Действующий
7.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.2.1. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.2.2. Сотрудники Общества, осуществляющие обработку персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
7.2.3. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.2.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.2.5. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
7.3. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом, существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
7.3.1. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном виде (Информационной системе) - локальной компьютерной сети и «1С: Зарплата и Управление персоналом».
7.3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, согласием на обработку персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом либо согласием субъекта персональных данных.
8.1. Доступ сотрудников Общества к персональным данным, содержащимся как в автоматизированных информационных системах, так и на бумажных носителях осуществляется с согласия Управляющего Общества или уполномоченного им лица (доступ). При этом список лиц, имеющих право доступа к персональным данным (изменения в список) утверждается приказом Управляющим Общества.
8.2. При получении доступа к персональным данным сотрудники подписывают соглашение о неразглашении персональных данных.
8.3. Доступ к автоматизированным информационным системам должен быть разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
8.4. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной системе. Информация об учетной записи не может быть передана другим лицам. Запрещается использование для доступа к автоматизированным информационным системам Общества учетных записей других пользователей.
8.5. Созданием, удалением и изменением учетных записей пользователей автоматизированных информационных систем занимается уполномоченная специализированная организация, в соответствии с заключенным с Обществом договором на оказание услуг по информационному и сервисному обслуживанию.
8.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
9.1. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
9.2. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
9.3.1. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать ряд мер:
ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к персональным данным сотрудников.
рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание работником требований нормативно – методических документов по защите информации и сохранении тайны;