ПОЛОЖЕНИЕ об обработке, хранении и защите персональных данных Общества с ограниченной ответственностью «ЮжУралВодоканал»
1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящее Положение о защите, хранении и обработке персональных данных (далее - Положение) Общества с ограниченной ответственностью «ЮжУралВодоканал» (далее по тексту – Общество, Оператор) разработано в соответствии с:
Конституцией Российской Федерации;
Трудовым Кодексом Российской Федерации;
Гражданским Кодексом Российской Федерации;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
иными нормативно-правовыми актами РФ.
1.2. Цель настоящего Положения - определение порядка обработки, хранения и защиты персональных данных работников и всех потребителей услуг Общества, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящее Положение и изменения к нему утверждаются соответствующими Приказами Руководителя Общества.
1.4. Настоящее Положение вступает в силу с момента его утверждения Руководителем Общества и действует бессрочно, до замены его новым Положением.
1.5. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к ним. Все сотрудники Общества должны быть ознакомлены с настоящим Положением и изменениями к нему под подпись.
2. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. К Субъектам персональных данных относятся следующие категории физических лиц:
- Физические лица, состоящие и ранее состоявшие в трудовых отношениях с Обществом (работники);
- Потребители - физические лица, потребители услуг Общества.
2.2. Целью Положения о защите, хранении и обработке персональных данных является защита персональных данных работников Общества и потребителей услуг Общества от несанкционированного доступа, неправомерного их использования или утраты, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников и потребителей услуг Общества, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
3 ОБЪЕМ И СОДЕРЖАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Объем и содержание персональных данных потребителей услуг Общества:
- Фамилия, имя, отчество;
- Год рождения;
- Месяц рождения;
- Дата рождения;
- Место рождения;
- Семейное положение;
- Данные документа, удостоверяющего личность;
- Страховой номер свидетельства государственного пенсионного страхования;;
- ИНН;
- Адрес электронной почты;
- Номер телефона (домашний, сотовый).
3.2. В состав персональных данных работников Общества входят:
- Фамилия, Имя, Отчество;
- Дата рождения;
- Место рождения (населенный пункт, район, область);
- Данные документа, удостоверяющего личность;
- ИНН, код ИФНС;
- Страховой номер свидетельства государственного пенсионного страхования;
- Адрес для информирования физического лица;
- Адрес регистрации и проживания физического лица, домашний и сотовый телефон;
- Телефон сотрудника организации (городской, внутренний);
- E-mail физического лица;
- Гражданство;
- Состояние здоровья (на основании справки предварительного или периодического медицинского осмотра (обследования), инвалидность;
- Воинский учет (отношение к воинской обязанности, данные военного билета: категория запаса, воинское звание, состав (профиль);
- Семейное положение: Ф.И.О супруга, детей, дата рождения;
- Язык (наименование, степень знания языка);
- Учеба (вид образования, учебное заведение, специальность, диплом, серия, номер, год окончания, квалификация), Ученая степень, Сведения о повышении квалификации в организации (наименование курса, продолжительность, дата окончания, наименование документа, дата и № договора на обучение, дата и № соглашения об обучении за счет средств организации – работодателя, продолжительность периода отработки, отметка о предоставлении обучающих материалов в архив);
- Профессия (наименование в соответствии с ЕТКС, квалификация, Дополнительное образование физического лица (наименование курса, продолжительность, дата окончания, наименование документа);
- Сведения об участии в коммерческих организациях (наименование коммерческой организации, общества, ЕГРЮЛ, вид участия, размер участия);
- Сведения о предыдущих местах работы (наименование организации, должность, профессия, специальность, дата приема на работу, дата увольнения, основание прекращения трудового договора),
- Сведения о доходах от предыдущей трудовой деятельности (наименование организации, вид доходов, сумма на основании справки ф. 2-НДФЛ);
- Сведения о применяемых налоговых вычетах;
- Сведения о награждении физического лица;
- Сведения о награждении сотрудника организации;
- Сведения о привлечении к дисциплинарной ответственности сотрудника организации;
- Фотография.
3.3. В Обществе могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Субъектах персональных данных:
- Копии документов, удостоверяющих личность, а также иных документов, предоставляемых работниками и потребителями услуг Общества, и содержащих персональные данные;
- Договор (публичная оферта);
- Заявления, обращения, письма Потребителей в Общество;
- Данные по оплатам коммунальных услуг, содержащие платежные и иные реквизиты Потребителя;
- Записи телефонных переговоров и электронная переписка;
- Формы документов (в том числе электронные): акты опломбировки индивидуальных приборов учета или вводных вентилей, акты осмотра, акты снятия контрольных показаний.
3.3 Объем и содержание персональных данных указанных в п.3.1. - 3.3. настоящего Положения не является исключительным. Общество вправе обрабатывать персональные данные в меньшем объеме, а также персональные данные не указанные в Положении с соблюдением требований, предусмотренных Законом.
4 СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Сроки обработки персональных данных должны определяться в соответствии со сроками действия договоров с Субъектами персональных данных, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558, согласием субъектов персональных данных на обработку персональных данных, а также требованиями законодательства и нормативными документами Общества.
5 СПОСОБЫ ОБРАБОТКИ И ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
5.1 Общество осуществляет обработку персональных данных с использованием средств автоматизации (автоматизированная обработка персональных данных), а также без использования средств автоматизации.
5.2. Перечень действий с персональными данными, которые могут осуществляться Обществом при обработке персональных данных субъектов персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.3. Общество вправе вносить персональные данные в электронную базу данных, списки (реестры) и отчетные документы, предусмотренные документами, регламентирующими представление отчетных данных (документов).
6 ПОРЯДОК ПОЛУЧЕНИЯ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
6.2. Если персональные данные субъекта возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные субъекта, должно обладать согласием субъекта на передачу персональных данных Обществу. Общество обязано получить подтверждение от третьего лица, передающего персональные данные субъекта о том, что персональные данные передаются с его согласия. Общество обязано при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных субъектов.
6.3. Общество обязано сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
6.4 Ввод персональных данных в автоматизированные системы Общества осуществляется работниками Общества, имеющими доступ к работе с персональными данными, и в соответствии с их должностными обязанностями.
Ввод персональных данных в иные базы данных вводится сотрудниками специализированной организации, с которой с Обществом заключен договор поручения на обработку персональных данных с согласия субъектов персональных данных.
6.5. Общество не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
6.6. В случаях, предусмотренных ФЗ «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
6.7. Согласие не требуется в следующих случаях:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
6) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
7) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6.8 Общество обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено настоящим Положением и законодательством РФ.
6.9 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
6.10. В случае, если Общество в соответствии с п.3 ст.6 Закона «О персональных данных» поручает обработку персональных данных другому лицо, Общество обязано получить письменное согласие субъекта персональных данных на передачу обработки его персональных данных.
7 ПОРЯДОК ОБРАБОТКИ, ХРАНЕНИЯ, ОБЕЗЛИЧИВАНИЯ, БЛОКИРОВКИ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При обработке персональных данных Обществом должны соблюдаться следующие общие требования:
7.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
7.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
7.1.5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.1.6 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
7.2 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.2.1. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.2.2. Сотрудники Общества, осуществляющие обработку персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
7.2.3. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.2.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.2.5 При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
7.3 Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом, существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
7.3.1. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном виде (Информационной системе) - локальной компьютерной сети.
7.3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, согласием на обработку персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом либо согласием субъекта персональных данных.
7.4. Порядок блокировки и разблокировки персональных данных:
7.4.1. Блокировка персональных данных работника или потребителя осуществляется с их письменного заявления.
7.4.2. Блокировка персональных данных подразумевает:
- Запрет редактирования персональных данных;
- Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители);
- Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).
- Изъятие бумажных документов, относящихся к работнику или потребителю и содержащих их персональные данные из внутреннего документооборота Общества и запрет их использования.
7.4.3. Блокировка персональных данных работника или потребителя может быть временно снята, если это требуется для соблюдения законодательства РФ.
7.4.4. Разблокировка персональных данных работника или потребителя осуществляется с их письменного согласия (при наличии необходимости получения согласия) или заявления.
7.4.5. Повторное согласие работника или потребителя на обработку их персональных данных (при необходимости его получения) влечет разблокирование их персональных данных.
7.5. Порядок обезличивания и уничтожения персональных данных:
7.5.1. Обезличивание персональных данных Потребителя происходит по письменному заявлению Потребителя, при условии, что все договорные отношения завершены.
7.5.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту.
7.5.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.
7.5.4. Общество обязано обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.
7.5.5. Уничтожение персональных данных работника или потребителя подразумевает прекращение какого-либо доступа к их персональным данным.
7.5.6. При уничтожении персональных данных субъектов работники Общества не могут получить доступ к персональным данным субъекта в информационных системах.
7.5.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.
7.5.8. Операция уничтожения персональных данных необратима.
7.5.9. Срок, после которого возможна операция уничтожения персональных данных определяется окончанием срока хранения.
8 ОСОБЕННОСТИ ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. Доступ сотрудников Общества к персональным данным, содержащимся как в автоматизированных информационных системах, так и на бумажных носителях осуществляется с согласия Руководителя Общества или уполномоченного им лица (доступ). При этом список лиц, имеющих право доступа к персональным данным (изменения в список) утверждается приказом Руководителя Общества.
8.2. Доступ к автоматизированным информационным системам должен быть разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
8.3. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной системе. Информация об учетной записи не может быть передана другим лицам. Запрещается использование для доступа к автоматизированным информационным системам Общества учетных записей других пользователей.
8.4. Созданием, удалением и изменением учетных записей пользователей автоматизированных информационных систем занимается уполномоченная специализированная организация, в соответствии с заключенным с Обществом договором на оказание услуг по информационному и сервисному обслуживанию.
8.5. Право доступа к персональным данным субъектов персональных данных имеют:
- Управляющий Общества;
- Работники, ответственные за ведение операционной работы;
- Работники юридической службы;
- Работники ИТ;
- Работники службы документационного обеспечения;
- Потребитель, как субъект персональных данных;
- иные лица при выполнении ими своих служебных обязанностей.
8.6. Процедура оформления доступа к персональным данным включает в себя:
- Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъектов персональных данных, с данными актами также производится ознакомление под роспись.
- Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки в соответствии с внутренними локальными актами Общества, регулирующих вопросы обеспечения безопасности конфиденциальной информации.
8.7. Сотрудник Общества, имеющий доступ к персональным данным субъектов персональных данных в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
- в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов персональных данных;
- при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов персональных данных лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
- в случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя Общества.
- При увольнении сотрудника, имеющего доступ к персональным данным субъектов персональных данных, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя Общества.
- В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Общества, доступ к персональным данным может быть предоставлен иному сотруднику. Допуск к персональным данным субъектов персональных данных других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
8.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Обществом;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Обществом и способы обработки персональных данных;
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
9 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.
9.1.2. При передаче персональных данных работники Общества должны соблюдать следующие требования:
9.1.2.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральным законом РФ или настоящим Положением.
9.1.2.2. Предупредить лиц, получающих персональные данные субъектов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
9.1.2.3. Разрешать доступ к персональным данным субъектов только специально
уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения
конкретных функций.
9.1.2.4. Осуществлять передачу персональных данных субъектов в пределах
Общества в соответствии с настоящим Положением, нормативно-технологической
документацией и должностными инструкциями.
9.1.2.5. Передавать персональные данные субъектов их представителям в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
10 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
9.2 Защита персональных данных работников и потребителей Общества от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
9.3 Внутренняя защита.
9.3.1 Для обеспечения внутренней защиты персональных данных работников и потребителей Общества необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к персональным данным сотрудников и потребителей Общества;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
9.3.2 Общество при защите персональных данных работников и потребителей принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
- Антивирусная защита;
- Анализ защищённости;
- Обнаружение и предотвращение вторжений;
- Управления доступом;
- Регистрация и учет;
- Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
9.3.2 Общую организацию защиты персональных данных осуществляет Руководитель Общества.
9.3.3 Защита персональных данных, хранящихся в электронных базах данных Общества, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.
9.3.4 Персональные данные в электронном виде хранятся в локальной компьютерной сети Общества, в электронных папках и файлах в персональных компьютерах руководителя Общества и сотрудников, допущенных к обработке персональных данных.
9.3.5 Документы, содержащие персональные данные на бумажных носителях, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.
9.3.6 Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается:
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Общества;
- Разграничением прав доступа с использованием учетной записи;
- Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Общества и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным. Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.
9.3.7 Копировать и делать выписки персональных данных разрешается исключительно в служебных целях.
9.3.8 Ответы на письменные запросы других организаций и учреждений о персональных данных даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем персональных данных.
9.4 Внешняя защита.
9.4.2 Для обеспечения внешней защиты персональных данных сотрудников и потребителей Общества необходимо соблюдать ряд мер:
порядок приема, учета и контроля деятельности посетителей;
пропускной режим организации;
учет и порядок выдачи пропусков;
технические средства охраны (электронный ключ, сигнализации);
порядок охраны территории, зданий, помещений, транспортных средств;
9.5 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные работников и потребителей Общества.
9.6 Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников и потребителей Общества.
10 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Нарушение требований настоящего Положения может повлечь дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами Российской Федерации.
Лист ознакомления работников ООО «ЮжУралВодоканал»
с Положением об обработке, хранении и защите персональных данных ООО «ЮжУралВодоканал», утвержденным
Приказом от ______________ г. № ___________.
№ п\п |
Ф.И.О. работника |
Дата
ознакомления |
Подпись |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|