УТВЕРЖДЕНО приказом Управляющего
ООО «ИВЦ» № 2 от «12» января 2016 года
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
АБОНЕНТОВ ООО «ИВЦ»
Статья 1. Общие положения
1. Настоящим Положением устанавливается порядок обработки персональных данных Абонентов, для которых Общество с ограниченной ответственностью «Информационный Вычислительный Центр» (ООО “ИВЦ”) (далее по тексту – Оператор) осуществляет оказание услуг связи.
2. Абонентами Оператора являются:
— физические лица (субъекты персональных данных), заключившие с Оператором письменный договор на оказание услуг связи, который формируется Оператором;
2.1. Оператор – организация связи, действующая на основании выданных Федеральной службой по надзору в сфере связи лицензий и оказывающая услуги связи по договору Оператор-Абонент.
3. Цель данного Положения – обеспечение требований защиты прав граждан при обработке персональных данных.
4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.
5. Настоящее Положение и изменения к нему утверждаются Управляющим Оператора и вводятся приказом по основной деятельности ООО «ИВЦ». Все сотрудники Оператора должны быть ознакомлены под роспись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Абонента.
Статья 2. Понятие и состав персональных данных Абонентов
1. Под персональными данными Абонентов понимается информация, необходимая Оператору в связи с исполнением им договорных обязательств.
2. Состав персональных данных Абонента, обработка которых осуществляется Оператором на бумажном носителе:
— фамилия, имя, отчество Абонента;
— фактический адрес места жительства Абонента;
— адрес подключения Абонента к сети связи Оператора;
— номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
— контактный телефон Абонента;
— реквизиты договора на предоставление услуг связи;
— тарифный план.
2.1.Состав персональных данных Абонента, обработка которых осуществляется Оператором на электронном носителе:
— фамилия, имя, отчество Абонента;
— адрес подключения Абонента к сети связи Оператора;
— контактный телефон Абонента;
— расчеты по договору на предоставление услуг связи;
— информация об оказанных услугах связи по договору;
— тарифный план.
Статья 3. Конфиденциальность персональных данных
1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Абонентов, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Абонентов, либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Абонента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Абонента на то, что его персональные данные являются общедоступными персональными данными.
Статья 4. Права и обязанности Оператора
1. Оператор имеет право без согласия Абонента осуществлять обработку его персональных данных в следующих случаях:
1) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных – Абонент (см.пп.5.п.1.ст.6. Федерального закона РФ № 152-ФЗ от 27.07.2006 года «О персональных данных» — далее по тексту Закон «О персональных данных»);
2) когда обработка персональных данных Абонента осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных (см.пп.9.п.1.ст.6. Закона «О персональных данных»);
3) если обработка персональных данных Абонента необходима для защиты жизни, здоровья или иных жизненно важных интересов Абонента, если получение его согласия невозможно (см.пп.6.п.1.ст.6. Закона «О персональных данных»).
2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Абонента обязаны соблюдать следующие общие требования:
2.1. При определении объема и содержания персональных данных Абонента, подлежащих обработке, Оператор должен руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 126-ФЗ от 07.07.2003 года «О связи», договорными обязательствами, взятыми на себя сторонами по договору между Абонентом и Оператором. Оператор получает персональные данные Абонентов только в объеме, необходимом для достижения целей, указанных в договоре с Абонентом.
2.2. Оператор не имеет права получать и обрабатывать персональные данные Абонента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
2.3. Оператор не имеет права получать и обрабатывать персональные данные Абонента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
2.4. Оператор не должен запрашивать информацию о состоянии здоровья Абонента.
3. Оператор должен обеспечить защиту персональных данных Абонента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
Статья 5. Права и обязанности Абонента
1. Абонент обязан передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Абонентом — Оператором.
2. Абонент должен без неоправданной задержки сообщать Оператору об изменении своих персональных данных.
3. Абонент имеет право на получение сведений о Операторе, о месте их нахождения, о наличии у Оператора персональных данных, относящихся к Абоненту, а также на ознакомление с такими персональными данными.
Абонент вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.1. Сведения о наличии персональных данных должны быть предоставлены Абоненту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3.2. Доступ к своим персональным данным предоставляется Абоненту или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Абонента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Абонента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Абонент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для Абонента может повлечь за собой обработка его персональных данных.
5. Абонент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
6. Абонент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7. Абонент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Статья 6. Порядок получения персональных данных
1. Оператор получает персональные данные Абонента непосредственно от субъекта персональных данных – Абонента, на основании заключения с Абонентом письменного договора о оказании услуг связи.
Статья 7. Обработка персональных данных
1. Обработка персональных данных Абонента осуществляется Оператором исключительно для достижения целей, определенных письменным договором между Абонентом – Оператором, в частности, для оказания услуг связи Абоненту.
2. Обработка персональных данных Оператором в интересах Абонента заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передаче (предоставление, доступ), обезличивании, блокировании, удалении, уничтожении персональных данных и в защите от несанкционированного доступа персональных данных Абонента.
3. Обработка персональных данных Абонента ведется методом смешанной (в том числе автоматизированной) обработки.
4. К обработке персональных данных Абонента могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Абонента.
5. В случае отзыва Абонентом согласия на обработку своих персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии основании указанных в пунктах 2-11 части 1 статьи 6 Федерального закона «О персональных данных»
Статья 8. Передача персональных данных
1. Передача персональных данных Абонента Оператором третьим лицам может осуществляется с письменного согласия Абонента на ознакомление, получение, принятие, обработку, хранения и передачу персональных данных.
2. Исполнение условий п.1. настоящей статьи необязательно, если Абонент предоставил Оператору письменное согласие на то, чтобы на период действия договора Оператор – Абонент считать его персональные данные – общедоступными персональными данными.
Статья 9. Хранение персональных данных
1. Персональные данные Абонента могут храниться, как на бумажных носителях, так и в электронном виде.
2. Персональные данные Абонента содержатся в следующих группах документов:
— письменные заявки на заключение договора;
— письменные договора с Абонентами на оказание услуг связи;
— приложения к письменным договорам на оказание услуг связи;
— письменные претензии Абонентов по качеству предоставленных услуг связи;
— письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Абонента против Оператора либо Оператора против Абонента.
3. Персональные данные Абонента на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально созданном хранилище, к которому имеют доступ только сотрудники Оператора, ответственные за защиту персональных данных Абонентов.
4. Персональные данные Абонентов также хранятся в электронном виде: в локальной компьютерной сети Оператора на сервере.
5. Персональные данные, содержащиеся на электронных носителях информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент-Оператор.
6. Персональные данные Абонентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент-Оператор;
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
Статья 10. Доступ к персональным данным Абонента
1. Право доступа к персональным данным Абонента у Оператора имеют:
— Управляющий Оператора;
— Исполнительный директор Оператора;
— Сотрудники Оператора, осуществляющие непосредственную работу с Абонентами.
— Другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Управляющего;
— Системный администратор Оператора;
— Абонент, как субъект персональных данных.
2. Перечень сотрудников Оператора, имеющих доступ к персональным данным Абонентов, определяется приказом Управляющего Оператора.
3. Доступ Абонента к своим персональным данным предоставляется при обращении либо при получении запроса Абонента. Оператор обязан сообщить Абоненту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.
4. При передаче персональных данных Абонента Оператор должен соблюдать следующие требования:
— не сообщать персональные данные Абонента третьей стороне без письменного согласия Абонента, за исключением случаев, установленных Федеральным законом;
— не сообщать персональные данные Абонента в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные Абонента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным Абонентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Абонентов, которые необходимы для выполнения конкретных функций.
5. Согласия Абонента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Абонента, и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных Федеральным законом и настоящим Положением.
6. Оператор обеспечивает ведение журнала учета выданных персональных данных Абонентов, в котором фиксируются сведения о лице, которому передавались персональные данные Абонентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
Статья 11. Защита персональных данных Абонентов
1. Защите подлежат следующие персональные данные Абонентов, если только с них на законном основании не снят режим конфиденциальности:
— документы, содержащие персональные данные Абонента, перечисленные в п.2.ст.9. настоящего Положения;
— информация, содержащая персональные данные Абонента, размещенная на электронных носителях.
2. Оператор обязан при обработке персональных данных Абонентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
3. Общую организацию защиты персональных данных Абонентов осуществляет Управляющий Оператора.
4. Защита персональных данных Абонентов, хранящихся в электронных базах данных Оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.
5. Доступ к персональным данным Абонента имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Управляющего, доступ к персональным данным Абонента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Абонента, и которым они необходимы в связи с исполнением трудовых обязанностей.
7. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Абонентов, обязаны подписать обязательство о неразглашении персональных данных Абонентов.
Процедура оформления доступа к персональным данным Абонента включает в себя:
— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Абонента, с данными актами также производится ознакомление под роспись.
— Истребование с сотрудника (за исключением Управляющего) письменного обязательства о соблюдении конфиденциальности персональных данных Абонентов и соблюдении правил их обработки, подготовленного по установленной форме.
8. Сотрудник Оператора, имеющий доступ к персональным данным Абонентов в связи с исполнением трудовых обязанностей:
— Обеспечивает хранение информации, содержащей персональные данные Абонента, исключающее доступ к ним третьих лиц.
— В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Абонентов.
— При уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Абонентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию Управляющего Оператора.
8.1. При увольнении сотрудника, имеющего доступ к персональным данным Абонентов, документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию Управляющего.
9. Допуск к персональным данным Абонента других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.
10. Документы, содержащие персональные данные Абонентов, хранятся в специально созданном хранилище, обеспечивающего защиту от несанкционированного доступа.
В конце рабочего дня все документы, содержащие персональные данные Абонентов, помещаются в специально созданное хранилище, обеспечивающее защиту от несанкционированного доступа.
11. Защита доступа к электронным базам данных, содержащим персональные данные Абонентов, обеспечивается:
— Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть ООО «ИВЦ»;
— Разграничением прав доступа с использованием учетной записи;
— с установкой логина и пароля на уровне баз данных. Логин и пароли устанавливаются Системным администратором Оператора и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Абонентов.
11.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Абонентов, блокируется паролем, который устанавливается Системным администратором.
11.2. Все электронные папки и файлы, содержащие персональные данные Абонентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Оператора и сообщается Системному администратору.
11.3. Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.
12. Копировать и делать выписки персональных данных Абонента разрешается исключительно в служебных целях с письменного разрешения Управляющего.
13. Ответы на письменные запросы других организаций и учреждений о персональных данных Абонентов даются только с письменного согласия самого Абонента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных Абонента.
Статья 12. Уведомление об обработке персональных данных Абонентов
1. В связи с тем, что:
1) Оператор осуществляет обработку персональных данных Абонентов, полученных Оператором в связи с заключением договора с Абонентом, персональные данные Абонентов предоставляются третьим лицам только с согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
2) Оператор осуществляет обработку персональных данных Абонентов, которые с письменного согласия Абонента являются общедоступными персональными данными;
Оператор вправе осуществлять обработку персональных данных Абонентов без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Статья 13. Ответственность за разглашение информации, содержащей персональные данные Абонента
1. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Абонента. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Абонента, несет персональную ответственность за данное разрешение.
3. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные Абонента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Абонента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Абонентов Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Абонентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Настоящее Положение разработано в соответствии с Конституцией РФ,
Федеральным законом РФ № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»,
Федеральным законом РФ № 152-ФЗ от 27.07.2006 г. «О персональных данных»,
Указом Президента РФ №188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».
