Приложение № 1
Утверждена приказом руководителя гостиничного комплекса ИП Галузина Е.В.
от 01 октября 2018года № 54/1
Политика ИП Галузина Е.В. в отношении обработки персональных данных
- Общие положения
- Политика Индивидуального предпринимателя Галузина Елена Владимировна (далее – Оператор) в отношении обработки персональных данных (далее – Политика) определяет цели и общие принципы, порядок, условия обработки персональных данных, а также реализуемые меры защиты персональных данных в ИП Галузина Е.В.
- Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц. Политика действует бессрочно после утверждения и до ее замены новой версией.
- В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».
- Политика распространяется на всех работников Оператора и все структурные подразделения Общества. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
- Настоящая политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых в ИП Галузина Е.В., которые могут быть получены как от физического или юридического лица (контрагента), состоящего в договорных отношениях с Оператором, так и от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работника).
- Целью настоящей Политики является защита интересов Оператора, ее клиентов, партнеров, контрагентов, работников и посетителей сайтов, а также соблюдение требований Законодательства Российской Федерации о персональных данных.
- Для целей настоящей Политики используются основные понятия, определенные в ст. 3 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».
- Политика распространяется на персональные данные полученные как до, так и после утверждения настоящей Политики.
- Политика обязательна для ознакомления лицами, передающими в ИП Галузина Е.В. персональные данные.
- Персональные данные являются конфиденциальной информацией.
Оператор обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьими лицами без согласия Клиентов/работников либо наличия иного законного основания.
1.10.1. Лица, имеющие доступ к персональным данным Клиентов/работников, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
1.10.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов/работников распространяются на все носители информации как на бумажные, так и на автоматизированные.
1.10.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
- Текущая редакция Политики размещается на сайте Оператора в общем доступе и вступает в силу с момента её размещения
- Обеспечение необходимого и достаточного уровня безопасности персональных данных и другой конфиденциальной информации является важнейшим условием деятельности ИП Галузина Е.В.
- Принципы обработки персональных данных
- Обработка персональных данных осуществляется ИП Галузина Е.В. на законной и справедливой основе.
- При обработке персональных данных ИП Галузина Е.В. соблюдаются следующие принципы:
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
– хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Сроки хранения документов и порядок их уничтожения, в том числе электронных документов, содержащих персональные данные,осуществляется в соответствии с законодательством РФ.
- Безопасность персональных данных в ИП Галузина Е.В. обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
- Условия обработки персональных данных
- Обработка персональных данных в ИП Галузина Е.В. допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных осуществляется без согласия Субъекта персональных данных на обработку его персональных данных для достижения целей, предусмотренных: заключаемыми договорами; Трудовым кодексом Российской Федерации от 30.12.2001 г. № 197-ФЗ; Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации (часть первая – Федеральный закон от 31.07.1998 г. № 146- ФЗ; часть вторая – Федеральный закон от 05.08.2000 г. № 117 – ФЗ); Федеральным законом от 24 июля 2009 г. N 212-ФЗ “О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования”; Федеральным законом от 15 декабря 2001 г. N 167-ФЗ “Об обязательном пенсионном страховании в Российской Федерации”, и для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
- В случае необходимости ИП Галузина Е.В. может включить персональные данные своих работников в общедоступные источники персональных данных, при этом ИП Галузина Е.В. обязана взять письменное согласие субъекта на обработку его персональных данных.
- Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
- В ИП Галузина Е.В. могут обрабатывается биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных).
- ИП Галузина Е.В. не осуществляет трансграничную передачу персональных данных.
- Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
- При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.
- ИП Галузина Е.В. вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом ИП Галузина Е.В. в договоре обязует лицо, осуществляющее обработку персональных данных по поручению ИП Галузина Е.В., соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей политикой и Федеральным законом Российской Федерации «О персональных данных».
- В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
- Оператор обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
- Сведения об обработке персональных данных
4.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.
4.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
- Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
- Законом РФ «О праве граждан РФ на свободу передвижения, выбор места пребывания и жительства в пределах РФ» от 25.06.1993 N 5242—1, Постановлением Правительства РФ «Об утверждении правил регистрации и снятия граждан РФ с регистрационного учета по месту пребывания и по месту жительства в пределах РФ и перечня должностных лиц, ответственных за регистрацию» от 17.07.1995 г. N 713, Приказом Федеральной Миграционной службы «Об утверждении административного регламента исполнения Федеральной миграционной службой государственной функции по организации и ведению адресно-справочной работы» от 29.10.2007 N208 и другими нормативно-правовыми актами.
- Устав ЗАО «ПФ «СКБ Контур»;
- Регламент Удостоверяющего центра ЗАО «ПФ «СКБ Контур».
4.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
- заключение трудовых отношений с физическими лицами;
- заключение договоров возмездного оказания услуг;
- выполнение договорных обязательств Оператора;
- соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.
4.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
- кандидаты на замещение вакантных должностей;
4.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; состояние здоровья,социальное положение; имущественное положение;образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.
4.7. Другая категория субъектов персональных данных – заявители, обратившихся в ИП Галузина Е.В. в целях получения услуг. Для данной категории субъектов могут обрабатываться: персональный идентификатор; фамилия, имя, отчество субъекта персональных данных; вид документа, удостоверяющего личность субъекта персональных данных; серия и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе; адрес места жительства субъекта персональных данных; почтовый адрес субъекта персональных данных; контактный телефон, факс (при наличии) субъекта персональных данных; адрес электронной почты субъекта персональных данных; ИНН субъекта персональных данных.
4.8. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
4.9. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.
4.10. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
- достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
- утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
- предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
- невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
- отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
- ликвидация (реорганизация) Оператора.
4.11. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:
- цели, условия, сроки обработки персональных данных;
- обязательства сторон, в том числе меры по обеспечению конфиденциальности;
- права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
4.12. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условийдоговора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.
4.13. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.
- Меры по обеспечению безопасности персональных данных
5.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
- назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
- обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
- ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
- Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
– использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным клиентов;
– системой паролей. Пароли устанавливаются и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
- Права субъектов персональных данных
6.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.
6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.
6.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Ответственность Оператора
7.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора. В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Оператор обязуется:
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
- по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
- уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
- в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Университетом и субъектом персональных данных;
- уведомить субъекта персональных данных об уничтожении его персональных данных;
- в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных
7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
7.3. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.
7.4. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора.
- Изменение политики
8.1. Оператор имеет право вносить изменения в настоящую Политику.
8.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики.
- Порядок уничтожения персональных данных
9.1. Под уничтожением персональных данных работников, клиентов ИП Галузина Е.В., а также третьих лиц, чьи персональные данные обрабатываются в информационной системе персональных данных, понимается действия, в результате которых невозможно достоверно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
9.2. Уничтожение персональных данных должно соответствовать следующим требованиям: 9.2.1. быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления.
9.2.2. оформляться юридически в виде акта об удалении персональных данных.
9.2.3. должно проводиться комиссией по уничтожению персональных данных.
9.2.4. уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением целей обработки указанных персональных данных, либо утраты необходимости в их достижении. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижению этих целей или в случае утраты необходимости в их достижении, но не более 30 дней с момента прекращения их обработки.
9.2.5.Носители персональных данных субъектов персональных данных уничтожаются по достижению целей их обработки или в случае утраты необходимости в их достижении в составе Комиссии с использованием следующих средств: – уничтожение персональных данных, хранящихся в информационных системах персональных данных, осуществляется путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных – уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части (шредер), исключающие возможность последующего восстановления информации.
9.2.6. Ответственным за выполнение требований настоящей Политики обработки персональных данных возложить на Махракова Евгения Викторовича.
- Обработка персональных данных без использования средств автоматизации.
10.1 Правила работы с персональными данными и их материальными носителями без использования средств автоматизации определены в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства РФ от 15.09.2008 № 687. Обработка персональных данных, полученных от работника, клиента либо другого субъекта Оператора, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Документ, содержащий персональные данные – материальный носитель с зафиксированной на нем в любой форме информацией, содержащей персональные данные работников в виде текста, фотографии и(или) их сочетания.
10.2. Обработка персональных данных ведется в отношении личных персональных данных (персональные данные, подвергающиеся обработке) и должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При фиксации персональных данных на материальных носителях не допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Работники, осуществляющие обработку персональных данных, информируются непосредственным начальником (руководителем) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. Типовые формы документов должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных. Хранение документов, содержащих персональные данные, осуществляется в шкафах, запираемых на ключ. Уничтожение документов, содержащих персональные данные, осуществляется способом, не позволяющим в дальнейшем ознакомиться с персональными данными.
10.3. При работе с документами, содержащими персональные данные, сотрудник обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
При выносе документов, содержащих персональные данные, за пределы территории Оператора по служебной необходимости сотрудник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
При утрате (утере, хищении) документов, содержащих персональные данные, работник обязан немедленно доложить о таком факте своему непосредственному начальнику (руководителю). Непосредственный начальник (руководитель) должен сообщить заместителю директора, курирующему вопросы защиты информации о факте утраты (утере, хищении) документов, содержащих персональные данные. По каждому такому факту назначается служебное расследование.
При работе с персональными данными субъектов персональных данных, а также с их носителями необходимо: – ограничить число работников, допущенных к работе с конкретными персональными данными списками – работа с носителями персональных данных должна производиться в специальных выделенных помещениях, должен быть определен список этих помещений.
Сотрудникам, допущенным к обработке персональных данных, запрещается:
- Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям.
- Делать неучтенные копии документов, содержащих персональные данные.
- Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра.
- Покидать помещение, не поместив документы с персональными данными в закрываемые шкафы.
- Выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
10.4. Контроль за выполнением положений настоящей Политики возлагается на Ответственного за соблюдение конфиденциальности персональных данных при их хранении. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством. В случае если в результате действий работника был причинен подлежащий возмещению работодателем ущерб третьим лицам, работник несет перед работодателем материальную ответственность в соответствии с главой 39 Трудового кодекса РФ. В случае разглашения персональных данных, ставших известными работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, трудовой договор с работником может быть расторгнут работодателем (подпункт «в» пункта 6 статьи 81 Трудового кодекса РФ).
- Обработка персональных данных и реализация требований по защите персональных данных
11.1. С целью осуществления своих полномочий ИП Галузина Е.В. обрабатывает персональные данные следующих субъектов:
– работников, заключивших трудовой договор с ИП Галузина Е.В. области, а также их близких родственников;
– физических лиц, соискателей должностей в ИП Галузина Е.В.;
– физических лиц или их уполномоченных представителей, обратившиеся в ИП Галузина Е.В. с обращением, заявлением или жалобой;
– индивидуальных предпринимателей и физических лиц, являющихся владельцами средств массовой информации;
– индивидуальных предпринимателей и физических лиц, их уполномоченных представителей, представивших уведомление об обработке персональных данных, заявление о выписке из реестра операторов, обрабатывающих персональные данные, заявление об исключении из реестра операторов, обрабатывающих персональные данные;
– физических лиц, персональные данные которых были получены в результате проведения мероприятий государственного контроля (надзора) за соблюдением требований законодательства Российской Федерации в области персональных данных;
11.2. С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами ИП Галузина Е.В. приняты следующие меры:
– приняты правовые, организационные и технические меры, установленные законодательством РФ в области персональных данных, по обеспечению безопасности обрабатываемых персональных данных;
– назначено лицо, ответственное за организацию обработки персональных данных;
– приказом руководителя ИП Галузина Е.В. утверждены следующие документы:
– правила обработки персональных данных;
– правила рассмотрения запросов субъектов персональных данных или их представителей;
– правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом “О персональных данных”, принятыми в соответствии с ним нормативными правовыми актами и локальными актами ИП Галузина Е.В.;
– правила работы с обезличенными персональными данными ИП Галузина Е.В.;
– перечень информационных систем персональных данных ИП Галузина Е.В.;
– перечень персональных данных, обрабатываемых в ИП Галузина Е.В. в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
– перечень должностей работников ИП Галузина Е.В., ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
– перечень должностей работников ИП Галузина Е.В., замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным;
– должностная инструкция ответственного за организацию обработки персональных данных в ИП Галузина Е.В.;
– типовое обязательство работника ИП Галузина Е.В., непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
– типовая форма согласия на обработку персональных данных работников ИП Галузина Е.В., иных субъектов персональных данных;
– порядок доступа работников ИП Галузина Е.В., в помещения, в которых ведется обработка персональных данных;
– список работников ИП Галузина Е.В., ответственных за обеспечение безопасности персональных данных и сохранность носителей персональных данных в служебных помещениях;
– список работников ИП Галузина Е.В., допущенных к обработке персональных данных;
– выполнены требования по обработке персональных данных, осуществляемой без использования средств автоматизации;
– с целью осуществления внутреннего контроля за соответствием обработки персональных данных обязательным требованиям в ИП Галузина Е.В., организовано проведение периодических проверок условий обработки персональных данных;
– работники ИП Галузина Е.В., непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
11.3. Здание и служебные помещения ИП Галузина Е.В., находятся под охраной. Доступ посетителей в служебные помещения ИП Галузина Е.В., в которых ведется обработка персональных данных, разрешен только после регистрации в книге учета посетителей.
Компоненты информационных систем персональных данных ИП Галузина Е.В., размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов. По окончании рабочего дня служебные помещения сдаются под охрану в соответствии с приказом руководителя ИП Галузина Е.В.
Доступ к программам защищен паролями доступа: доступ к компьютеру защищен средствами контроля прав доступа, организована защита сети от атак извне, защита локальной сети от вмешательств из сети Интернет.
- Заключительные положения
Сведения об ИП Галузина Е.В., как об операторе, осуществляющем обработку персональных данных, внесены в Реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером 1401366 , дата внесения записи 15.11.2017 г.
Ответственность должностных лиц ИП Галузина Е.В., допущенных к обработке персональных данных, за невыполнение обязательных требований определяется в соответствии с законодательством РФ и локальными актами в области обработки персональных данных.
П Р И К А З № 54/1
г. Красноярск 01.10.2018 г.
Об обработке персональных данных в ИП Галузина Е.В.
В соответствии со статьей 87 Трудового кодекса РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687
«Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»,
ПРИКАЗЫВАЮ:
- Утвердить Политику об обработке и защите персональных данных в ИП Галузина Е.В. согласно приложению № 1.
- Опубликовать приказ на Официальном интернет-портале www.takmakhotel.ru
- Ознакомить с приказом следующих лиц:
Руководитель гостиничного комплекса
Заместитель руководителя гостиничного комплекса
Менеджер по персоналу
Бухгалтер-кассир
Бухгалтер
Помощник администратора;
Администратор
Менеджер гостиничного обслуживания
Ведущий инженер.
4.Приказ вступает в силу через 10 дней после его официального опубликования.