ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
Общества с ограниченной ответственностью Микрокредитной компании «ДВСК»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее положение принято в целях сохранения личной тайны и защиты персональных данных работников и клиентов ООО МКК «ДВСК» – (далее – «Организация»).
1.2. Положение является локальным нормативным актом, регламентирующим порядок защиты персональных данных работников и клиентов Организации при их обработке, в том числе защиты от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работников и клиентов Организации, права и обязанности работников и руководителя Организации, а также ответственность лиц, имеющих доступ к персональным данным работников Организации, за невыполнение правовых норм, регулирующих обработку и защиту персональных данных.
1.4. Положение определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников и клиентов.
1.5. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», приказом ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
1.6. В настоящем Положении используются следующие понятия и термины:
1)персональные данные работников и клиентов - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор персональных данных -Организация;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работников и клиентов Организации;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных работников на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
12) защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных – работнику(клиенту));
13) общедоступные персональные данные работника или клиента, персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или клиента, либо на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
14) Клиент - физическое лицо (руководитель, учредитель (участник) юридического лица; индивидуальный предприниматель), непосредственно связанное с оказываемой Организацией услугой.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
2.1. Понятие персональных данных работников и клиентов.
Персональные данные работника - информация, необходимая Организация в связи с трудовыми отношениями, касающиеся конкретного работника.
2.2. К персональным данным работника относятся:
1)фамилия, имя, отчество;
2)год, месяц, дата, и место рождения, а так же иные данные, содержащиеся в удостоверении личности работника;
3)данные о семейном, социальном положении;
4)данные об образовании, наличии специальных знаний или подготовки;
5)данные о профессии, специальности работника;
6)сведения о доходах работника;
7)данные медицинского характера, в случаях, предусмотренных законодательством;
8)данные о членах семьи работника;
9)данные о месте жительства, почтовый адрес, телефон, а так же членов семьи;
10)данные содержащиеся в трудовой книжке работника и его личном деле;
11)данные номера страхового свидетельства государственного пенсионного страхования, свидетельство о постановке на налоговый учет;
12)данные, содержащиеся в документах воинского учета (при их наличии);
13)иные персональные данные, при определении объема которых работодатель руководствуется настоящим положением.
2.3. Документами, содержащие персональные данные являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
д) карточка Т-2;
е) личный листок по учёту кадров;
ж) документы, содержащие сведения о заработной плате, доплатах и надбавках;
з) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
и) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
3. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
3.1. Понятие персональных данных клиентов.
Персональные данные клиента - информация о физическом лице (руководитель, учредитель (участник) юридического лица; индивидуальный предприниматель), необходимая Организация в связи с гражданско-правовыми отношениями, касающиеся конкретного физического лица.
3.2. К персональным данным клиента относятся:
2)год, месяц, дата, и место рождения, а так же иные данные, содержащиеся в удостоверении личности клиента;
5)данные о профессии, специальности клиента;
6)сведения о доходах клиента;
8)данные о членах семьи клиента;
9)данные о месте жительства, почтовый адрес, телефон;
10)данные номера страхового свидетельства государственного пенсионного страхования, свидетельство о постановке на налоговый учет;
11)данные, содержащиеся в документах воинского учета (при их наличии);
12)иные персональные данные, при определении объема которых Организация руководствуется настоящим положением.
3.3. Документами, содержащие персональные данные являются:
б) страховое свидетельство государственного пенсионного страхования;
в) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
г) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность.
д) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
4. СОЗДАНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И КЛИЕНТА
4.1. Создание персональных данных работника и клиента.
Документы, содержащие персональные данные работника или клиента, создаются путём:
а) копирования оригиналов;
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография и пр.).
4.2. Обработка персональных данных работника или клиента - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника или клиента.
4.2.1. При обработке персональных данных работника или клиента в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации, иных федеральных законов.
4.2.2. Обработка персональных данных работника или клиента осуществляется исключительно в целях:
а) обеспечения соблюдения законов и иных нормативных правовых актов;
б) содействия работникам в трудоустройстве;
в) обеспечения личной безопасности работников и клиентов;
г) контроля количества и качества выполняемой работы;
д) обеспечения сохранности имущества работника и работодателя.
4.2.3. Все персональные данные работника или клиента следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.
4.2.4. Получение персональных данных работника или клиента у третьих лиц, возможно только при уведомлении указанных лиц об этом заранее и с их письменного согласия.
В уведомлении о получении персональных данных у третьих лиц должна содержаться следующая информация:
а) о целях получения персональных данных;
б) о предполагаемых источниках и способах получения персональных данных;
в) о характере подлежащих получению персональных данных;
г) о последствиях отказа работника (клиента) дать письменное согласие на их получение.
4.2.5. Организация не имеет права получать и обрабатывать персональные данные работника (клиента) о его политических, религиозных и иных убеждениях и частной жизни, а равно как персональные данные работника (клиента) о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
В случаях, непосредственно связанных с вопросами трудовых и гражданских правовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, Организация вправе получать и обрабатывать данные о частной жизни работника (клиента) только с его письменного согласия.
4.2.6. При принятии решений, затрагивающих интересы работника (клиента), Организация не имеет права основываться на персональных данных этого лица, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.2.7. Работники (клиенты) и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.3. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующих персональные данные работника в служебных целях. Перечень должностных лиц определён в пункте 5.1 настоящего положения.
4.4. Сведения, содержащие персональные данные клиента, включаются в его досье, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующих персональные данные в служебных целях. Перечень должностных лиц определён в пункте 5.2 настоящего положения.
4.5. Хранение персональных данных:
а) персональные данные, содержащиеся на бумажных носителях, хранятся в сейфе и несгораемом шкафу.
б) персональные данные, содержащиеся на электронных носителях информации, хранятся на защищенном сервере Организации.
4.5.1. Персональные данные, включённые в состав личных дел, хранятся в сейфе, установленном в отделе кадров. Персональные данные, содержащиеся на электронных носителях информации, хранятся на защищенном сервере Организации.
4.5.2. Доступ к персональным данным строго ограничен кругом лиц, определённых в пункте 5.1., 5.2. настоящего Положения. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
5.1. Внутренний доступ (работники Организации).
Доступ к персональным данным работников имеют следующие должностные лица, непосредственно использующие их в служебных целях:
5.1.1. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.
5.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.
5.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.
5.2. Доступ к персональным данным клиентов имеют следующие должностные лица, непосредственно использующие их в служебных целях:
5.3. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников или клиентов другим организациям и гражданам разрешается при наличии письменного согласия указанных лиц и заявления подписанного руководителем организации либо гражданином, запросившим такие сведения.
5.3.1. Предоставление сведений о персональных данных работников или клиентов без соответствующего их согласия возможно в следующих случаях:
а) в целях предупреждения угрозы жизни и здоровья работника или клиента;
б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
5.3.2.Лицо, о котором запрашиваются сведения, должно быть уведомлено о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
5.3.3. Запрещается передача персональных данных работника или клиента в коммерческих целях без его согласия.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И КЛИЕНТА
6.1. Организация принимает следующие меры для защиты персональных данных работников и клиентов:
1)разработка локальных актов по защите ПД;
2)использование паролей на компьютерах, содержащих персональные данные работников в электронном виде;
3)использование несгораемых запирающихся сейфов и шкафов для хранения ПД на бумажных носителях;
4)использование автоматизированной информационной системы «1С-Бухгалтерия»;
5)использование защищенного сервера;
6)предусмотрена дисциплинарная ответственность работников, имеющих доступ к ПД;
7)недопущение посторонних в места хранения персональных данных, в т. ч. в помещение, где находится сервер Организации, либо контролируемое прибытие в этих помещениях;
8)Использование современных лицензионных антивирусных программ.
6.2. В целях обеспечения защиты персональных данных, хранящихся в личных делах и досье, работники и клиенты имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе работодателя исключить или исправить персональные данные работника имеет право заявлять в письменной форме работодателю о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от Организации уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведённых в них изменениях или исключениях из них;
д) обжаловать в суд любые неправомерные действия или бездействие Организации при обработке и защите персональных данных.
6.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.4. При передаче персональных данных работников (клиентов) третьим лицам, в том числе представителям Организация обязана ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения третьими лицами их функций.
6.5. Защита персональных данных работника (клиентов) от неправомерного их использования или утраты обеспечивается за счёт средств Организации в порядке, установленном федеральным законом
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
7.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
7.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
7.3. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
7.4. В Организации при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
1) регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;
2)регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер)).
8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ
С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА И КЛИЕНТА
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника или клиента, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
а) замечание;
б) выговор;
в) предупреждение о неполном должностном соответствии;
г) освобождение от занимаемой должности;
д) увольнение.
8.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
8.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.
8.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Организация до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.
