Положение об обработе персональных данных

ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ




I. ОБЩИЕ ПОЛОЖЕНИЯ


1.1. Настоящим Положением определяется порядок обращения с персональными данными:

  • Клиентов ООО «КВАРТИРАБЕЗРИСКОВ».

Указанный перечень может быть пересмотрен путем внесения изменений в настоящее Положение.

1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Организации и клиентов Организации в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

1.3. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до замены его новым локальным нормативным актом.

1.4. Все сотрудники Организации должны быть ознакомлены с настоящим Положением.



II. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ


2.1. Для целей настоящего Положения используются следующие основные термины и определения:

«Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

«Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

«Конфиденциальность персональных данных» - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

«Распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

«Блокирование персональных данных» - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

«Уничтожение персональных данных» - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

«Обезличивание персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

«Общедоступные персональные данные» - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

«Информация» - сведения (сообщения, данные) независимо от формы их представления;

«Документированная информация» - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

«Трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

«Информационная система персональных данных» - совокупность содержащихся в базах данных Организации Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.


III. ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


3.1. Обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Не допускается объединение между собой баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.3. Обработка Персональных данных сотрудников Организации осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, регулирующих правовое положение сотрудников Организации, порядок приема на работу и увольнения указанных сотрудников, обеспечения их личной безопасности и конфиденциальности их частной жизни.

3.4. Основными целями обработки Персональных данных Организацией являются:

  • Исполнение договорных обязательств перед контрагентами;

  • Исполнение обязательств перед обучающимися;

  • Организация процесса обучения;

  • Соблюдение требований трудового законодательства.

3.5. Обработка Персональных данных обеспечивает решение следующих задач:

  • оптимизация учебного процесса;

  • сбор статистической информации для анализа информации об учебном процессе;

  • организация взаимодействия с организациями-партнерами в части учебного процесса.


IV. ВИДЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОДЛЕЖАЩИХ ОБРАБОТКЕ


4.1. В отношении клиентов Организации обработке подлежат следующие Персональные данные:

  • полное имя, фамилия и отчество;

  • дата рождения;

  • сведения о контактном телефонном номере;

  • сведения о контактном электронном адресе;

  • паспортные данные;

  • фотография;

  • данные о месте жительства;

  • семейное положение.

4.2. Указанный перечень может быть пересмотрен по мере необходимости путем внесения изменений в настоящее Положение.


V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ



5.1. Сотрудники Организации, которым в силу выполняемых служебных обязанностей, необходим допуск к Персональным данным на срок выполнения ими указанных служебных обязанностей на основании Перечня должностей таких сотрудников, утвержденного приказом Директора Организации, получают допуск к необходимым категориям Персональных данных.

5.2. Организацией установлен разрешительный порядок доступа к Персональным данным – исключительно в пределах и объеме выполнения ими своих должностных обязанностей.

5.3. Доступ сотрудника Организации к Персональным данным прекращается с даты прекращения с ним трудовых отношений, либо прекращения его деятельности в должности, которой разрешен доступ к Персональным данным. В таком случае все носители, на которых находились Персональные данные, используемые таким сотрудником в своей работе подлежат передаче уполномоченному должностному лицу.



VI. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


6.1. Все Персональные данные Организация получает непосредственно у субъекта таких Персональных данных с его согласия.

Персональные данные также могут быть получены Организацией от третьего лица, при условии, что субъект Персональных данных выразил согласие на такую передачу.

6.2. Организация не имеет права получать и обрабатывать персональные данные сотрудников об их расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

6.3. Поступающие Персональные данные автоматически, либо путем действий сотрудников Организации заносятся в Информационную систему персональных данных Организации.

6.4. Базы данных Организации, содержащие Персональные данные должны быть расположены на территории Российской Федерации.

6.5. Трансграничная передача Персональных данных возможна при условии, что базы данных, содержащие Персональные данные, расположенные вне территории РФ содержат равный или меньший объем информации, чем базы данных, находящиеся на территории РФ.

6.6. Организация принимает правовые, организационные, технические и иные меры для обеспечения безопасности обработки Персональных данных.

6.7. При обработке Персональных данных в Информационной системе должно быть обеспечено:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа третьих лиц к Персональным данным;

  • своевременное обнаружение фактов несанкционированного доступа к Персональным данным;

  • возможность незамедлительного восстановления Персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа к ним.

6.8. Организацией организуется процесс обучения по принятию мер защиты Персональных данных для сотрудников, в чьи должностные обязанности входит обработка Персональных данных.

6.9. Сотрудники Организации обязаны незамедлительно сообщать руководителю об утрате носителей Персональных данных, либо обнаруженных угрозах безопасности в Информационной системе персональных данных.

6.10. Субъект Персональных данных дает согласие на обработку своих Персональных данных свободно, своей волей и в своем интересе.

Согласие на обработку Персональных данных дается по форме такого согласия, утвержденной Организацией.

В случае получения такого согласия от представителя субъекта Персональных данных Организация производит проверку полномочий указанного представителя.

6.11. Для организации защиты Персональных данных Организация утверждает план мероприятий по защите Персональных данных, план внутренних проверок состояния защиты Персональных данных, назначает ответственных лиц по работе с Персональными данными, утверждает места хранения материальных носителей Персональных данных.

6.12. Для целей обработки Персональных данных Организация утверждает перечень лиц, ответственных за хранение и защиту персональных данных, форму письменного согласия субъектов персональных данных на обработку их персональных данных, создает комиссию для классификации информационных систем Персональных данных.

6.13. Срок хранения Персональных данных сотрудников Организации составляет 75 (Семьдесят пять) лет.

6.14. Срок хранения Персональных данных иных субъектов Персональных данных составляет 5 (Пять) лет, либо при достижении цели обработки Персональных данных.



VII. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект Персональных данных вправе:

  • Получать информацию, касающуюся обработки его Персональных данных;

  • Требовать уточнения его Персональных данных их блокирования или уничтожения;

  • Обжаловать действия или бездействие Организации в судебном или административном порядке;

  • Иные права, предоставленные действующим законодательством РФ.

VIII. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ В ЧАСТИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ


8.1. Организация вправе:

8.1.1. Поручить обработку Персональных данных третьему лицу с согласия субъекта Персональных данных.

8.1.2. Самостоятельно определять состав и перечень мер необходимых и достаточных для защиты Персональных данных в рамках действующего законодательства.

8.1.3. В случае отзыва субъектом Персональных данных согласия на обработку Персональных данных продолжить обработку без согласия субъекта в случаях, предусмотренных действующим законодательством.

8.2. Организация обязана:

8.2.1. До начала обработки Персональных данных уведомить уполномоченный государственный орган о своем намерении осуществлять обработку Персональных данных.

8.2.2. Не раскрывать Персональные данные третьим лицам и не распространять их без согласия субъекта Персональных данных.

8.2.3. До начала осуществления трансграничной передачи персональных данных принять меры к удостоверению в том, что на территории иностранного государства таким данным будет обеспечена защита не меньшая, чем на территории Российской Федерации.

8.2.4. Прекратить по требованию субъекта Персональных данных обработку его Персональных данных.

8.2.5. При сборе Персональных данных предоставить субъекту Персональных данных информацию, предусмотренную действующим законодательством Российской Федерации.

8.2.6. Обеспечить свободный доступ по запросу субъектов Персональных данных к настоящему Положению.

8.2.7. Назначить лицо, ответственное за организацию обработки Персональных данных.

8.2.8. Нести иные обязанности в части защиты Персональных данных, предусмотренные действующим законодательством.


IX. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ


6.1. Сотрудники Организации, виновные в нарушении порядка обращения с Персональными данными, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Руководитель Организации за нарушение порядка обращения с персональными данными несет административную ответственность согласно Кодекса об административных правонарушениях РФ.