Положение об обработке персональных данных интернет-магазин Мир Моделиста

Положение об обработке персональных данных

1.Общие положения

1.1 Настоящее Положение определяет основные принципы, цели, условия и способы обработки персональных данных в ИП Соломатина Татьяна Николаевна (далее по тексту –Индивидуальный предприниматель) с использованием средств автоматизации или без использования таких средств, функции Индивидуального предпринимателя при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.

1.2 Целями настоящего Положения являются:

1.2.1 Определение принципов и порядка обработки персональных данных субъектов персональных данных у Индивидуального предпринимателя.

1.2.2 Обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных.

1.2.3 Установление ответственности персонала Индивидуального предпринимателя за невыполнение требований к обработке и защите персональных данных.

1.3 При разработке настоящего Положения использованы следующие нормативные и иные документы:

- Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS № 108);

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Уголовный кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Кодекс Российской Федерации об административных правонарушениях;

- Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

- Федеральный закон от 03.06.2009 № 103-ФЗ «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами»;

- Федеральный закон от 21.07.2014 №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;

- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Приказ Министерства связи и массовых коммуникаций Российской Федерации от14.11.2011 №312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;

- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

2. Термины н определения

2.1 В настоящем положении применены следующие термины с соответствующими определениями:

2.1.1 Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.2 Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.1.3 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.4 Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.1.5 Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.1.6 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.1.7 Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.1.8 Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 2.1.9 Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации

определить принадлежность персональных данных конкретному субъекту персональных данных.

2.1.10 Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

2.1.11 Конфиденциальность персональных данных - обязательное для соблюдения Индивидуальным предпринимателем или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.1.12 Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.1.13Директор - ИП Соломатина Татьяна Николаевна.

3. Понятие и состав персональных данных

3.1 К субъектам персональных данных, обрабатываемых Индивидуальным предпринимателем, относятся лица - носители персональных данных, передавшие свои персональные данные Обществу (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания относятся:

- физические лица, с которыми у Индивидуального предпринимателя имеются отношения по покупке/продаже товаров;

- физические лица, являющиеся контрагентами по гражданско-правовым договорам;

- физические лица, заключившие с Индивидуальным предпринимателем трудовой договор;

- кандидаты на заключение с Индивидуальным предпринимателем трудового договора;

- члены семьи работников Индивидуального предпринимателя;

- члены семьи кандидатов на заключение с Индивидуальным предпринимателем трудового договора;

- физические лица - плательщики, осуществляющие платежи в центрах клиентского обслуживания Индивидуального предпринимателя в рамках агентских договоров об осуществлении деятельности по приему платежей физических лиц; 

- физические лица, обратившиеся в адрес Индивидуального предпринимателя с заявлениями, жалобами и претензиями.

3.2 Под персональными данными субъектов персональных данных понимается следующая информация:

- фамилия, имя, отчество;

- сведения о документе, удостоверяющем личность (наименование, серия, номер, дата выдачи, кем выдан);

- дата и место рождения;

- дата и место регистрации;

- адрес фактического места жительства;

- номер мобильного телефона;

- адрес электронной почты;

- сведения, подтверждающие основания для предоставления мер социальной поддержки;

- сведения о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- сведения об образовании;

- сведения о занимаемых должностях за последние 5 лет;

- стаж работы, дающий право на выслугу лет;

- сведения о местах предыдущей работы и выполняемых работах;

- семейное положение;

- сведения о составе семьи;

- серия и номер свидетельства о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации, выдавший орган, дата выдачи;

- сведения о присвоенном идентификационном номере налогоплательщика;

- сведения о серии и номере Свидетельства государственного пенсионного страхования;

- сведения о воинском учете;

- сведения о приёме на работу и переводе на другую работу; об аттестации; о повышении квалификации;

- сведения о профессиональной переподготовке;

- о наградах, поощрениях, почетных званиях; об отпусках; о социальных льготах, на которые работник имеет право в соответствии с законодательством Российской Федерации;

- дата увольнения и основания прекращения трудового договора;

- банковский и лицевой счет для целей перечисления заработной платы, дивидендов и прочих выплат;

- серия, номер и дата выдачи страхового медицинского полиса обязательного страхования граждан, выдавший его орган;

- номер, дата выдачи полиса добровольного медицинского страхования, выдавший его орган;

- сведения о доле участия в уставном капитале Индивидуального предпринимателя, владении акциями Индивидуального предпринимателя; - сведения о привлечении к административной ответственности за правонарушения в области финансов, налогов и сборов, рынка ценных бумаг или уголовной ответственности (наличии судимости) за преступления в сфере экономики или за преступления против государственной власти;

- сведения о занятии должностей в органах управления коммерческих организаций в период, когда в отношении указанных организаций было возбуждено дело о банкротстве и/или введена одна из процедур банкротства, предусмотренных законодательством Российской Федерации о несостоятельности (банкротстве).

3.3 Документы и программное обеспечение, содержащие персональные данные субъектов персональных данных:

- заявления субъектов персональных данных (в том числе размещенные на сайте Индивидуального предпринимателя);

- письма субъектов персональных данных и адресованные им письма;

- подлинники и копии приказов по личному составу;

- основания к приказам по личному составу;

- личные дела, личные карточки (форма Т-2) и трудовые книжки сотрудников;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- анкеты, заполняемые субъектами персональных данных;

- копии документов об образовании;

- копия паспорта;

- результаты медицинского обследования (в случаях, предусмотренных трудовым законодательством);

- страховой медицинский полис обязательного страхования граждан;

- свидетельства государственного пенсионного страхования;

- военный билет;

- рекомендации, характеристики;

- свидетельство о постановке на учёт в налоговом органе по месту жительства на территории Российской Федерации;

- свидетельство о присвоении ИНН;

- копии отчетов, направляемые в органы статистики;

- информационные системы "1С";

- гражданско-правовые договоры с физическими лицами;

- платежные документы.

3.4 Перечисленные в п. 3.3документы являются конфиденциальными, однако, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

3.5 Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении срока хранения, если иное не определено законом.

4. Принципы обработки персональных данных

4.1 Индивидуальный предприниматель, являясь оператором персональных данных, осуществляет обработку персональных данных работников Индивидуального предпринимателя и иных субъектов персональных данных, не состоящих с Индивидуальным предпринимателем в трудовых отношениях.

4.2 Обработка персональных данных осуществляется на законной и справедливой основе.

4.3 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.5 Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.6 Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

4.7 При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Индивидуальный предприниматель принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

4.8 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.9 Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Обществу своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.10 Держателем персональных данных является ИП Соломатина Татьяна Николаевна, которому субъект персональных данных добровольно передает в использование свои персональные данные. Индивидуальный предприниматель выполняет функцию пользователя этих данных и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

4.11 Пользователями персональных данных являются государственные органы, органы местного самоуправления, учреждения, юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений.

4.12 Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области зашиты информации, а также утвержденными локальными нормативными актами Индивидуального предпринимателя.

4.13 Работники Индивидуального предпринимателя, в обязанности которых входит обработка персональных данных субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы в соответствии с Порядком реагирования на запросы субъектов персональных данных, утверждённым приказом Директора Индивидуального предпринимателя.

5. Получение, хранение и использование персональных данных

5.1 Обработка Индивидуальным предпринимателем персональных данных допускается в следующих случаях:

5.1.1 Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение №1 и Приложение №3 к настоящему Положению);

5.1.2 Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

5.1.3 Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5.1.4 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.1.5 Обработка персональных данных необходима для осуществления прав и законных интересов Индивидуального предпринимателя или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

5.1.6 Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

5.1.7 Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

5.1.8 В иных случаях, предусмотренных действующим законодательством.

5.2 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Индивидуальным предпринимателем.

5.3 При заключении трудового договора физическое лицо дает личное согласие на обработку своих персональных данных в письменном виде (Приложение № 1 к настоящему Положению). Кандидат на заключение трудового договора с Индивидуальным предпринимателем дает согласие на обработку своих персональных данных в письменном виде (Приложение №6 к настоящему Положению).

5.4 Индивидуальный предприниматель получает сведения о персональных данных субъектов персональных данных из документов, указанных в п. 3.3 Положения.

5.5 Индивидуальный предприниматель проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.

Индивидуальный предприниматель имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации. Предоставление субъектом подложных документов или ложных сведений при поступлении на работу является основанием в случаях, предусмотренных законодательством, для расторжения трудового договора.

5.6 Порядок формирования и оформления внутренних документов Индивидуального предпринимателя, содержащих персональные данные, регулируется соответствующими локальными нормативными актами Индивидуального предпринимателя.

5.7 Индивидуальный предприниматель получает персональные данные непосредственно от субъектов персональных данных.

Персональные данные могут быть получены Индивидуальным предпринимателем от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в пунктах 5.1.2-5.1.7 настоящего положения и части 2 статьи 10 Федерального закона «О персональных данных».

5.8 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Действия персонала Индивидуального предпринимателя в случае отзыва согласия регламентированы Порядком реагирования на запросы субъектов персональных данных, который утверждается приказом Директора Индивидуального предпринимателя. 5.9 Обработка персональных данных может осуществляться Индивидуальным предпринимателем без получения согласия субъекта персональных данных на обработку его персональных данных в случаях, предусмотренных пунктами 5.1.2 -5.1.7 настоящего Положения.

5.10 Обработка Индивидуальным предпринимателем специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных».

5.11 Документы, содержащие персональные данные работника, составляют его личное дело. Личное дело хранится в отделе управления персоналом на бумажных носителях и пополняется в течение всей трудовой деятельности работника. Письменные доказательства получения Индивидуальным предпринимателем согласия субъекта персональных данных на их обработку хранятся в личном деле.

5.12 У Индивидуального предпринимателя реализуются следующие требования к хранению персональных данных на бумажных носителях:

5.12.1 Перечень помещений, в которых обрабатываются персональные данные субъектов, устанавливается приказом Индивидуального предпринимателя.

5.12.2 Помещения, в которых обрабатываются персональные данные субъектов, оборудуются замками, исключающими проникновение в помещение, и сигнализацией на вскрытие помещений.

5.12.3 Для хранения персональных данных используются шкафы или сейфы, которые запираются на ключ. Ключ должен храниться в местах, исключающих свободный доступ к ним лиц, не имеющих допуска к обработке персональных данных.

5.12.4 Помещения, в которых хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.

5.12.5 Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.

5.13 При обработке персональных данных Индивидуального предпринимателя вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.

5.14 Руководство и контроль за соблюдением требований по обработке персональных данных структурным подразделением, контроль за соблюдением структурным подразделением прав и свобод субъектов персональных данных возлагается на руководителя структурного подразделения.

6. Доступ к персональным данным субъекта и их передача

6.1 Полный внутренний доступ к персональным данным субъектов имеют:

- Директор- Индивидуальный предприниматель;

6.2 Доступ к персональным данным, ограниченный направлением деятельности, либо необходимый для выполнения возложенных на них обязанностей имеют работники, замещающие должности, включенные в Перечень должностей, допущенных к обработке персональных данных, который формируется специалистом по информационной безопасности иутверждается приказом Директора или лицом, его замещающим.

Кроме этого, к своим персональным данным имеет доступ непосредственно субъект персональных данных, в соответствии с Порядком реагирования на запросы субъектов персональных данных, утверждённым приказом Директора Индивидуального предпринимателя.

6.3 При необходимости обработки персональных данных лицами, не указанными в п. 6.1 - 6.2 настоящего Положения, руководитель структурного подразделения, в котором работают данные лица, обращается служебной запиской, обосновывающей необходимость ознакомления и использования персональных данных, на имя руководителя службы экономической безопасности.

Руководитель службы экономической безопасности обязан:

- в трехдневный срок рассмотреть служебную записку;

- при положительном решении подготовить проект приказа о включении должности в «Перечень должностей ИП Соломатина Татьяна Николаевна, допущенных к обработке персональных данных» и предоставить его на подпись Директору.

6.4 Специалист по информационной безопасности перед заключением Индивидуальным предпринимателемтрудового договора с работником или дополнительного соглашения о переводе на должность, включенную в Перечень должностей, допущенных к обработке персональных данных, разъясняет ему права и обязанности по соблюдению режима конфиденциальности персональных данных.

6.5 Работник отдела управления персоналом (далее – ОУП), ответственный за оформление документов по приёму персонала в Индивидуальный предприниматель и переводу на другие должности, обязан:

- предложить лицу, чья должность включена в Перечень должностей, допущенных к обработке персональных данных, одновременно с заключением трудового договора или дополнительного соглашения о переводе на должность, подписать Обязательство о соблюдении режима конфиденциальности персональных данных (далее - Обязательство) (Приложение № 5 к настоящему Положению);

приобщить подписанное Обязательство к личному делу работника.

6.6 Персональные данные предоставляются Индивидуальным предпринимателем:

- контролирующим органам;

- правоохранительным органам;

- органам лицензирования и сертификации;

- военкоматам*;

- органам, организациям страхования*;

- банковским организациям*;

- пенсионным фондам*;

- судебным органам;

- подразделениям государственных и муниципальных органов управления; организациям, оказывающим образовательные, консультационные, информационные, организационные услуги*;

- органам социальной защиты населения;

- регистратору, осуществляющему ведение реестра акционеров.

6.7 Работники, получившие допуск к обработке персональных данных, имеют право обрабатывать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные работники имеют право на полную информацию только о собственных персональных данных и обработке этих данных.

6.8 Доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия (Приложение №2 к настоящему Положению), за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

6.9 Сведения о персональных данных субъектов могут быть предоставлены Индивидуальным предпринимателем другой организации, государственным органам, органам местного самоуправления, учреждениям только по письменному запросу, в объеме, предусмотренном законодательством Российской Федерации, с письменного разрешения Директора.

6.10 Передача информации, содержащей персональные данные, организациям и учреждениям осуществляется на основании соглашений (договоров), подготавливаемых подразделениями-договородержателями, в отношении работников магазина в соответствии с гражданским законодательством Российской Федерации и СТО 14 -2012 «Процессы управления фирмой. Договорная работа», в которых должны быть определены условия охраны конфиденциальности таких сведений, в том числе в случае реорганизации или ликвидации одной из сторон соглашения (договора), а также обязательства по возмещению убытков при разглашении персональных данных (Приложение № 4 настоящего Положения).

Предоставление информации, содержащей персональные данные Индивидуального предпринимателя, органу государственной власти и органу местного самоуправления осуществляется в соответствии с действующим законодательством по их мотивированному требованию в пределах компетенции указанных органов на безвозмездной основе. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, содержащей персональные данные Индивидуального предпринимателя, и срок предоставления этой информации, если иное не установлено федеральными законами.

6.11 Персональные данные субъекта могут быть предоставлены родственникам или членам семьи субъекта персональных данных по письменному разрешению субъекта персональных данных.

6.12 Запрещается предоставлять информацию о персональных данных по телефону.

6.13 Запрещается сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.

6.14 Учет работников, допущенных к обработке персональных данных, ведется в электронном виде специалистом по информационной безопасности. Учету подлежат должность работника, наименование информационных ресурсов, систем персональных данных и адрес нахождения его рабочего места.

6.15 Учет работников, осуществляющих обработку в информационных системах общедоступных персональных данных, не осуществляется. Меры,для обеспечения зашиты общедоступных персональных данных, ограничиваются проведением организационных мероприятий, направленных на исключение несанкционированного внешнего доступа к информации, предусмотрены в СТО 42-2011 «Информационная и имущественная безопасность. Безопасность информационных систем».

6.16 При изменении должностных обязанностей работников, связанных с прекращением или началом обработки персональных данных, а также при организационно-штатных мероприятиях по введению или упразднению должностей, осуществляющих обработку персональных данных, руководители структурных подразделений (отдельные специалисты управления Индивидуального предпринимателя) обязаны в трехдневный срок направить специалисту по информационной безопасности служебную записку с указанием произошедших изменений для внесения дополнений в Перечень должностей, допущенных к обработке персональных данных.

7. Права и обязанности сторон в области защиты персональных данных

7.1 Субъект персональных данных обязан:

7.1.1 Передавать Обществу или его представителю достоверные документированные персональные данные, перечень которых установлен трудовым законодательством, законодательством об образовании, иными законами Российской Федерации.

7.2 Субъект персональных данных имеет право:

7.2.1 На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами.

Доступ к своим персональным данным предоставляется субъекту или его законному представителю в соответствии с Порядком реагирования на запросы субъектов персональных данных.

7.2.2 Требовать от Индивидуального предпринимателя исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Федерального закона «О персональных данных», за исключением случаев, предусмотренных законодательством Российской Федерации.

7.2.3 Требовать об извещении Индивидуальным предпринимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.2.4 Заявить в письменной форме Обществу о своем несогласии с отказом Индивидуального предпринимателя исключить или исправить персональные данные субъекта.

7.2.5 Получать сведения об Обществе, о месте его нахождения, о наличии у Индивидуального предпринимателя персональных данных, относящихся к субъекту персональных данных.

7.2.6 Получать информацию, касающуюся обработки его персональных данных, втом числе содержащую:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством.

7.2.7 Обжаловать в судебном порядке любые неправомерные действия или бездействия Индивидуального предпринимателя при обработке и защите персональных данных.

7.3 Индивидуальный предприниматель обязано:

7.3.1 При сборе персональных данных предоставить субъекту персональных данных по его просьбе в течение 30 дней с даты получения запроса следующую информацию:

- подтверждение факта обработки персональных данных Индивидуальным предпринимателем;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Индивидуальным предпринимателем способы обработки персональных данных;

- наименование и место нахождение Индивидуального предпринимателя, сведения о лицах (за исключением работников Индивидуального предпринимателя), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Индивидуальным предпринимателем или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Индивидуального предпринимателя, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом «О персональных данных».

7.3.2 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

7.3.3 В случаях получения персональных данных не от субъекта Индивидуальный предприниматель до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

- наименование либо фамилия, имя, отчество и адрес Индивидуального предпринимателя или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

- источник получения персональных данных.

7.3.4 Индивидуальный предприниматель освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 7.3.3 настоящего Положения в случае получения персональных данных не от субъекта, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены Индивидуальным предпринимателем на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных п. 7.3.3настоящего положения, нарушает права и законные интересы третьих лиц.

7.3.5 Информировать физических лиц, с которыми имеются договорные отношения по покупке электроэнергии у Индивидуального предпринимателя, имеющих право на получение мер социальной защиты по оплате электроэнергии на основании нормативных правовых актов Вологодской области, путем размещения в филиалах и представительствах Индивидуального предпринимателя, а также организациях, принимающих платежи за электрическую энергию от населения (отделения банков, почтовые отделения) объявлений, раскрывающих цели обработки персональных данных и права субъектов персональных данных. 7.3.6 В случае выявления недостоверных персональных данных или неправомерных действий с ними осуществить мероприятия, в соответствии с Порядком реагирования на запросы субъектов персональных данных, утверждённым приказом Директора.

7.3.7 При достижении цели обработки персональных данных прекратить их обработку и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случаях, предусмотренных федеральными законами, документы, содержащие персональные данные, хранятся в Обществе в течение сроков, установленных архивным и иным законодательством Российской Федерации.

8. Зашита персональных данных

8.1 Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Индивидуального предпринимателя.

Индивидуальный предприниматель обеспечивает безопасность персональных данных при их обработке, соблюдает их конфиденциальность, принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2 Лицом, ответственным за организацию обработки персональных данных Индивидуального предпринимателя является начальник отдела нормативно-правового и методологического обеспечения.

8.3 Лицом, ответственным за организацию защиты персональных данных, является ведущий специалист по информационной безопасности.

8.4 Ответственными за организацию мероприятий по соблюдению прав и законных интересов субъектов персональных данных в отношении отдельных категорий субъектов являются:

8.4.1 В отношении граждан, приобретающих товар у Индивидуального предпринимателя - директора филиалов, руководители представительств.

8.4.2 В отношении граждан-контрагентов по гражданско-правовым договорам - руководители подразделений-договородержателей по соответствующим договорам.

8.4.4 В отношении персонала - начальник отдела управления персоналом, директора филиалов, руководители представительств.

8.5 Лица, указанные в п.п. 8.2 - 8.4 настоящего Положения обязаны принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

8.6 Техническая защита персональных данных включает следующие мероприятия: 8.6.1 Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

8.6.2 Защита информационных систем персональных данных паролями доступа.

8.6.3 Установка антивирусного программного обеспечения на рабочие станции, серверы и своевременное обновление антивирусных баз.

8.6.4 Участие в мероприятиях, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

8.6.5 Обнаружение фактов несанкционированного доступа к персональным данным путем проведения проверок электронных журналов событий, съемных носителей электронной информации.

8.6.6 Обеспечение возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.6.7 Определение угроз безопасности технической защиты персональных данных при их обработке, формирование на их основе модели угроз.

8.6.8 Участие в разработке на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего уровня защищенности информационных систем.

8.6.9 Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.

8.6.10 Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

8.6.11 Учет машинных носителей персональных данных.

8.6.12 Организация учета и контроля лиц, допущенных к работе с персональными данными в информационной системе.

8.6.13 Контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

8.6.14 Участие в проведении служебных проверок по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, выработка рекомендаций по предотвращению возможных опасных последствий подобных нарушений.

8.7 Защита персональных данных включает следующие организационно-технические мероприятия:

8.7.1 Регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные.

8.7.2 Избирательное и обоснованное распределение документов и информации между работниками.

8.7.3 Рациональное размещение рабочих мест работников, при котором исключался бы бесконтрольный доступ к защищаемой информации.

8.7.4 Знание работниками требований локальных нормативных актов Индивидуального предпринимателя по защите персональных данных и умение их применять в практической работе.

8.7.5 Своевременное выявление нарушений требований разрешительной системы доступа работников подразделений.

8.7.6 Организация и проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

8.7.7 Организация постоянного контроля за обеспечением уровня защищенности персональных данных,

8.7.8 Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.

8.7.9 Разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего уровня защищенности информационных систем.

8.7.10 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

8.7.11 Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

8.7.12 Контроль мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.7.13 Проведение служебных проверок по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

8.7.14 Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

8.7.15 Обеспечение конфиденциальности распределения функций, рабочих процессов, технологий составления, оформления, ведения и хранения документов, содержащих персональные данные, от лиц, не имеющих непосредственного отношения к деятельности Индивидуального предпринимателя.

8.7.16 Установление порядка приема, учета посетителей.

8.7.17 Использование технических средств охраны, сигнализации.

8.7.18 Определение порядка охраны территории, зданий, помещений, транспортных средств.

8.7.19 Предъявление требований к защите информации при интервьюировании и собеседованиях.

8.8 Перечень конкретных мероприятий по защите персональных данных с использованием или без использования ЭВМ и порядок их осуществления определяется приказами Директора или иного уполномоченного им лица, иными локальными нормативными актами.

9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными 9.1 Работники, виновные в разглашении персональных данных субъекта (передаче их посторонним лицам, в том числе, работникам Индивидуального предпринимателя, не имеющим к ним доступа), их публичном раскрытии, утрате документов и иных носителей, содержащих персональные данные субъекта, а также иных нарушениях обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Индивидуального предпринимателя несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

10. Уведомление об обработке персональных данных

10.1 Индивидуальным предпринимателем предоставляется в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), являющуюся уполномоченным органом по защите прав субъектов персональных данных, Уведомление об обработке персональных данных.

10.2 Уведомление об обработке персональных данных содержит следующие сведения:

- наименование, адрес Индивидуального предпринимателя;

- цель обработки персональных данных;

- категории персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых Индивидуальным предпринимателем способов обработки персональных данных;

- описание мер, направленных на обеспечение выполнения Индивидуальным предпринимателем обязанностей, предусмотренных Федеральным законом «О персональных данных» и мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

- дата начала обработки персональных данных;

- срок или условие прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

10.3 В случае изменения сведений, указанных в п. 10.2 настоящего Положения, а также в случае прекращения обработки персональных данных Индивидуальный предприниматель уведомляет уполномоченный орган в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

11. Заключительные положения

11.1 Настоящее Положение утверждается приказом.

11.2 Индивидуальный предприниматель обеспечивает неограниченный доступ к настоящему Положению путем опубликования его на официальном сайте Индивидуального предпринимателя.

Приложение: 1. Личное согласие работника на обработку персональных данных

2. Заявление работника о согласии передачи персональных данных третьим лицам

3. Личное согласие на обработку персональных данных

4. Соглашение об охране конфиденциальности информации, содержащей персональные данные

5. Обязательство о соблюдении режима конфиденциальности персональных данных.

6. Согласие кандидата для приема на работу на обработку персональных данных.

ПРИЛОЖЕНИЕ № 1

к Положению об обработке

персональных данных

Личное согласие работника на обработку персональных данных

Настоящим во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» я, гражданин(ка) Российской Федерации

________________________________________________________________________________________________________________________

(ФИО полностью)

паспорт _______________________________________________________________________________________________________________

(серия, номер, дата выдачи, выдавший орган)

адрес регистрации: ___________________________________________________________________________________________________

(субъект Российской Федерации, город, улица, номера дома, корпуса, квартиры)

________________________________________________________________________________________________________________________

своей волей и в своём интересе даю согласие ИП Соломатина Татьяна Николаевна (место нахождения: Российская Федерация, 119034, г. Москва, Кропоткинский пер. д.4, стр.1 Магазин «Мир Моделиста», ИНН 773601306056) на обработку моих персональных данных, включая биометрические персональные данные, в целях исполнения Индивидуальным предпринимателем Соломатиной Татьяной Николаевной обязанностей работодателя, связанных с трудовыми отношениями между мной и работодателем, в том числе по действующим и будущим договорам, соглашениям.

Под обработкой персональных данных я понимаю сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и любые другие действия (операции) с моими персональными данными.

Под персональными данными я понимаю любую информацию, относящуюся ко мне прямо или косвенно как к субъекту персональных данных, в том числе: - о фамилии, имени, отчестве, годе, месяце, дате и месте рождения, адресе, семейном, социальном, имущественном положении,составе семьи; наличии и возрасте детей; сведения о ближайших родственниках и членах семьи*; фото - и видеоизображение (в презентационных документах и (или) в рамках деятельности Индивидуального предпринимателя), образовании, профессии, должности, доходах, ученая степень, ученое звание, адрес электронной почты, почетное звание, сведения о наградах/поощрениях, сведения о трудовой деятельности, отношение к воинской обязанности, сведения о воинском учете;

- сведения о серии и номере основного документа, удостоверяющем мою личность, о дате выдачи указанного документа и выдавшем его органе;

- сведения о серии и номере свидетельства о постановке меня на учёт в налоговом органе по месту жительства на территории Российской Федерации, о дате выдачи указанного документа и выдавшем его органе, сведения о присвоенном мне идентификационном номере налогоплательщика (ИНН);

- сведения о серии и номере выданного мне Страхового свидетельства государственного пенсионного страхования;

- другую сообщённую мною информацию.

Я согласен (а) на включение в общедоступные источники следующих моих персональных данных:

- фамилия, имя, отчество, дата и место рождения, фото- и видеоизображение (в презентационных документах и (или) в рамках деятельности Индивидуального предпринимателя), сведения об образовании (включая название образовательного учреждения, специальность, квалификацию), ученая степень, ученое звание, почетное звание;

- должность;

- адрес электронной почты;

- сведения о наградах/поощрениях, сведения о трудовой деятельности;

- отношение к воинской обязанности, сведения о воинском учете;

- сведения о знании иностранных языков;

Настоящее согласие действует в течение срока, определенного федеральными законами.

Я ознакомлен(на), что настоящее согласие на обработку моих персональных данных может быть отозвано путём написания мною личного заявления об отзыве в присутствии начальника отдела управления персоналом Открытого акционерного Индивидуального предпринимателя «Вологодская сбытовая компания», либо путём представления в адрес Открытого акционерного Индивидуального предпринимателя «Вологодская сбытовая компания» заявления об отзыве, в котором моя личная подпись заверена нотариально.

__________________  __________________    ______________________________________________________________________________________

(дата)                     (личная подпись)      (ФИО полностью)

Настоящим обязуюсь незамедлительно письменно сообщать в Открытое акционерное Индивидуальный предприниматель «Вологодская сбытовая компания» сведения об изменении моих персональных данных.

_________________  __________________     ______________________________________________________________________________________

(дата)                   (личная подпись)     (ФИО полностью)

* Работник подтверждает, что проинформировал членов семьи, ближайших родственников, о передаче работодателю для дальнейшей обработки их персональных данных.

ПРИЛОЖЕНИЕ № 2

к Положению об обработке

персональных данных

Заявление работника о согласии на передачу персональных данных третьим лицам

Я,________________________________________________________________________________________________________________________

(Фамилия, Имя, Отчество)

__________________________________________________________________________________________________________________________

(должность, структурное подразделение)

паспорт__________________________________________________________________________________________________________________

(серия, номер)

являясь работником ИП Соломатина Татьяна Николаевна (далее – Индивидуальный предприниматель) в соответствии с нормами главы 14 Трудового кодекса Российской Федерации и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» своей волей и в своем интересе даю право на передачуИП Соломатина Татьяна Николаевна (далее – Работодатель) моих персональных данных третьим лицам (далее - иным операторам).

Передача моих персональных данных иным операторам должна осуществляться Работодателем только с целью исполнения обязательств, возложенных на него законодательными, нормативными актами либо установленных договорами и иными законными сделками, а также для соблюдения моих прав и интересов.

Работодатель с моего настоящего согласия имеет право передавать мои персональные данные, указанные ниже, следующим иным операторам:

1. ЗАО АКБ «Мосуралбанк» (далее – Банк) – для оформления безналичного счета, на который Работодателем будет перечисляться заработная плата и иные доходы Работника:

Фамилия, имя, отчество

Паспортные данные

Контактный телефон

Размер заработной платы и иных доходов, выплачиваемых Работодателем

2. Кредитным организациям, в которые Работник обращался для оформления кредитов, ссуд либо получения иных услуг, при условии, что Работник заранее письменно сообщит Работодателю наименования указанных кредитных организаций:

Фамилия, имя, отчество

Дата, месяц, год рождения

Паспортные данные

ИНН

Размер заработной платы, выплачиваемой Работодателем

3. Посольским, консульским представительствам иностранных государств, визовым центрам - для исполнения Работодателем официальных запросов по вопросам предоставления Работнику въездных виз, при условии, что Работник заранее письменно сообщит Работодателю наименования указанных организаций:

Фамилия, имя, отчество

Дата, месяц, год рождения

Гражданство

Место работы и занимаемая должность

Размер заработной платы, выплачиваемой Работодателем

Стаж работы

Период отпуска

Я согласен(а) с тем, что мои указанные выше персональные данные будут обрабатываться перечисленными выше иными операторами в моем интересе смешанным методом (в том числе автоматизированным с помощью средств вычислительной техники и на бумажных носителях) обработки, систематизироваться, храниться, распространяться и передаваться.

Настоящее согласие мною дается на срок действия Трудового договора с Работодателем.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа.

Настоящее согласие считается также отозванным в случае досрочного расторжения Трудового договора с Работодателем по любой причине.

Документ составлен в двух экземплярах, имеющих равную юридическую силу, по одному для каждой из сторон.

Данное заявление подписано мною собственноручно, добровольно и без принуждения.

«___» ______________ 20__ года                                                                                 _____________________

(дата)                                                                                                                        (подпись)

Подтверждаю, что с нормами Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», Положением об обработке и защите персональных данных Работников ИП Соломатина Татьяна Николаевна я ознакомлен(а), права и обязанности в области защиты персональных данных мне разъяснены, в том числе и порядок отзыва согласия на обработку персональных данных.

«___» ______________ 20__ года                                                                                _____________________

(дата)                                                                                                                      (подпись)

ПРИЛОЖЕНИЕ № 3

к Положению об обработке

персональных данных

Личное согласие на обработку персональных данных

Настоящим во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» я

________________________________________________________________________________________________________________________

(ФИО полностью)

паспорт _______________________________________________________________________________________________________________

(серия, номер, дата выдачи, выдавший орган)

адрес регистрации: ___________________________________________________________________________________________________

(субъект Российской Федерации, город, улица, номера дома, корпуса, квартиры)

________________________________________________________________________________________________________________________

своей волей и в своём интересе даю согласие Публичному акционерному обществу «Вологодская сбытовая компания» (место нахождения:Российская Федерация, Вологодская обл., г. Вологда, Пречистенская набережная, д.68, ИНН 3525154831) на обработку моих персональных данных, в целях______________________________________________________________________________________________________________________

Под обработкой персональных данных я понимаю сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и любые другие действия (операции) с моими персональными данными.

Под персональными данными я понимаю любую информацию, относящуюся ко мне прямо или косвенно как к субъекту персональных данных, в том числе:

- о фамилии, имени, отчестве, дате и месте рождения, адресе, номере телефона, адресе электронной почты;

- сведения о серии и номере основного документа, удостоверяющем мою личность, о дате выдачи указанного документа и выдавшем его органе;

- другую сообщённую мною информацию.

Настоящее согласие действует в течение срока, определенного федеральными законами.

Я ознакомлен(на), что настоящее согласие на обработку моих персональных данных может быть отозвано путём написания мною личного заявления об отзыве либо путём представления в адрес Публичного акционерного Индивидуального предпринимателя «Вологодская сбытовая компания» заявления об отзыве, в котором моя личная подпись заверена нотариально.

_____________ ______________________ ___________________________________

(дата)            (личная подпись)         (ФИО полностью)

ПРИЛОЖЕНИЕ № 4

к Положению об обработке персональных данных

Соглашение №_____

об охране конфиденциальности информации,

содержащей персональные данные

г. Вологда «___» _______________ 20__ года

(Полное наименование предприятия, организации), именуемое в дальнейшем «Передающая сторона», в лице (должность фамилия, имя отчество), действующего на основании __________________________, и (полное наименование предприятия, организации), именуемое в дальнейшем «Принимающая сторона», в лице (должность, фамилия, имя, отчество), действующего на основании _____________, вместе именуемые «Стороны», заключили настоящее соглашение об охране конфиденциальности информации, содержащей персональные данные, обладателем которой является «Передающая сторона».

1. Предмет соглашения

1.1 Организация доступа к информационным ресурсам Передающей стороны, содержащим персональные данные, и условия передачи персональных данных.

1.2 Принятие Принимающей стороной обязательств о неразглашении переданной Передающей стороной информации, содержащей персональные данные, обеспечении специальными мерами защиты и использовании указанной информации, ответственности за нарушение данных обязательств в соответствии с действующим законодательством Российской Федерации и настоящим соглашением.

2. Термины и определения

2.1 Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3 Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.4 Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.5 Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.6 Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.7 Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

2.8 Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.9 Конфиденциальность персональных данных - обязательное для соблюдения Индивидуальным предпринимателем или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.10 Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.11 Разглашение информации, содержащей персональные данные - действие или бездействие, в результате которых информация, содержащая персональные данные, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

2.12 Режим конфиденциальности персональных данных – установленные организацией правила сбора, систематизации, накопления, хранения, уточнения, использования, распространения, обезличивания, блокирования, уничтожения персональных данных и организация системы обеспечения их сохранности.

3. Обеспечение конфиденциальности

3.1 Положения настоящего соглашения распространяются на информацию, содержащую персональные данные, независимо от вида носителя, на котором она зафиксирована.

3.3 Положения настоящего Соглашения распространяются также на информацию, содержащую персональные данные, полученную сторонами до заключения Соглашения.

4. Права Передающей стороны

4.1 Использовать информацию, содержащую персональные данные, для собственных нужд в порядке, не противоречащем законодательству Российской Федерации.

4.2 Запрещать доступ к информации, содержащей персональные данные, определять порядок и условия доступа к этой информации.

4.3 Требовать от Принимающей стороны и ее работников, получивших доступ к информации, содержащей персональные данные, соблюдения обязанностей по охране ее конфиденциальности.

4.4 Требовать от работников Принимающей стороны, получивших доступ к информации, содержащей персональные данные, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации.

4.5 Защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, содержащей персональные данные.

4.6 Требовать от Принимающей стороны возвращения полученной информации по письменному уведомлению. В течение 15 дней после получения уведомления Принимающая сторона обязана вернуть все оригиналы информации и уничтожить все ее копии и воспроизведения в любой форме, имеющейся в распоряжении Принимающей стороны, а также в распоряжении лиц, которым она передала с соблюдением условий настоящего соглашения такую информацию.

5. Права Принимающей стороны

5.1 Принимающая сторона в соответствии с законодательством Российской Федерации определяет способы защиты информации, содержащей персональные данные, переданной ей по соглашению. Однако при этом должны быть обеспечены:

- исключение неправомерного доступа к информации, содержащей персональные данные;

- исключение утраты информации, содержащей персональные данные;

- возможность использования информации, содержащей персональные данные Передающей стороны, работниками без нарушения режима конфиденциальности.

6. Обязанности Принимающей стороны

6.1 Соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».

6.2. Обеспечивать безопасность персональных данных, соблюдать их конфиденциальность, принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3 Ограничивать доступ к информации, содержащей персональные данные, полученной от Передающей стороны в рамках настоящего соглашения, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.

6.4 Вести учет лиц, получивших доступ к информации, содержащей персональные данные Передающей стороны, и (или) лиц, которым такая информация была передана.

6.5 Регулировать отношения со своими работниками, которые получают доступ к информации, содержащей персональные данные Передающей стороны, или которым такая информация передается на основании трудовых договоров, предусматривающих обязательства о неразглашении информации, полученной на основании настоящего соглашения. В этих целях Принимающая сторона обязана:

- ознакомить под расписку работника, доступ которого к информации, содержащей персональные данные, необходим для выполнения им своих трудовых обязанностей, с установленным работодателем режимом конфиденциальности персональных данных и с мерами ответственности за его нарушение;

- создать работнику необходимые условия для соблюдения им установленного работодателем режима конфиденциальности персональных данных;

- получить от работника письменное обязательство о соблюдении режима конфиденциальности персональных данных.

6.6 Исключать доступ других лиц к переданной информации, содержащей персональные данные, кроме указанных в обращении.

6.7 Незамедлительно сообщить Передающей стороне о допущенном Принимающей стороной либо ставшем ей известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании информации, содержащей персональные данные, третьими лицами.

6.8 Раскрывать информацию, содержащую персональные данные, только в соответствии с законодательством Российской Федерации или по предъявлению законного требования государственных или иных компетентных органов Российской Федерации только в объеме поступившего запроса.

6.9 Незамедлительно сообщать Передающей стороне о допущенном либо ставшем известном Принимающей стороне факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании информации, содержащей персональные данные.

6.10 Соблюдать столь же высокую степень конфиденциальности во избежание разглашения или использования информации, содержащей персональные данные, какую Принимающая сторона соблюдала бы в отношении своей собственной конфиденциальной информации.

6.11 Обеспечивать безопасность персональных данных путем принятия мер, предусмотренных ст. 19 Федерального закона «О персональных данных».

6.12 В случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

7. Ответственность Принимающей стороны

7.1 Принимающая сторона несет ответственность за любое действие или бездействие своих работников, должностных лиц и руководство (включая лиц, ранее исполнявших указанные функции либо занимавших данные должности), которое прямо или косвенно привело к разглашению информации, содержащей персональные данные, третьим лицам.

7.2 Принимающая сторона в случае причинения Передающей стороне вследствие невыполнения или ненадлежащего выполнения условий настоящего Соглашения возмещает причиненные убытки в соответствии с действующим законодательством Российской Федерации.

8. Срок действия Соглашения

8.1 Настоящее Соглашение заключается на неопределенный срок.

8.2 Соглашение может быть досрочно прекращено одной из Сторон в любой момент после предварительного письменного уведомления, направленного в адрес контрагента за семь дней до момента прекращения действия Соглашения.

8.3 Досрочное прекращение или истечение срока действия Соглашения не освобождает Принимающую сторону от выполнения обязательств, принятых по настоящему Соглашению, в отношении информации, содержащей персональные данные, переданной ей до досрочного прекращения или истечения срока действия Соглашения. Такие обязательства остаются в силе в течение 2 (двух) лет после истечения срока действия или досрочного прекращения данного Соглашения.

9. Особые и прочие условия

9.1 Требования настоящего Соглашения обязательны для исполнения Сторонами, их законными представителями и правопреемниками.

9.2 В случае взаимного предоставления Сторонами друг другу информации, содержащей персональные данные, на Стороны распространяются права и обязанности Передающей стороны и Принимающей стороны.

9.3 Все споры, разногласия и требования, возникающие из настоящего Соглашения или в связи с ним, в том числе связанные с его заключением, изменением, исполнением, нарушением, расторжением, прекращением или действительностью, при невозможности урегулирования их Сторонами, подлежат разрешению в Арбитражном суде Вологодской области.

9.4 Изменения и дополнения к настоящему Соглашению согласовываются Сторонами и оформляются путем подписания дополнительных соглашений.

9.5 Настоящее Соглашение составлено в двух экземплярах, имеющих равную юридическую силу, по одному для каждой Стороны.

10. Реквизиты сторон

Полное наименование Передающей стороны Адрес ИНН/КПП ______________________ ОКПО/ОКОГ____________________ ОКАТО/ОКВЭД _________________ ОКФС/ОКОПФ__________________ Банковские реквизиты: № расч.сч. ______________________ в ______________________________ БИК ___________________________ кор.счет №______________________

Полное наименование Принимающей стороны ИП Соломатина Татьяна Николаевна Юридический адрес: 117393, г. Москва, ул. Академика Пилюгина, д.20, к.1, кв.108 Фактический адрес: 119034, г. Москва, Кропоткинский пер. д.4, стр.1 Магазин «Мир Моделиста» ИНН 773601306056 ОГРНИП 313774629601107 р/с № 40802810800000001023 ПАО «МТС-Банк» к/с 30101810600000000232 БИК банка 044525232 Телефон: +7 (926) 799-01-49 e-mail: mirmodelista@mail.ru http://mirmodelista.ru/

10. Подписи сторон

Наименование Передающей стороны Должность _________________ (И.О. Фамилия) М.П. (подпись)

Наименование Принимающей стороны Должность _________________ (И.О. Фамилия) М.П. (подпись)

ПРИЛОЖЕНИЕ № 5

к Положению об обработке

персональных данных

Обязательство

о соблюдении режима конфиденциальности персональных данных

Я,________________________________________________________________________________________________________________________

(Фамилия, Имя, Отчество)

__________________________________________________________________________________________________________________________

(должность)

обязуюсь:

1. Не разглашать, не раскрывать публично, а также соблюдать установленный Положением об обработке персональных данныхИП Соломатина Татьяна Николаевна порядок передачи третьим лицам сведений, составляющих персональные данные работников, которые мне будут доверены или станут известны по работе.

2. Предоставлять информацию конфиденциального характера только по мотивированному запросу органов власти и с письменного согласия Директора Индивидуального предпринимателя или лица, его замещающего, полученного в установленном порядке.

3. Выполнять относящиеся ко мне требования Положения об обработке персональных данных, приказов, распоряжений, инструкций и других локальных нормативных актов по обеспечению конфиденциальности персональных данных и соблюдению правил их обработки.

4. В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные, немедленно сообщить непосредственному руководителю и руководителю службы экономической безопасности.

5. В случае моего увольнения все носители, содержащие персональные данные работников (документы, копии документов, дискеты, диски, магнитные ленты, распечатки на принтерах, черновики пр.), которые находились в моем распоряжении в связи с выполнением мною трудовых обязанностей во время работы у работодателя, передать своему непосредственному начальнику или руководству Индивидуального предпринимателя. Не допускать разглашения ставших мне известными в ходе работы в Обществе персональных данных в течение 3 лет после прекращения трудовых отношений.

6. Об утрате или недостаче документов или иных носителей, содержащих персональные данные работников (удостоверений, пропусков и т.п.); ключей от хранилищ, сейфов (металлических шкафов) и о других фактах, которые могут привести к разглашению персональных данных работников, а также о причинах и условиях возможной утечки сведений немедленно сообщить руководителю структурного подразделения.

7. В случае совершения мной противоправных действий, нарушения условий данного обязательства, руководство организации имеет право осуществлять проверку моих действий, а также совершать иные действия в соответствии с действующим законодательством Российской Федерации.

8. Мне разъяснено, что нарушение этих положений обязательства может повлечь уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством Российской Федерации.

9. Документ составлен в двух экземплярах, имеющих равную юридическую силу, по одному для каждой из сторон.

10. Данное индивидуальное обязательство подписано мною собственноручно, добровольно и без принуждения.

«___» ______________ 20__ года _____________________

(дата)                                       (подпись)

С требованиями Положения о защите персональных данных ИП Соломатина Татьяна Николаевна ознакомлен

«___» ______________ 20__ года _____________________

(дата) (подпись)

ПРИЛОЖЕНИЕ № 6

к Положению об обработке

персональных данных

Согласие

кандидата для приема на работу на обработку персональных данных

Я, ___________________________________________________________________________________________________________________________

(ФИО)

паспорт _______________ № _______________ выдан ____________________________________________________________________________

(серия) (орган выдавший)

_____________________, зарегистрированный(ая) по адресу: ___________________________________________________________________

(дата выдачи)

______________________________________________________________________________________________________________________________

в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», нормами главы 14 Трудового кодекса Российской Федерации своей волей и в своем интересе выражаю ИП Соломатина Татьяна Николаевна, зарегистрированному по адресу: Российская Федерация, Карачаево-Черкесская республика, г. Черкесск, проспект Ленина, д. 147, согласие на обработку, включая сбор (в том числе от третьих лиц, путем направления запросов в органы власти, органы местного самоуправления, из иных общедоступных информационных ресурсов), систематизацию, хранение, уточнение, использование, уничтожение моих персональных данных (Ф.И.О.; дата и место рождения;гражданство; пол; место жительства и адрес регистрации; паспортные данные; семейное положение; состав семьи; наличие и возраст детей; сведения о ближайших родственниках и членах семьи; сведения о лицах, готовых дать рекомендации*; сведения об образовании; данные о предыдущих местах работы; сведения о наградах и иных поощрениях; сведения о привлечении к административной (уголовной) ответственности; сведения об имуществе, сведения о воинском учете; контактные телефоны и контактная электронная почта; фотография, сведения о наличии водительского удостоверения и личного автомобиля; уровень знаний иностранных языков и владения компьютером; сведения о профессиональных навыках и личных качествах; структура и размер заработной платы; общий трудовой стаж; сведения о состоянии здоровья, (наличие инвалидности и медицинских противопоказаний), которые относятся к вопросу возможности выполнения трудовой функции; сведения, включенные в трудовую книжку; дополнительная информация, (которую кандидат желает сообщить о себе) с использованием средств автоматизации или без использования таких средств в целях:

- рассмотрения моей кандидатуры на занятие должности, а также иного содействия в моем трудоустройстве в ИП Соломатина Татьяна Николаевна,

- проверки ИП Соломатина Татьяна Николаевна достоверности сведений, предоставленных мною, как кандидатом для приема на работу;

- ведения ИП Соломатина Татьяна Николаевна кадрового резерва.

Согласие вступает в силу со дня передачи мною в ИП Соломатина Татьяна Николаевна моих персональных данных и действует до дня отзыва в письменной форме.

«_____»____________ 20____ _______________ / ____________________

                                           (подпись)            (расшифровка)

Подтверждаю, что ознакомлен (а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«_____»____________ 20____ _______________ / ____________________

                                           (подпись) (расшифровка)

*Работник подтверждает, что проинформировал членов семьи, ближайших родственников, а также лиц, готовых дать рекомендации, о передаче их персональных данных работодателю для дальнейшей обработки.