения конфиденциальности персональных данных на ФКП «Завод имени Я.М.Свердлова» осуществляет Управление по безопасности.
20.2 По фактам утраты, разглашения, хищения персональных данных, нарушения правил обращения с документами и пользования информационными системами персональных данных Управление по безопасности принимает участие в проведении расследований.
20.3 Проведение плановых проверок в подразделениях, в которых ведется обработка персональных данных, осуществляется по графику, утвержденному генеральным директором предприятия.
20.4 Внеплановые проверки проводятся в случае изменения состава персональных данных, уровня защищенности ИСПДн, нормативной документации, в ходе проведения проверок и расследований.

 

    у нас есть все, что нужно!

    питание

    В санатории особое внимание уделяется правильной и хорошо продуманной организации питания

    Изучить всё меню
    лечение

    Лечение и профилактика заболеваний: органов пищеварения, костно-мышечной, нервной, сердечно-сосудистой систем, органов дыхания, печени и желчевыводящих путей, профессиональных заболеваний

    Все виды лечения у нас
    развлечения
    Все развлечения
    © 2012 Санаторий-профилакторий «Ока», ФКП «Завод имени Я. М. Свердлова» Использование материалов сайта без согласования запрещено. Дизайн Тараненко Андрея
    Разработка и продвижение сайта - E-Terra
    September 17, 2019, 6:02 pm