Оглавление
- Общие положения
- Термины и определения
- Цели и задачи обработки персональных данных
- Персональные данные, обрабатываемые в информационной системе персональных данных
- Доступ к персональным данным
- Основные требования по защите персональных данных
- Согласие на обработку Персональных данных
- Права субъекта в отношении Персональных данных, обрабатываемых оператором
- Права и обязанности оператора Информационной системы Персональных данных
- Порядок обработки и защиты Персональных данных
- Ответственность за нарушение настоящего положения
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных при их обработке в информационных системах персональных данных.
1.2. Настоящее Положение направлено на осуществление деятельности ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)" по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайны.
1.3. Настоящее Положение разработано в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее по тексту – ФЗ "О персональных данных") и действует в отношении всех персональных данных, обрабатываемых в ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)".
1.4. Персональные данные являются информацией ограниченного доступа и носят конфиденциальный характер в соответствии с действующим законодательством Российской Федерации.
1.5. Персональные данные могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в том числе: Федеральным законом от 29.07.2004 № 98-ФЗ "О коммерческой тайне", Федеральным законом от 07.07.2003 № 126-ФЗ "О связи", Федеральным законом от 02.12.1990 № 395-1 "О банках и банковской деятельности", Федеральным законом от 22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации" и другим отраслевым законодательством. Порядок обработки персональных данных в ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)" регулируется настоящим Положением в соответствии с требованиями действующего законодательства Российской Федерации в области персональных данных и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки информации конфиденциального характера.
1.6. Организация хранения, учета и использования персональных данных в ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)" осуществляется в соответствии с ФЗ "О персональных данных" и нормативными документами ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)".
В соответствии с п. 2 ч. 2 ст. 1 ФЗ "О персональных данных" обращение с документами, переданными на хранение в соответствии с архивным законодательством, не регулируется настоящим Положением.
1.7. Настоящее Положение распространяется на все процессы ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)", связанные с обработкой персональных данных субъектов, и обязательна для применения всеми работниками ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)", осуществляющими обработку персональных данных в силу своих должностных обязанностей.
1.8. Во всех случаях, не урегулированных настоящим Положением, необходимо руководствоваться действующим законодательством Российской Федерации.
Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены ФЗ "О персональных данных", то ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)" применяет правила международного договора.
2. Термины и определения
2.1. В целях настоящего Положения используются следующие термины и определения:
2.1.1. "Абонент" – физическое или юридическое лицо, индивидуальный предприниматель, с которым заключен Договор с выделением не менее одного Абонентского номера и (или) Уникального кода идентификации.
2.1.2. "Персональные данные" – любая информация, относящаяся прямо и (или) косвенно определенному или определяемому физическому лицу.
2.1.3. "Оператор персональных данных" – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.4. "Обработка персональных данных" – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.5. "Автоматизированная обработка персональных данных" – обработка персональных данных с помощью средств вычислительной техники.
2.1.6. "Распространение персональных данных" – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.7. "Предоставление персональных данных" – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.8. "Блокирование персональных данных"– временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.9. "Уничтожение персональных данных" – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.10. "Обезличивание персональных данных" – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.11. "Информационная система персональных данных" – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.12. "Трансграничная передача персональных данных" – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.2. Термины и определения, используемые в тексте настоящего Положения, в приложениях к нему и в иных непосредственно связанных документах понимаются так, как они определены в тексте настоящего Положения. При отсутствии в тексте Положения используемого определения применяется нормативная терминология законодательства Российской Федерации действовавшего на день возникновения правоотношений регулируемых настоящим Положением.
3. Цели и задачи обработки персональных данных
3.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
3.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.4. Содержание и объем, обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.5. Обработка персональных данных сотрудников Оператора может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора.
3.6. Обработка персональных данных в ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)" осуществляется в следующих целях:
3.6.1. Предоставление услуг связи и выполнение законодательства о связи;
3.6.2. Обеспечение трудовых и производственных процессов и выполнение законодательства Российской Федерации, связанного с трудовыми отношениями;
3.6.3. Учет и регистрация посетителей офисов ООО "ИНФИНИТИ ГРУПП (РИТЕЙЛ)";
3.6.4. Выполнение законодательства Российской Федерации об акционерных обществах;
3.6.5. Предоставление услуг, неразрывно связанных с услугами связи;
3.6.6. Предоставление дополнительных услуг;
3.6.7. Выполнение иных требований законодательства Российской Федерации.
4. Персональные данные, обрабатываемые в информационной системе персональных данных
4.1. В информационной системе персональных данных обрабатываются персональные данные следующих субъектов персональных данных:
4.1.1. сотрудники Оператора;
4.1.2. учредители Оператора, лица, связанные с сотрудниками, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.);
4.1.3. клиенты (потребители услуг Оператора);
4.1.4. индивидуальные предприниматели – контрагенты Оператора;
4.1.5. клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов).
4.2. Перечень, приведенный в п. 4.1 настоящего Положения может пересматриваться Оператором в одностороннем порядке по мере необходимости.
4.3. Полные списки обрабатываемых персональных данных формируются в перечне персональных данных, подлежащих защите в информационной системе персональных данных Оператора.
5. Доступ к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с Персональных данных, получают допуск к необходимым категориям персональным данным на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с персональными данными, который утверждается Руководителем Оператора. Перечень составлен на основе Концепции информационной безопасности и Политики информационной безопасности.
5.2. Список лиц, имеющих доступ к персональным данным для информационной системы, должен поддерживаться в актуальном состоянии.
5.3. Оператором установлен разрешительный порядок доступа к персональным данным. Сотрудникам Оператора предоставляется доступ к работе с персональными данными исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Руководителя.
5.4. Временный или разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию с Руководителем.
5.5. Доступ к персональным данным третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта персональных данных, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Руководителя Оператора.
5.6. В случае если сотруднику сторонней организации необходим доступ к персональным данным Оператора, то необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности персональных данных и обязанность сторонней организации и ее сотрудников по соблюдению требований текущего законодательства Российской Федерации в области защиты персональных данных. Кроме того, в случае доступа к персональным данным лиц, не являющихся сотрудниками Оператора, должно быть получено согласие субъектов персональных данных на предоставление их персональных данных третьим лицам. Указанное согласие не требуется, если персональные данные предоставляются в целях исполнения гражданско-правового договора, заключенного Оператором с субъектом персональных данных.
5.7. Доступ сотрудника Оператора к персональным данным прекращается со дня прекращения трудовых отношений, либо дня изменения должностных обязанностей сотрудника и (или) исключения сотрудника из списка лиц, имеющих право доступа к персональным данным. В случае увольнения все носители, содержащие персональные данные, которые в соответствии с должностными обязанностями находились в распоряжении работника во время работы, должны быть переданы соответствующему должностному лицу.
6. Основные требования по защите персональных данных
6.1. При обработке персональных данных в информационной системе должно быть обеспечено:
6.1.1. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
6.1.2. Своевременное обнаружение фактов несанкционированного доступа к персональным данным;
6.1.3. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
6.1.4. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.5. Постоянный контроль над обеспечением уровня защищенности персональных данных.
6.2. Оператор обязан принимать необходимые правовые, организационные, технические и другие меры для обеспечения безопасности персональных данных.
6.3. Оператором используется технические средства и программное оборудование для обработки и защиты персональных данных. Также ведется журнал учета средств защиты персональных данных.
6.4. Оператором ведется журнал учета и хранения съемных носителей информации.
6.5. Вышеуказанные технические средства информационной системы персональных данных размещаются в офисе и помещениях Оператора.
6.6. Сотрудники Оператора обязаны незамедлительно сообщать соответствующему должностному лицу Оператора об утрате или недостаче носителей информации, составляющей персональные данные, а также о причинах и условиях возможной утечки персональных данных. В случае попытки посторонних лиц получить от сотрудника персональные данные, обрабатываемых Оператором незамедлительно известить об этом соответствующее должностное лицо Оператора.
7. Согласие на обработку Персональных данных
7.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
7.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
7.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.
7.4. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
7.5. Получение письменного согласия на обработку персональных данных осуществляется сотрудником Оператора, при получении персональных данных от субъекта персональных данных, путем оформления письменного согласия по форме, установленной у Оператора информационной системы персональных данных.
8. Права субъекта в отношении Персональных данных, обрабатываемых оператором
8.1. Субъект персональных данных имеет право:
8.1.1. – на получение информации от Оператора, касающейся обработки его Персональных данных. Сведения должны быть предоставлены субъекту Персональных данных Оператором в доступной форме, и в них не должны содержаться Персональных данных, относящиеся к другим субъектам Персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных. Перечень сведений и порядок получения сведений предусмотрен действующим законодательством РФ;
8.1.2. – требовать от Оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
8.1.3. – на условие предварительного письменного согласия при обработки Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
8.1.4. – на условие письменного согласия при принятии на основании исключительно автоматизированной обработки Персональных данных решений Оператора, порождающих юридические последствия в отношении субъекта Персональных данных или иным образом затрагивающих его права и законные интересы;
8.1.5. – заявлять возражения на решения Оператора на основании исключительно автоматизированной обработки его Персональных данных и возможные юридические последствия такого решения;
8.1.6. – обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке.
9. Права и обязанности оператора Информационной системы Персональных данных
9.1. Оператор информационной системы персональных данных вправе:
9.1.1. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
9.1.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве Российской Федерации.
9.1.3. Отказать субъекту персональных данных в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством Российской Федерации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
9.1.4. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора информационной системы персональных данных, предусмотренных законодательством Российской Федерации.
9.2. Оператор информационной системы персональных данных обязан:
9.2.1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
9.2.2. При получении доступа к персональным данным не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
9.2.3. Представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия законных оснований, обработки персональных данных без согласия субъекта персональных данных.
9.2.4. До начала осуществления трансграничной передачи персональных данных убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
9.2.5. Прекратить по требованию субъекта персональных данных обработку его персональных данных, в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
9.2.6. Разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
9.2.7. При сборе персональных данных, предоставить субъекту персональных данных по его просьбе информацию, предусмотренную законодательством Российской Федерации.
9.2.8. Если предоставление персональных данных Оператору для субъекта персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональных данных.
9.2.9. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных законодательством Российской Федерации, до начала обработки таких персональных данных, предоставить субъекту персональных данных следующую информацию:
9.2.9.1. наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
9.2.9.2. цель обработки персональных данных и ее правовое основание;
9.2.9.3. предполагаемые пользователи персональных данных;
9.2.9.4. установленные настоящим Федеральным законом права субъекта персональных данных;
9.2.9.5. источник получения персональных данных.
9.2.10. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора информационной системы персональных данных, предусмотренных законодательством Российской Федерации.
9.2.11. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
9.2.12. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
9.2.13. Представить документы и локальные акты, предусмотренные законодательством Российской Федерации, и (или) иным образом подтвердить принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора информационной системы персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных.
9.2.14. При обработке персональных данных принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2.15. Сообщить в порядке, предусмотренном законодательством Российской Федерации, субъекту персональных данных или его представителю информацию безвозмездно о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональных данных при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней со дня получения запроса субъекта персональных данных или его представителя.
9.2.16. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение законодательства Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо со дня получения запроса субъекта персональных данных или его представителя.
9.2.17. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.2.18. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней со дня получения такого запроса.
9.2.19. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления, обязан прекратить неправомерную обработку Персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней со дня выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.2.20. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней со дня достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
9.2.21. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней со дня поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
9.2.22. Назначить лицо, ответственное за организацию обработки персональных данных.
10. Порядок обработки и защиты Персональных данных
10.1. Обеспечение конфиденциальности персональных данных, обрабатывающихся Оператором, является обязательным требованием для всех лиц, которым персональные данные стали известны.
10.2. Сотрудники Оператора, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов персональных данных на обработку.
10.3. В случае нарушения установленного порядка обработки персональных данных сотрудники Оператора несут ответственность в соответствии с разделом 11 настоящего Положения.
10.4. Персональные данные субъектов на бумажных носителях, обрабатываемые Оператором, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих персональных данных. Право допуска сотрудников к неавтоматизированной информационной системе персональных данных определяется приказом Руководителя. Носители персональных данных не должны оставаться без присмотра. При покидании рабочего места, сотрудники, осуществляющие обработку персональных данных должны, убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче персональных данных осуществляется по возможности их восстановление.
10.5. Места хранения документов, содержащих персональные данные:
10.5.1. Персональные данные клиентов Оператора (договоры, акты, соглашения, анкеты, копии паспортов, иные подобные документы, содержащие персональные данные клиентов Оператора, носителя информации хранятся в основном и запасном офисах Оператора, размещаются на полках и запираются на ключ. ответственное лицо, осуществляющее контроль определяется приказом Руководителя.
10.5.2. Персональные данные сотрудников Оператора - документы, носители информации хранятся в сейфе компании и запираются на ключ. ответственное лицо, осуществляющее контроль - Руководитель Оператора.
10.6. Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок, не более 1 (одного) рабочего дня.
10.7. Иные носители информации могут храниться в основном и запасном офисах Оператора, размещаются на полках и запираются на ключ или же в сейфе организации. Ответственное лицо, осуществляющее контроль за иными носителями информации определяется приказом Руководителя.
10.8. При работе с программными средствами автоматизированной системы Оператора, реализующей функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.
10.9. При получении персональных данных сотрудником Оператора, который в соответствии с должностными обязанностями получает персональные данные от клиента, сотрудника иного лица в обязательном порядке проводится проверка достоверности персональных данных. Ввод персональных данных, полученных Оператором, в информационную систему осуществляется сотрудниками имеющими доступ к соответствующим персональным данным. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
10.10. Особенности обработки персональных данных, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ПЭВМ) установлены в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
10.11. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
10.12. При неавтоматизированной обработке персональных данных на бумажных носителях:
10.12.1. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
10.12.2. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
10.13. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:
10.13.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
10.13.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, – при необходимости получения письменного согласия на обработку персональных данных;
10.13.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
10.13.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
10.14. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.15. Случаи уничтожения, блокирования и уточнения персональных данных:
10.15.1. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.15.2. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового м