5.3.5. Доступ к персональным данным Потребителя имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Процедура оформления доступа к персональным данным Потребителя включает в себя:

•Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Потребителя, с данными актами также производится ознакомление под роспись.

•Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных Потребителей и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

5.3.7. Сотрудник Организации, имеющий доступ к персональным данным Потребителей в связи с исполнением трудовых обязанностей:

•Обеспечивает хранение информации, содержащей персональные данные Потребителя, исключающее доступ к ним третьих лиц.

•В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Потребителей.

•При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Потребителей лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

•В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Потребителей, передаются другому сотруднику, имеющему доступ к персональным данным Потребителей по указанию руководителя Организации.

•При увольнении сотрудника, имеющего доступ к персональным данным Потребителей, документы и иные носители, содержащие персональные данные Потребителей, передаются другому сотруднику, имеющему доступ к персональным данным Потребителей по указанию руководителя Организации.

•В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Организации, доступ к персональным данным Потребителя может быть предоставлен иному сотруднику. Допуск к персональным данным Потребителя других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

5.3.9. Менеджер по кадровой работе обеспечивает:

•Ознакомление сотрудников под роспись с настоящим Положением.

•Истребование с сотрудников письменного обязательства (соглашение) о соблюдении конфиденциальности персональных данных Потребителя и соблюдении правил их обработки.

•Общий контроль за соблюдением сотрудниками мер по защите персональных данных Потребителя.

5.3.10. Защита персональных данных Потребителей, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

5.4. Защита персональных данных:

5.4.1. Персональные данные Потребителей в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах руководителя Организации и сотрудников, допущенных к обработке персональных данных Потребителей.

5.4.2. Документы, содержащие персональные данные Потребителей на бумажных носителях, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Потребителей, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

5.4.3. Защита доступа к электронным базам данных, содержащим персональные данные Потребителей, обеспечивается:

•Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.

•Разграничением прав доступа с использованием учетной записи.

•Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Потребителей.

5.4.3.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Потребителей, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.

5.4.3.2. Все электронные папки и файлы, содержащие персональные данные Потребителей, защищаются паролем, который устанавливается ответственным за ПК сотрудником Организации и сообщается Системному администратору.

5.4.3.3. Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.

5.4.4. Копировать и делать выписки персональных данных Потребителя разрешается исключительно в служебных целях.

5.4.5. Ответы на письменные запросы других организаций и учреждений о персональных данных Потребителей даются только с письменного согласия самого Потребителя, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Потребителя.

6.1. Порядок блокировки и разблокировки персональных данных:

6.1.1. Блокировка персональных данных Потребителей осуществляется с письменного заявления Потребителя.

6.1.2. Блокировка персональных данных подразумевает:

6.1.2.1. Запрет редактирования персональных данных.

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажных документов, относящихся к Потребителю и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировка персональных данных Потребителя может быть временно снята, если это требуется для соблюдения законодательства РФ.

6.1.4. Разблокировка персональных данных Потребителя осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Потребителя.

6.1.5. Повторное согласие Потребителя на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

6.2. Порядок обезличивания и уничтожения персональных данных:

6.2.1. Обезличивание персональных данных Потребителя происходит по письменному заявлению Потребителя, при условии, что все договорные отношения завершены.

6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Потребителю.

6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.

6.2.5. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

6.2.6. Уничтожение персональных данных Потребителя подразумевает прекращение какого-либо доступа к персональным данным Потребителя.

6.2.7. При уничтожении персональных данных Потребителя работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

6.2.8. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

6.2.9. Операция уничтожения персональных данных необратима.

6.2.10. Срок, после которого возможна операция уничтожения персональных данных Потребителя определяется окончанием срока указанным в пункте 7.3 настоящего Положения.