Tamaris официальное мобильное приложение
УстановитьПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных без использования средств автоматизации (далее – «Правила») разработаны в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства РФ от 15.09.2008 № 687, и принимаются ООО «ПРО Обувь», ОГРН 1237700156540, ИНН/КПП 9723191480/772501001, 115432, город Москва, проезд Проектируемый 4062-Й, д. 6 стр. 16 (далее – «Оператор») для определения правил работы с персональными данными без использования средств автоматизации.
1.2. Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированная обработка персональных данных), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.3. Неавтоматизированная обработка может осуществляться в виде использования документов (на бумажных носителях) и в электронном виде (файлы, базы данных) на электронных носителях информации.
1.4. Документ, содержащий персональные данные – материальный носитель с зафиксированной на нем в любой форме информацией, содержащей персональные данные работников (или граждан в договорах с физическими лицами) в виде текста, фотографии и (или) их сочетания.
1.5. С учетом большого объема (массовости) документов, содержащих персональные данные, и строго регламентированного порядка их хранения пометка конфиденциальности на них не ставится.
1.6. С настоящими Правилами должны быть ознакомлены под подпись работники, допускаемые к обработке персональных данных без использования средств автоматизации. Листы ознакомления хранятся у ответственного за организацию обработки персональных данных.
1.7. Порядок допуска работника к работе с персональными данными без использования средств автоматизации:
1.7.1. Утверждение приказом «О хранении бумажных носителей персональных данных и утверждении списка должностей работников, допущенных к бумажным носителям персональных данных» перечня должностей работников, доступ которых к персональным данным, обрабатываемым с использованием материальных носителей, необходим для выполнения трудовых обязанностей;
1.7.2. Прохождение первичного инструктажа, включающего ознакомление со всеми нормативными документами, регламентирующими работу с персональными данными, согласно Инструкции по проведению инструктажа лиц, допущенных к работе с персональными данными с внесением соответствующей информации в Журнал учёта прохождения первичного инструктажа сотрудниками, допущенными к обработке персональных данных на материальных носителях.
2. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Работники, осуществляющие обработку персональных данных, информируются непосредственным начальником (руководителем) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
2.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
2.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
2.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
2.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
2.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные и технические меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
2.7. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета съемных носителей персональных данных. К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
2.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
2.9. Документы и съемные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
2.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3. ОБЯЗАННОСТИ РАБОТНИКА, ДОПУЩЕННОГО К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При работе с документами, содержащими персональные данные, работник обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
3.2. При выносе документов, содержащих персональные данные, за пределы границ контролируемой территории по служебной необходимости сотрудник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
3.3. При утрате (утере, хищении) документов, содержащих персональные данные, работник обязан немедленно доложить о таком факте своему непосредственному начальнику (руководителю). Непосредственный начальник (руководитель) должен сообщить заместителю директора, курирующему вопросы защиты информации о факте утраты (утере, хищении) документов, содержащих персональные данные. По каждому такому факту назначается служебное расследование.
3.4. Работникам, допущенным к обработке персональных данных, запрещается:
- сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям;
- делать неучтенные копии документов, содержащих персональные данные;
- оставлять документы, содержащие персональные данные, на рабочих столах без присмотра;
- покидать помещение, не поместив документы с персональными данными в закрываемые шкафы;
- выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
4. ОТВЕТСТВЕННОСТЬ
4.1. Ответственность за неисполнение или ненадлежащее выполнение требований настоящими Правилами возлагается на работников и руководителей подразделений.
4.2. Контроль за выполнением положений настоящими Правилами возлагается на ответственного за организацию обработки персональных данных.
4.3. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
4.4. В случае если в результате действий работника был причинен подлежащий возмещению работодателем ущерб третьим лицам, работник несет перед работодателем материальную ответственность в соответствии с главой 39 Трудового кодекса РФ.
4.5. В случае разглашения персональных данных, ставших известными работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, трудовой договор с работником может быть расторгнут работодателем (подпункт «в» пункта 6 статьи 81 Трудового кодекса РФ).