ПОЛИТИКА обработки и защиты персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.Цели положения

Настоящее Положение об обработке персональных данных (далее — «Положение») разработано индивидуальным предпринимателем (далее – «Организация») в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».
1.1.1.Цель разработки Положения — определение порядка обработки персональных данных субъектов персональных данных; обеспечение защиты прав и свобод субъектов персональных данных при их обработке; установление режима конфиденциальности персональных данных, а также ответственности лиц, имеющих доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных. Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью Организации, в частности, для оказания консультационных, информационных и иных услуг, оказываемых Организацией. Организация собирает персональные данные только в объеме, необходимом для достижения названных целей.

1.2 Действие Положения.
1.2.1. Настоящее Положение вступает в силу с момента его утверждения индивидуальным предпринимателем и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом.
1.2.2. Все работники Организации, если таковые приняты на работу или будут приняты впоследствии, должны быть ознакомлены с настоящим Положением под роспись.
1.2.3. Настоящее Положение является обязательным для исполнения всеми работниками Организации.
1.2.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания; включения персональных данных в общедоступные источники персональных данных; в иных случаях, установленных законом.

II. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основные понятия.
2.1.1. Для целей настоящего Положения используются следующие основные понятия:
· Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая необходимая информация;
· Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
· Субъекты персональных данных – физические лица (в том числе работники, соискатели на вакантную должность, клиенты и контрагенты Организации), персональные данные которых обрабатываются Организацией.
· Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
· Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
· Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
· Использование персональных данных — действия (операции) с персональными данными, совершаемые Организацией, должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
· Блокирование персональных данных — временное прекращение обработки персональных данных;
· Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
· Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
· Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
· Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с помощью информационных технологий и технических средств;
· Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранному государству, иностранному физическому или юридическому лицу.

2.2. Состав персональных данных.
2.2.1. В состав персональных данных работника (соискателя на вакантную должность), обрабатываемых Организацией, может входить следующая информация: о паспортных данных, СНИЛС, ИНН, лицевом счете в кредитной организации, образовании, отношении к воинской обязанности, семейном положении, месте жительства; анкетные и биографические данные, сведения о стаже по специальности, о предыдущих местах работы (резюме); иная информация, которую субъекты персональных данных добровольно сообщают о себе для описания своих профессиональных навыков и деловых качеств, если ее обработка не запрещена законодательством Российской Федерации, а также комплект документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
2.2.2. В состав персональных данных клиента (контрагента), обрабатываемых Организацией, может входить информация, содержащая сведения о паспортных данных, месте регистрации и/или месте жительства, месте осуществления хозяйственной деятельности, расчетных счетах в кредитных организациях, телефонах, факсах, адресах электронной почты, движимом и недвижимом имуществе, семейном положении, иные необходимые сведения, а также комплект документов, необходимых для оказания услуг и/или совершения сделок.

III. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные следует получать у самого субъекта персональных данных или из общедоступных источников персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.1.2. Обработка персональных данных Организацией основывается на следующих принципах:
· обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
· обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления Организацией функций, полномочий и обязанностей, возложенных соответствующим законом;
· обработка персональных данных необходима для осуществления деятельности Организации, связанной с оказанием консультационных и информационных услуг;
3.1.3. В соответствии с действующим законодательством Российской Федерации, в целях обеспечения прав и свобод человека и гражданина Организация и ее представители при обработке персональных данных субъекта персональных данных должны соблюдать следующие общие требования:
· обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договорных обязательств или трудоустройства, обучения и продвижения по службе субъектов персональных данных;
· при определении объема и содержания, обрабатываемых персональных данных, Организация должна руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
· если иное не установлено законом, при принятии решений, затрагивающих интересы субъекта персональных данных, Организация не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
· защита персональных данных от неправомерного их использования или утраты обеспечивается Организацией за счет собственных средств в порядке, установленном федеральным законом;
· работники Организации должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных, а также о правах и обязанностях работников Организации в этой области. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту тайны недействителен.

3.2. Порядок сбора и обработки персональных данных работников Организации (соискателей на вакантную должность).
3.2.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет следующие документы:
· паспорт или иной документ, удостоверяющий личность;
· трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
· страховое свидетельство государственного пенсионного страхования;
· документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
· документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
· свидетельство о постановке на учет в налоговом органе (ИНН) (при его наличии у работника).
3.2.2. При оформлении работника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника: общие сведения (Ф.И.О., дата и место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные); сведения о воинском учете; данные о приеме на работу.
В дальнейшем в личную карточку вносятся: сведения о переводах на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения об отпусках; сведения о социальных гарантиях; сведения о месте жительства и контактных телефонах.
3.2.3. В Организации создаются и хранятся следующие группы документов, содержащие данные о работниках (соискателях на вакантную должность) в единичном или сводном виде:
- комплекс материалов по анкетированию, тестированию, проведению собеседований с соискателем на должность и т.д.;
- комплекс документов, сопровождающих трудовые отношения, в т.ч. личные дела и трудовые книжки работников, подлинники и копии приказов по личному составу, основания к этим приказам, материалы аттестации работников, служебных расследований и т.д.;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в органы статистики, налоговые органы, органы внебюджетных фондов, иные органы государственной и муниципальной власти;
- документация по организации работы (локальные нормативные акты, должностные инструкции работников, приказы и распоряжения);
- документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.
3.2.4. Работник предоставляет в Организацию достоверные сведения о себе. Проверка достоверности сведений осуществляется путем сверки данных, предоставленных работником, с имеющимися у работника документами.
3.2.5. Работники ставят Организацию в известность об изменении фамилии, имени, отчества, даты рождения, что отражается в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности и пр.

3.3. Порядок сбора и обработки персональных данных клиентов и контрагентов Организации.
3.3.1. Персональные данные клиентов (контрагентов), Организация получает непосредственно во время личной встречи либо путем обмена сообщениями в сети Интернет, в т.ч. через личный кабинет (далее - ЛК) на сайте Организации.

3.4.Согласие на обработку персональных данных.
3.4.1. Как правило, Организация получает персональные данные на основании письменного Согласия на обработку персональных данных.
3.4.2. Форма (Образец) Согласия на обработку персональных данных содержится в Приложении № 1 к настоящему Положению.
3.4.3. Письменное Согласие на обработку персональных данных содержит:
· Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
· цель обработки персональных данных;
· перечень персональных данных, на обработку которых дается согласие;
· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки персональных данных;
· срок, в течение которого действует согласие;
· порядок отзыва согласия на обработку персональных данных.
3.4.4.После подписания субъектом персональных данных Согласия на обработку персональных данных, документ архивируется и хранится в металлическом запирающемся шкафу (сейфе).

3.5. Особый порядок сбора и обработки персональных данных субъектов персональных данных, поступающих Организации путем обмена сообщениями в сети Интернет.
3.5.1. Субъекты персональных данных самостоятельно принимают решение о предоставлении своих персональных данных Организации и дают согласие на обработку таких персональных данных свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано путем совершения определенных действий, а именно: направления персональных данных на любой электронный адрес Организации (в том числе указанный на сайте Организации) либо путем заполнения Согласия на обработку персональных данных в ЛК на сайте Организации.
3.5.2. При регистрации на сайте Организации субъект персональных данных (Пользователь) предоставляет следующую информацию: Фамилия, Имя, Отчество, контактный номер телефона, адрес электронной почты, дату рождения, пол, при необходимости адрес доставки товара (оказания услуги).
3.5.3. Предоставляя свои персональные данные Организации (владельцу сайта), Пользователь дает согласие на их обработку, в том числе в целях выполнения владельцем сайта обязательств перед Пользователем в рамках Публичной оферты, продвижения товаров и услуг, проведения электронных и sms опросов, контроля результатов маркетинговых акций, клиентской поддержки, розыгрышей призов среди пользователей сайта, контроля удовлетворенности Пользователя, а также качества услуг, оказываемых владельцем сайта.
3.5.4. Владелец сайта имеет право отправлять информационные, в том числе рекламные сообщения, на электронную почту и мобильный телефон Пользователя с его согласия, выраженного посредством совершения им действий, однозначно идентифицирующих этого Пользователя и позволяющих достоверно установить его волеизъявление на получение сообщения. Пользователь вправе отказаться от получения рекламной и другой информации без объяснения причин отказа путем направления сообщения Владельцу сайта с использованием контактной информации, размещенной на сайте. Сервисные сообщения, информирующие Пользователя о заказе и этапах его обработки, отправляются автоматически и не могут быть отклонены Пользователем.
3.5.5. Владелец сайта вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию. Посещая сайт, Пользователь дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений.
Владелец сайта может получать информацию об ip-адресе Пользователя Сайта.
Владелец сайта не несет ответственности за сведения, предоставленные Пользователем на Сайте в общедоступной форме.
Владелец сайта вправе осуществлять записи телефонных разговоров с Пользователем. При этом владелец сайта обязуется: предотвращать попытки несанкционированного доступа к информации, полученной в ходе телефонных переговоров, и/или передачу ее третьим лицам, не имеющим непосредственного отношения к исполнению Заказов, в соответствии с п. 4 ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации».
3.5.6. В связи с возможностью получения Организацией персональных данных на любой электронный адрес Организации либо путем их сообщения через ЛК на сайте Организации, Организация обязана информировать субъекта персональных данных о том, что направляя информацию, содержащую персональные данные, включая, но не ограничиваясь, имя, фамилию, отчество, дату и место рождения, адрес фактического проживания и адрес регистрации, семейное, социальное и имущественное положение, образование, квалификационные и иные навыки, профессию, информацию о предыдущих местах работы, должностные обязанности, ожидаемый уровень доходов, имена рекомендателей, хобби, личностные характеристики (резюме кандидатов), такие лица выражают свое полное согласие на обработку предоставленных ими персональных данных в целях возможного дальнейшего трудоустройства или оказания услуг, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, трансграничную передачу персональных данных, а также осуществление любых действий с персональными данными с учетом действующего законодательства Российской Федерации, совершаемых с использованием средств автоматизации или без использования таких средств.
Для сведения субъектов персональных данных, Организация обязана разместить Уведомление об обработке персональных данных (Приложение №2 к настоящему Положению) на сайте Организации, а также направлять указанное Уведомление в ответ на письмо каждого субъекта персональных данных, содержащее персональные данные, в случае поступления таких писем на любой электронный адрес Организации или в ЛК на сайте Организации.
3.5.7. Согласие на обработку персональных данных, поступившее путем обмена сообщениями в сети Интернет, хранится в информационной системе (базе) Организации, а также в архивных копиях данной системы (базы).

IV.ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Требования при передаче персональных данных.
4.1.1. При передаче персональных данных Организация должна соблюдать следующие требования:
· не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях трудоустройства, а также в случаях, установленных федеральными законами.
· не сообщать персональные данные субъекта персональных данных в коммерческих целях без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных настоящим Положением.
· предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
·лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности).
· осуществлять передачу персональных данных субъектов персональных данных в пределах Организации в соответствии с настоящим Положением в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
· разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
· при трансграничной передаче персональных данных убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
· применять меры защиты конфиденциальной информации при сборе, обработке и хранении персональных данных как для бумажных, так и для электронных (автоматизированных) носителей информации.

4.2. Хранение и использование персональных данных.
4.2.1. Персональные данные работников Организации, а также иных субъектов персональных данных обрабатываются и хранятся в соответствии с разделом VI настоящего Положения.
4.2.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1. Доступ к персональным данным.
5.1.1. Субъекты персональных данных, персональные данные которых обрабатываются Организацией, имеют право:
· получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.
· требовать от Организации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных данных.
· получать от Организации: сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. При этом Организация обязана предоставлять вышеуказанную информацию в течение 10 (Десяти) рабочих дней с момента поступления соответствующего запроса. Такой запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных. Если запрос исходит от представителя субъекта персональных данных, к запросу должна быть приложена доверенность, наделяющая представителя соответствующими полномочиями. Запрос может быть направлен в письменной форме или форме электронного документа, подписанного электронно-цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных или его представителю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
· требовать извещения Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Организации при обработке и защите его персональных данных.
5.1.2. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях или в целях исполнения договоров (соглашений) Организации.

VI. ЗАЩИТА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Защита персональных данных.
6.1.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
6.1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
6.1.3. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованныев возникновении угрозы лица.
6.1.4. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Организации.
6.1.5. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Организацией за счет собственных средств в порядке, установленном федеральным законом.
6.1.6. «Внутренняя защита».
6.1.6.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Под персоналом (работниками) Организации понимаются не только работники, осуществляющие свою деятельность на основании трудовых договоров, но и лица, оказывающие Организации услуги на основании договоров гражданско-правового характера, поверенные и т.д. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит вчисло основных направлений организационной защиты персональных данных в Организации.
6.1.6.2. Для обеспечения внутренней защиты персональных данных Организация обеспечивает: ограничение и регламентацию состава работников, функциональные обязанности которых требуют конфиденциальных знаний; строгое избирательное и обоснованное распределение документов и информации между работниками; рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации; знание работниками Организации требований
нормативно методических документов по защите персональных данных и сохранению коммерческой тайны; наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных; определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника; организация порядка уничтожения информации, содержащей персональные данные; своевременное выявление нарушения требований разрешительной системы доступа; воспитательная и разъяснительная работа с работниками Организации по предупреждению утраты ценных сведений при работе с конфиденциальными документами, содержащими персональные данные; запрет на выдачу личных дел работников Организации на рабочие места.
6.1.7. Защита персональных данных на электронных носителях.
Базы данных, содержащие персональные данные, должны быть защищены паролем и иными средствами защиты, предусмотренными законодательством Российской Федерации. Вход работника в базу данных Общества под индивидуальным логином и паролем для целей настоящего Положения признается предоставлением персональных данных. Вход в базу данных работником может быть доступен только после предварительного ввода индивидуального логина и пароля. При этом пароль для авторизации должен отвечать следующим требованиям: пароль должен иметь длину не менее 8 знаков; пароль не должен совпадать с 10 прежними паролями; пароль не должен содержать имени учетной записи или полного имени пользователя; пароль должен содержать, по крайней мере, три из следующих четырех категорий знаков:

латинские заглавные буквы (A – Z); латинские строчные буквы (a – z); цифры (0 – 9);

знаки (!, $, #, %).

Как правило, раз в месяц, пароль должен быть изменен. На время отсутствия работника на своем рабочем месте компьютер должен блокироваться нажатием клавиш «Win» плюс «L».

6.1.8. «Внешняя защита».
6.1.8.1. Для внешней защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
6.1.8.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Организации, посетители, соискатели на вакантную должность, клиенты, контрагенты. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Организации.
6.1.8.3. Работники Организации несут ответственность за допуск в офис посторонних лиц, проведения этими лицами осмотров, фото- и видео- съемок объектов, находящихся в офисе, за допуск этих лиц к персональным компьютерам и сетевым программам.
6.1.8.4. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер: порядок приема, учета и контроля деятельности посетителей; технические средства охраны, сигнализации; порядок осуществления круглосуточной охраны помещений Организации, где хранятся персональные данные; требования к защите информации при консультировании, интервьюировании и собеседованиях.
6.1.9. По возможности персональные данные обезличиваются.
6.1.10. В случае необходимости предоставления персональных данных любым третьим лицам, такое предоставление персональных данных осуществляется исключительно на основании соответствующих соглашений о защите и конфиденциальности персональных данных, которые должны обеспечивать уровень защиты персональных данных не ниже уровня защиты, предусмотренного настоящим Положением и действующим законодательством Российской Федерации.
6.1.11. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.1.12. Организация вправе применять методы технической защиты и иные методы, предусмотренные для защиты персональных данных, не противоречащие законодательству Российской Федерации.

6.2. Уточнение, блокирование и уничтожение персональных данных.

6.2.1. Блокирование информации, содержащие персональные данные, производится в случае:

· если персональные данные являются неполными, устаревшими, недостоверными;

· если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.2.2. В случае подтверждения факта недостоверности персональных данных Организация на основании документов, представленных субъектом персональных данных, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязана уточнить персональные данные и снять их блокирование.
6.2.3. В случае выявления неправомерных действий с персональными данными Организация обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Организация в срок, не превышающий 3 (Трех) рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные.
6.2.4. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.2.5. Если иное не предусмотрено законом, Организация обязана уничтожить персональные данные в случае достижения цели обработки персональных данных или отзыва субъектом персональных данных согласия на их обработку.
6.2.6. Уничтожение персональных данных должно быть осуществлено в течение 3 (Трех) рабочих дней с даты наступления обстоятельств, указанных в п. 6.2.5 Положения. Соглашением междуОрганизацией и субъектом персональных данных могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных.

VII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Ответственность.
7.1.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
7.1.2. Каждый работник Организации, получающий для работы конфиденциальный документ, содержащий персональные данные субъектов персональных данных, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.1.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами Российской Федерации.
7.1.4. Дисциплинарная ответственность. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности. Согласно пп. "в" п. 6 ч. 1 ст. 81 Трудового кодекса Российской Федерации трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных.

VIII. ПРИЛОЖЕНИЯ

Приложение № 1. Согласие на обработку персональных данных.

Приложение № 2. Форма уведомления об обработке Персональных данных, поступающих на любой электронный адрес Организации. (Приложения находятся по ссылке).