ПРАВИЛА

обработки персональных данных

1. Общие положения
Настоящее правила обработки персональных данных (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и определяют правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
2. Основные понятия и определения
В настоящих Правилах используются следующие основные понятия и определения:
1)               Оператор - ИП Замалетдинова Е.В. (410048, Саратовская область, г. Саратов, ул. Тульская, дом 27, кв. 61, ИНН 645104302920, ОГРНИП 317645100014721).
2)               автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
3)               база персональных данных – упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных);
4)               блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
5)               доступ к персональным данным – возможность получения персональных данных и их использования;
6)               запись персональных данных – ввод персональных данных в ЭВМ и (или) фиксация персональных данных на материальном носителе;
7)               извлечение персональных данных – действия, направленные на построение структурированных персональных данных из неструктурированных или слабоструктурированных машиночитаемых документов;
8)               изменение персональных данных – действия, направленные на модификацию значений персональных данных;
9)               информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
10)            использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
11)            материальный носитель информации (носитель документированной информации) – материальный объект, используемый для закрепления и хранения на нем символьной, речевой, звуковой или изобразительной информации, в том числе в преобразованном виде;
12)            накопление персональных данных – действия, направленные на формирование исходного, несистематизированного массива персональных данных;
13)            обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
14)            обновление персональных данных – действия, направленные на приведение записанных персональных данных в соответствие с состоянием отображаемых объектов предметной области;
15)            обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
16)            общедоступные источники персональных данных – содержащиеся в информационных системах или зафиксированные на материальных носителях персональные данные, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта этих персональных данных;
17)            передача персональных данных – распространение, предоставление или доступ к персональным данным;
18)            персональные данные– любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
19)            предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
20)            раскрытие персональных данных – обеспечение доступа к персональным данным неограниченного круга лиц независимо от цели получения указанных персональных данных;
21)            распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
22)            сбор персональных данных – действия, направленные на получение Оператором персональных данных от субъектов этих данных;
23)            систематизация персональных данных – действия, направленные на объединение и расположение персональных данных в определенной последовательности;
24)            удаление персональных данных – изъятие персональных данных из информационных систем с сохранением последующей возможности их восстановления;
25)            уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
26)            уточнение персональных данных – действия, направленные на обновление или изменение персональных данных.
3. Условия и порядок обработки персональных данных
3.1.          Цели обработки персональных данных, перечни субъектов, персональные данные которых обрабатываются Оператором, категории и перечни обрабатываемых персональных данных изложены в Политике обработки персональных данных.
3.2.          Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного их использования или утраты.
3.3.          При обработке персональных данных Оператор обязан соблюдать следующие требования:
1)       объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
2)       защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
3)       передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами;
4)       хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
5)       опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.
3.4.          Обработка персональных данных в информационных системах персональных данных осуществляется с учетом завершения работ по созданию системы защиты персональных данных в информационной системе и оценки соответствия информационной системы персональных данных требованиям безопасности информации.
3.5.          В информационных системах персональных данных не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.6.          Порядок выполнения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора устанавливается Положением об обеспечении безопасности информации, не составляющей государственную тайну, при ее обработке в информационных и автоматизированных системах.
3.7.          Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных), для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.8.          При неавтоматизированной обработке персональных данных не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы.
3.9.          При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
1)    типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
2)     типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.10.       При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, то должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.11.       При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
3.12.       Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4. Ответственный за организацию обработки персональных данных
4.1.           Оператор своим приказом назначает из числа работников ответственное лицо за организацию обработки персональных данных (далее – Ответственное лицо), которое при осуществлении своих функций руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», иным действующим законодательством о персональных данных, настоящими Правилами, своей должностной инструкцией и иными локальными актами в сфере организации обработки и обеспечения безопасности персональных данных.
4.2.          Решения о внедрении новых процессов обработки персональных данных или внесении изменений в существующие процессы обработки персональных данных согласовываются с Ответственным лицом.
4.3.          Ответственное лицо несет обязанности, предусмотренные его инструкцией.
5. Порядок предоставления доступа работникам Оператора к персональным данным
5.1.Доступ к персональным данным имеют работники Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих должностных обязанностей.
5.2.Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определяется Ответственным лицом и утверждается приказом Оператора.
Предоставление доступа работнику Оператора к персональным данным предусматривает ознакомление работника под роспись с положениями законодательства Российской Федерации о персональных данных, настоящими Правилами, другими локальными актами Оператора по вопросам обработки персональных данных.
5.3.В случае необходимости временной передачи материальных носителей другому работнику работник по согласованию с Ответственным лицом передает их другому работнику Оператора, допущенному к обработке персональных данных.
5.4.При увольнении работника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным, по указанию Ответственного лица.
5.5.В случае выявления работников, допущенных к обработке персональных данных, которым такой доступ больше не требуется, права доступа такого работника к персональным данным незамедлительно отзываются.
5.6.Доступ работников к своим персональным данным осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и трудовым законодательством.
6. Порядок хранения, сроки обработки и уничтожения персональных данных
6.1.      Должно обеспечиваться раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, несовместимых между собой.
6.2.      Трудовые книжки работников должны храниться в сейфах, металлических шкафах. Доступ в сейф (шкаф) должен иметь только работники, ответственные за ведение и хранение трудовых книжек. Порядок ведения и хранения трудовых книжек установлен Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными постановлением Правительства РФ от 16.04.2003 г. № 225.
6.3.      Персональные данные в электронном виде обрабатываются в рамках информационных систем персональных данных. Порядок выполнения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливается Положением об обеспечении безопасности информации при ее обработке в информационных системах, утверждаемым приказом Оператора.
6.4.      При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей (если иное не предусмотрено федеральным законом), окончании сроков хранения, установленных действующим законодательством, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.
6.5.      В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1)       в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2)       в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.6.      В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.7.          Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. При уничтожении персональных данных должны соблюдаться условия по конфиденциальности этих данных.
6.8.          Уничтожение персональных данных субъекта для всех целей осуществляется комиссией по защите информации. Документальной фиксацией уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных.
7. Правила передачи персональных данных третьим лицам
7.1.          Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.2.          Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Оператором соответствующего акта (далее - поручение оператора).
7.3.          Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
7.4.          В поручении Оператора должны быть определены:
- перечень персональных данных,
- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки,
- обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
- обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
- обязанность обеспечивать безопасность персональных данных при их обработке,
- требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
- требование об уведомлении оператора о случаях, предусмотренных п. 6.7 настоящих Правил.
7.5.          Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать - персональные данные о субъектах.
8. Правила взаимодействия Оператора с субъектами персональных данных, их представителями, уполномоченными государственными органами, третьими лицами и неопределенным кругом лиц
8.1. Оператор взаимодействует с субъектами персональных данных, их законными представителями, уполномоченными органами, определенным кругом лиц и неопределенными кругом лиц. Данное взаимодействие происходит в рамках правоотношений между Оператором и указанными лицами, регулируемых нормами действующего законодательства и настоящих Правил.
8.2. Порядок учета, рассмотрения и реагирования Оператора на запросы субъектов персональных данных или их представителей определяется Правилами рассмотрения запросов субъектов персональных данных или их представителей, утверждаемыми приказом Оператора.
9. Ответственность должностных лиц
9.1. Работники Оператора, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством.
10. Поручение на обработку персональных данных.
10.1 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
10.2. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
10.3. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.