Утверждено
Индивидуальным предпринимателем Сальниковым А.В.,
приказ №1-од от 01.01.2022
Положение об обработке персональных данных
1 Общие положения
Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых ИП Сальниковым А.В. (ОГРН 320253600065590 от 19.11.2020, адрес места нахождения 692502, Приморский край, город Уссурийск, улица Стаханова, д.40Б квартира 12) (далее -Оператор) как с использованием средств автоматизации, так и без использования таких средств.
В Положении используются следующие понятия:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор – лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющие обработку персональных данных, состав персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ИП Сальников А.В.;
- персональные данные – любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- пользователь – субъект персональных данных;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Действия Положения распространяются на все структурные подразделения Оператора.
Настоящее Положение должно быть доведено до каждого работника Оператора, осуществляющего обработку персональных данных, под роспись.
2 Субъекты и цели обработки персональных данных
Цели обработки персональных данных Пользователей, основания для их обработки, возможные действия (операции), совершаемые с персональными данными, сроки обработки и состав обрабатываемых персональных категорий субъектов персональных данных, обрабатываемых у Оператора, указаны в Оферте (глава 9).
3 Организация обработки персональных данных
3.1 Назначение ответственных лиц
Для организации обработки персональных данных у Оператора назначается ответственное лицо.
Для определения уровня защищенности информационных систем персональных данных, проверки готовности средств защиты информации к использованию, а также уничтожению персональных данных приказом Оператора назначается комиссия по приведению в соответствие с требованиями законодательства в области персональных данных (далее – Комиссия).
3.2 Допуск работников к обработке персональных данных
Допуск работников Оператора к обработке персональных данных осуществляется на основании приказа о назначении на должность в соответствии с Перечнем должностей и третьих лиц, имеющих доступ к персональным данным.
Работники Оператора получают доступ к обработке персональных данных для выполнения ими служебных (трудовых) обязанностей, после выполнения следующих мероприятий:
- ознакомление под роспись с руководящими документами Оператора и информативными актами по обработке и обеспечению безопасности персональных данных;
- оформления письменного обязательства о неразглашении персональных данных, форма которого утверждена приказом руководителя Оператора.
Работники Оператора, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения служебных (трудовых) обязанностей.
3.3 Получение персональных данных
Персональные данные субъекта получаются только от него самого или от него законного представителя. В случае если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких данных обязан уведомить субъект о получении его персональных данных.
3.4 Систематизация, накопление, уточнение, и использование персональных данных
Систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных.
Работники Оператора, имеющие доступ к персональным данным, должны обеспечить их обработку, исключающую несанкционированный доступ к ним третьих лиц.
3.5 Передача персональных данных
Передача персональных данных третьим лицам может осуществляться только при наличии письменного согласия субъекта, если иное не предусмотрено законодательством.
При передачи персональных данных субъектов третьим лицам, с третьим лицом должно быть подписано соглашение, предусматривающее нормы о соблюдении безопасности персональных данных, переданных на обработку (либо включено данное обязательство в заключаемый /действующий договор).
Передача персональных данных субъектов между подразделениями Оператора должна осуществляться только работниками, допущенными к обработке персональных данных
3.6 Хранение персональных данных
Хранение персональных данных субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений Оператора, а также в информационных системах Оператора, обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа.
Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации должно производиться в течении 30 дней с даты достижения цели обработки (предельного срока хранения) персональных данных. При невозможности уничтожения персональных данных в течении 30 жней с даты достижения целей обработки персональных данных, обеспечивается их блокирование и уничтожение в срок, не превышающий шести месяцев.
3.7 Уведомление об обработке персональных данных
Оператор уведомляет Уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных.
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных Оператор также уведомляет об этом Уполномоченный орган.
4 Особенности организации обработки персональных данных, осуществляемых без использования средств автоматизации
Персональные данные при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При обработке различных категорий персональных данных без использования средств автоматизации для каждой категории персональных данных должен использоваться отдельный материальный носитель.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
- типовая форма должна содержать сведения о цели обработки персональных данных, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных – при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5 Организация защиты персональных данных
Персональные данные обрабатываются у Оператора как с использованием средств автоматизации, так и без использования таких средств.
Порядок обработки и защиты персональных данных в информационной системе Оператора определяется Положением об обеспечении безопасности персональных данных.
Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств.
Работники Оператора, которые в рамках исполнения своих должностных обязанностей имеют доступ к персональным данным обязаны соблюдать режим конфиденциальности персональных данных на всех этапах их обработки.
Доступ работников Оператора и иных лиц в помещения, в которых осуществляется обработка и хранение персональных данных, ограничивается организационными мерами и применением системы контроля и управления доступом.
Организацию обработки персональных данных субъектов, контроль за соблюдением мер их защиты в структурных подразделениях Оператора, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
Разработка и осуществление мероприятий по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, может осуществляться сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.
6 Порядок обработки обращений и запросов по вопросам обработки персональных данных
Порядок обработки запросов субъектов персональных данных описан в Регламенте по реагированию на запросы субъектов персональных данных.
Порядок обработки запросов уполномоченных органов в области персональных данных описан в Регламенте по взаимодействию с органами государственной власти в области персональных данных.
7 Заключительные положения
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленными законами.
Разглашение персональных данных, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) Оператора, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет материальную ответственность в случае причинения его действиями ущерба работодателю.
Работники Оператора, имеющие доступ к персональным данным, виновные в их незаконном разглашении или использовании без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность.