Положение об обработке и защите персональных данных

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ компании «Правовая поддержка собственности» (далее – «ППС», Компания)

Утверждено: Директором компании «ППС» Бакаенко Варварой Ивановной 01.07.2017 года

Содержание:

1. Общие положения
2. Понятие и состав персональных данных Клиентов
3. Конфиденциальность персональных данных
4. Права и обязанности «ППС»
5. Права и обязанности Субъекта
6. Порядок получения персональных данных
7. Обработка персональных данных
8. Передача персональных данных
9. Хранение персональных данных
10. Доступ к персональным данным Субъекта
11. Защита персональных данных Субъекта
12. Уведомление об обработке персональных данных Субъекта
13. Ответственность за нарушение порядка хранения персональных данных Субъекта

1. Общие положения

1. Настоящим Положением устанавливается порядок обработки «ППС» (далее Компанией) персональных данных Субъектов, носителей персональных данных.

2. Субъектами персональных данных настоящего Положения являются:

• физические лица, заключившие с «ППС» письменный договор;
• физические лица, представляющие на законных основаниях интересы организаций, заключивших «ППС» письменный договор.

3. Цель данного Положения – обеспечение требований законодательства о защите прав граждан при обработке персональных данных.

4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.

5. Настоящее Положение и изменения к нему утверждаются Директором «ППС» и вводятся приказом. Все сотрудники «ППС» должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Компании, имеющими доступ к персональным данным Субъектов.

2. Понятие и состав персональных данных Клиентов

1. Под персональными данными Субъектов понимается информация, необходимая Компании в связи с исполнением договорных обязательств.

2. Состав персональных данных Субъектов, обработка которых осуществляется «ППС»:

1. ФИО;
2. cведения о заграничном паспорте и его содержании;
3. ИНН;
4. СНИЛС;
5. дата рождения;
6. пол;
7. место рождения;
8. телефонные номера
9. оклад, и иные доходы
10. информация о работодателях и должностях
11. должность, подразделение;
12. паспортные данные: серия, номер, кем и кода выдан, код подразделения, дата регистрации по месту жительства;
13. адрес проживания;
14. адрес для информирования физического лица;
15. адрес по прописке физического лица;
16. прошлые адреса прописки и проживания;
17. контактный телефон, служебный телефон физического лица, адрес электронной почты (рабочая).
18. гражданство;
19. сведения о воинском учете: категория запаса, воинское звание, состав (профиль), ВУС, годность к воинской службе, наименование военкомата, отношение к воинскому учету;
20. семейное положение; сведения о детях; сведения о предыдущих браках;
21. сведения об образовании: учебное заведение, специальность, серия и номер диплома, год окончания, квалификация, профессия;
22. сведения о знании иностранных языков;
23. сведения о доходах с предыдущих мест работы;
24. сведения о лицевом счете: наименование банка, № лицевого счета;
25. сведения о трудовом стаже: наименование компании, должность, время работы;
26. сведения о больничных листах: серия, номер больничного листка; дата начала нетрудоспособности; освобождение от работы (с - по), стаж;
27. сведения о имеющемся имуществе, в том числе недвижимом и его характеристиках
28. иные документы, содержащие вышеперечисленные данные, которые Субъект предоставляет;

3. Конфиденциальность персональных данных

1. Сведения, перечисленные в п 2. Положения, содержащие сведения о персональных данных Субъектов, являются конфиденциальными. Компания обеспечивает конфиденциальность персональных данных, и обязана не допускать их распространения без согласия Субъектов, либо наличия иного законного основания.

2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Субъекта на то, что его персональные данные являются общедоступными персональными данными. Так же режим конфиденциальности снимается, если Субъект передает свои персональные данные с помощью социальных сетей, электронной почты или иным образом с помощью сети интернет или на бумажных и иных носителях через третьих лиц или лично сотрудникам компании, не имея никаких Договорных отношений с Компанией и не уведомив администрацию Компании и сделав свои персональные данные публичными этими или какими либо другими своими действиями

4. Права и обязанности «ППС»

1. Компания имеет право без согласия Субъекта осуществлять обработку его персональных данных в следующих случаях:

1) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных – Субъект (см.ч.1 п.5.ст.6. Федерального закона РФ № 152-ФЗ от 27.07.2006 года «О персональных данных» - далее по тексту Закон «О персональных данных»);

2) когда обработка персональных данных Субъекта осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных;

3) если обработка персональных данных Субъекта необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение его согласия невозможно.

4) если Субъект передает свои персональные данные с помощью социальных сетей, электронной почты или иным образом с помощью сети интернет сотрудникам компании, не уведомив администрацию и сделав свои персональные данные публичными этими или какими либо другими своими действиями.

2. Если договор на реализацию юридических или иных услуг с «ППС» заключается Субъектом, который в том числе на законных основаниях представляет интересы третьих лиц, то Компания обязана получить письменное согласие законного представителя третьих лиц на обработку их персональных данных.

Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано вышеуказанными третьими лицами. Обязанность предоставить доказательство получения согласия третьего лица на обработку его персональных данных по основаниям данного пункта возлагается на его законного представителя.

3. В целях обеспечения прав и свобод человека и гражданина Компания и ее представители при обработке персональных данных Субъекта обязаны соблюдать следующие общие требования:

3.1. При определении объема и содержания персональных данных Субъекта, подлежащих обработке, «ППС» должно руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», договорными обязательствами, взятыми на себя сторонами по договору между Субъектом и Компанией. «ППС» получает персональные данные Субъектов только в объеме, необходимом для достижения целей, указанных в договоре с Субъектом.

3.2. Компания не имеет права получать и обрабатывать персональные данные Субъекта о его судимости, политических, религиозных и иных убеждениях и частной жизни, если это не является необходимым в рамках исполнения договорных обязательств перед Субъектом.

3.3. Компания не имеет права получать и обрабатывать персональные данные Субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом, если это не является необходимым в рамках исполнения договорных обязательств перед Субъектом.

4. Компания должна обеспечить защиту персональных данных Субъекта от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

5. Права и обязанности Субъекта

1. Субъект обязан передавать Компании или ее представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Субъектом – «ППС».

2. Субъект должен без неоправданной задержки сообщать «ППС» об изменении своих персональных данных.

3. Субъект имеет право на получение сведений о Компании, о месте ее нахождения, о наличии у «ППС» персональных данных, относящихся к Субъекту, а также на ознакомление с такими персональными данными.

Субъект вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.1. Сведения о наличии персональных данных должны быть предоставлены Субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных.

3.2. Доступ к своим персональным данным предоставляется Субъекту или его законному представителю «ППС» при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
• способы обработки персональных данных, применяемые Компанией;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для Субъекта может повлечь за собой обработка его персональных данных.

5. Субъект имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6. Субъект вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

6. Порядок получения персональных данных

1. Компания получает персональные данные Субъекта:

1.1. Непосредственно от Субъекта персональных данных, после и на основании заключения с Субъектом письменного договора о реализации юридических или иных услуг и письменного согласия на обработку персональных данных.

1.1.1. Заключая договор с Компанией, Субъект и все третьи лица, интересы которых на законном основании представляет Субъект в рамках договора о реализации услуги, предоставляют письменное согласие на то, что они согласны, чтобы в период действия договора и необходимый период после него, их персональные данные будут храниться, систематизироваться, обрабатываться, передаваться, а так же с ними могут производиться другие необходимые действия, на которые Субъекты дают согласие.

7. Обработка персональных данных

1. Обработка персональных данных Субъекта осуществляется «ППС» исключительно для достижения целей, определенных письменным договором между Субъектом – Компанией.

2. Обработка персональных данных Компанией, в интересе Субъекта, заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Субъектов.

3. Обработка персональных данных Субъектов может совершаться методом смешанной (в том числе автоматизированной) обработки.

4. К обработке персональных данных Субъекта могут иметь доступ только сотрудники Компании, допущенные к работе с персональными данными Субъекта.

8. Передача персональных данных

1. Передача персональных данных Субъекта осуществляется Компанией исключительно для достижения целей, определенных письменными договорами между Субъектом – «ППС», в частности для реализации услуг, заказанных Субъектом.

2. Передача персональных данных Субъекта третьим лицам может осуществляется Компанией в рамках исполнения договора между Субъектом и Компанией, на основании договора между Компанией и третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Субъекта и безопасности персональных данных при их обработке. После передачи персональных данных третьему лицу по договору, ответственность за защиту персональных данных Субъекта распространяется на третье лицо.

Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

3. Передача персональных данных третьим лицам в рамках исполнения договора между Субъектом и Компанией, так же может осуществляться, с использованием сети общего пользования Интернет, а может осуществляться и на бумажных и электронных носителях.

9. Хранение персональных данных

1. Персональные данные Субъектов могут храниться, как на бумажных носителях, так и в электронном виде.

2. Персональные данные Субъектов содержатся в следующих группах документов:

• Договор с Субъектом;

Сформированное клиентское дело;

• Пакет документов, подготовленный сотрудником Компании для предоставления в необходимые для исполнения договора органы, инстанции;
• Пакет документов, подготовленный сотрудником Компании для изучения с целью исполнения договора;
• Оригиналы клиентских документов.

3. Персональные данные Субъектов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специальных хранилищах.

3.1. Ключи от хранилища находятся у лиц, допущенных к обработке персональных данных Субъектов, а их копии - у администратора.

4. Персональные данные Субъектов также могут храниться в электронном виде: на ПК Компании, на ПК сотрудников Компании, допущенных к обработке персональных данных Субъектов.

5. Персональные данные Субъекта могут хранится не более 5 лет после прекращения действия договора между «ППС» и Субъектом.

10. Доступ к персональным данным Субъекта

1. Право доступа к персональным данным Субъекта у «ППС» имеют:

• директор Компании;
• администратор Компании, осуществляющий непосредственную работу с Субъектами;
• другие сотрудники Компании при выполнении ими своих служебных обязанностей;
• системный администратор Компании;
• субъект персональных данных.

2. Перечень сотрудников Компании, имеющих доступ к персональным данным Субъектов, определяется приказом Директора Компании.

3. Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. Компания обязана сообщить Субъекту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

4. При передаче персональных данных Субъекта «ППС» должна соблюдать следующие требования:

• не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, установленных федеральным законом;
• не сообщать персональные данные Субъекта в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные Субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• разрешать доступ к персональным данным Субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Субъектов, которые необходимы для выполнения конкретных функций.

5. Согласия Субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, и когда третьи лица оказывают услуги Компании на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

6. Компания обеспечивает ведение журнала учета выданных персональных данных Субъектов, в котором фиксируются сведения о лице, которому передавались персональные данные Субъектов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

11. Защита персональных данных Субъекта

1. Защите подлежат следующие персональные данные Субъектов, если только с них на законном основании не снят режим конфиденциальности:

• документы, содержащие персональные данные Субъекта, перечисленные в п.2.гл.9. настоящего Положения;
• информация, содержащая персональные данные Субъектов, размещенная на электронных носителях.

2. Компания обязана при обработке персональных данных Субъектов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3. Общую организацию защиты персональных данных Субъектов осуществляет Директор Компании.

4. Директор Компании обеспечивает:

- Ознакомление сотрудников под роспись с настоящим Положением.

• Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Субъекта и соблюдении правил их обработки.
• Общий контроль за соблюдением сотрудниками мер по защите персональных данных Субъекта.

5. Защита персональных данных Субъектов, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Руководителем административного департамента.

6. Доступ к персональным данным Субъекта имеют сотрудники Компании, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.

7. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Субъектов, обязаны подписать обязательство о неразглашении персональных данных Субъектов.

Процедура оформления доступа к персональным данным Субъекта включает в себя:

• Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Субъекта, с данными актами также производится ознакомление под роспись.
• Истребование с сотрудника (за исключением Директора) письменного обязательства о соблюдении конфиденциальности персональных данных Субъектов и соблюдении правил их обработки, подготовленного по установленной форме.

8. Сотрудник Компании, имеющий доступ к персональным данным Субъектов в связи с исполнением трудовых обязанностей:

• Обеспечивает хранение информации, содержащей персональные данные Субъекта, исключающее доступ к ним третьих лиц, а также сотрудник Компании несет личную ответственность за хранение персональных данных Субъекта.
• В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Субъектов.
• При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Субъектов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

8.1. При увольнении сотрудника, имеющего доступ к персональным данным Субъектов, документы и иные носители, содержащие персональные данные Субъектов, передаются другому сотруднику, имеющему доступ к персональным данным Субъектов по указанию Директора.

9. Допуск к персональным данным Субъекта других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.

10. Документы, содержащие персональные данные Субъектов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

В случае транспортировки персональных данных Субъектов третьим лицам, сотрудник Компании хранит персональные данные Субъекта под личную ответственность.

В конце рабочего дня все документы, содержащие персональные данные Субъектов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа, либо хранятся у сотрудника Компании под личную ответственность о чем делается запись в журнале учета персональных данных Субъекта.

11. Защита доступа к электронным базам данных, содержащим персональные данные Субъектов, обеспечивается:

• Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть «ППС»
• Разграничением прав доступа с использованием учетной записи.

11.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Субъектов, блокируется паролем, который устанавливается Системным администратором.

11.2. Все электронные папки и файлы, содержащие персональные данные Субъектов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Компании и сообщается Внутреннему контролеру.

11.3. Изменение паролей Системным администратором осуществляется не реже 1 раза в 6 месяца.

12. Копировать и делать выписки персональных данных Субъекта разрешается исключительно в служебных целях.

13. Ответы на письменные запросы других организаций и учреждений о персональных данных Субъекта даются только с письменного согласия самого Субъекта, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке «ППС», и в том объеме, который позволяет не разглашать излишний объем персональных данных Субъекта.

12. Уведомление об обработке персональных данных Субъекта

1. В связи с тем, что:

1) Компания осуществляет обработку персональных данных Субъектов, полученных «ППС» в связи с заключением договора с Субъектом, персональные данные Субъектов распространяются и предоставляются третьим лицам с согласия субъекта персональных данных и используются «ППС» исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

либо

2) Компания осуществляет обработку персональных данных Субъектов, которые с письменного согласия Субъекта являются общедоступными персональными данными;

то Компания вправе осуществлять обработку персональных данных Субъектов без уведомления уполномоченного органа по защите прав субъектов персональных данных.

13. Ответственность за нарушение порядка хранения персональных данных Субъекта

1. Компания несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Субъекта. Компания закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.

2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Субъекта, несет персональную ответственность за данное разрешение.

3. Каждый сотрудник Компании, получающий для работы документ, содержащий персональные данные Субъекта, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Субъектов «ППС» вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Субъектов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

8. «ППС» не несет ответственности за получение, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение сведений предоставленными гражданами по электронной почте, на бумажном носителе и иным способом, составляющие персональные данные Субъекта без заключения договора о оказании возмездных услуг с «ППС».