Положение о защите персональных данных работников, клиентов и контрагентов

УТВЕРЖДАЮ

Директор ООО «МФО А А А Финансовый Клуб»
______________Шевченко Дмитрий Андреевич
«01» июня 2016 г

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, КЛИЕНТОВ И КОНТРАГЕНТОВ

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Целью настоящего Положения является защита персональных данных работников, клиентов и контрагентов Общества с ограниченной ответственностью «МФО А А А Финансовый Клуб» (далее – «Общество») от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом № 115-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации.

1.3. В настоящем Положении используются следующие термины и определения:

Оператор– ООО «МФО А А А Финансовый Клуб» (далее – Общество), вступившее в договорные отношения с работником, клиентом или контрагентом или оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю.

Клиент– физическое лицо, официальный представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Обществом.

Контрагент– физическое лицо, представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившие с Обществом в договорные отношения.

Персональные данные Клиента– информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.

Персональные данные Контрагента– информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.

Персональные данные Работника - информация, необходимая Обществу, как работодателю, в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность, в том числе: фамилия, имя, отчество; образование; сведения о трудовом и общем стаже; сведения о составе семьи; паспортные данные; сведения о воинском учете; ИНН; налоговый статус (резидент/нерезидент); сведения о заработной плате работника; сведения о социальных льготах; специальность; занимаемая должность; адрес места жительства; телефон; место работы или учебы членов семьи и родственников; характер взаимоотношений в семье; содержание трудового договора; состав декларируемых сведений о наличии материальных ценностей; содержание декларации, подаваемой в налоговую инспекцию; иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников; информацию, являющуюся основанием к приказам по личному составу; информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Общество; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных – Работник, Клиент, Контрагент.

Защита персональных данных Работника, Клиента, Контрагента– деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.

Конфиденциальность персональных данных– обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Подразделение ИБ– отдел информационной безопасности и режима ООО «МФО А А А Финансовый Клуб», либо сотрудник Общества, на которого возложены обязанности по обеспечению информационной безопасности и режима ООО «МФО А А А Финансовый Клуб», в том числе обязанности по организации обработки персональных данных.

Подразделение по работе с персоналом– отдел по работе с персоналом ООО «МФО А А А Финансовый Клуб» либо сотрудник Общества, на которого возложены обязанности по работе с персоналом.

Информационная система персональных данных (ИСПДн)- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Персональные данные работников Общества относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законодательством Российской Федерации.

1.5. Действия настоящего Положения распространяется на всех Работников, Клиентов и

Контрагентов Общества.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Все работники, имеющие доступ к персональным данным, обязаны подписать соглашение о неразглашении персональных данных.

4.2. Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.

4.3. Работники, клиенты или контрагенты до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.

4.4. Защите подлежит:

- информация о персональных данных субъекта;

- документы, содержащие персональные данные субъекта;

- персональные данные, содержащиеся на электронных носителях.

4.5. Оператор назначает ответственного за организацию обработки персональных данных.

4.6. Оператор издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.7. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных», в том числе:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.8. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

4.9. Оператор осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

4.10. Ознакамливает своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

4.11. Ответственные лица соответствующих подразделений, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением правительства РФ 15 сентября 2008 г. N 687.

4.12. Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Постановлением Правительства РФ

от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными, нормативно-методическими, методическими документами.

4.13. По возможности персональные данные должны быть обезличены.

4.14. Анализ угроз.

Обеспечение безопасности персональных данных, а также разработка и внедрение средств защиты персональных данных основывается на анализе угроз безопасности персональных данных.

Общество, при возникновении необходимости разрабатывает и поддерживает Частную модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Частная модель угроз).

Частная модель угроз отражает актуальное состояние защищенности информационных системах персональных данных и актуальные угрозы безопасности персональных данных. Разработка Частной модели угроз осуществляется на основании анализа существующих угроз безопасности и возможности их реализации в обследуемой информационных системах персональных данных.

4.15. Порядок уничтожения персональных данных.

Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое приказом директора.

Уполномоченное лицо является председателем комиссии Общества по уничтожению персональных данных. Назначение комиссии по уничтожению персональных данных производится приказом директора.

При наступлении любого из событий, повлекших, согласно законодательства РФ, необходимость уничтожения персональных данных, Уполномоченное лицо обязано:

- уведомить членов комиссии о работах по уничтожению персональных данных;

- определить (назначить) время, место работы комиссии (время и место уничтожения персональных данных);

- установить перечень, тип, наименование, регистрационные номера и другие данные носителей, на которых находятся персональных данных, подлежащие уничтожению (и/или материальные носители персональных данных);

- определить технологию (приём, способ) уничтожения персональных данных (и/или материальных носителей персональных данных);

- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;

- руководя работой членов комиссии, произвести уничтожение персональных данных (и/или материальных носителей персональных данных);

- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение директору;

- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1 Настоящее Положение вступает в силу с момента его утверждения приказом директора.

9.2 Настоящее Положение доводится до сведения всех работников Общества персонально под роспись.

УТВЕРЖДАЮ

Директор ООО «МФО А А А Финансовый Клуб»
______________Шевченко Дмитрий Андреевич
«01» июня 2016 г

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, КЛИЕНТОВ И КОНТРАГЕНТОВ

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Целью настоящего Положения является защита персональных данных работников, клиентов и контрагентов Общества с ограниченной ответственностью «МФО А А А Финансовый Клуб» (далее – «Общество») от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом № 115-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации.

1.3. В настоящем Положении используются следующие термины и определения:

Оператор– ООО «МФО А А А Финансовый Клуб» (далее – Общество), вступившее в договорные отношения с работником, клиентом или контрагентом или оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю.

Клиент– физическое лицо, официальный представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Обществом.

Контрагент– физическое лицо, представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившие с Обществом в договорные отношения.

Персональные данные Клиента– информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.

Персональные данные Контрагента– информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.

Персональные данные Работника - информация, необходимая Обществу, как работодателю, в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность, в том числе: фамилия, имя, отчество; образование; сведения о трудовом и общем стаже; сведения о составе семьи; паспортные данные; сведения о воинском учете; ИНН; налоговый статус (резидент/нерезидент); сведения о заработной плате работника; сведения о социальных льготах; специальность; занимаемая должность; адрес места жительства; телефон; место работы или учебы членов семьи и родственников; характер взаимоотношений в семье; содержание трудового договора; состав декларируемых сведений о наличии материальных ценностей; содержание декларации, подаваемой в налоговую инспекцию; иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников; информацию, являющуюся основанием к приказам по личному составу; информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Общество; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных – Работник, Клиент, Контрагент.

Защита персональных данных Работника, Клиента, Контрагента– деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.

Конфиденциальность персональных данных– обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Подразделение ИБ– отдел информационной безопасности и режима ООО «МФО А А А Финансовый Клуб», либо сотрудник Общества, на которого возложены обязанности по обеспечению информационной безопасности и режима ООО «МФО А А А Финансовый Клуб», в том числе обязанности по организации обработки персональных данных.

Подразделение по работе с персоналом– отдел по работе с персоналом ООО «МФО А А А Финансовый Клуб» либо сотрудник Общества, на которого возложены обязанности по работе с персоналом.

Информационная система персональных данных (ИСПДн)- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Персональные данные работников Общества относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законодательством Российской Федерации.

1.5. Действия настоящего Положения распространяется на всех Работников, Клиентов и

Контрагентов Общества.

Наши рекомендации