1. ПОЛОЖЕНИЕ об обработке персональных данных в информационных системах персональных данных


УТВЕРЖДАЮ
Попов А.Д. Директор
« 26 » ноября 2017 г.
ПОЛОЖЕНИЕ
об обработке персональных данных в информационных системах персональных данных туристической компании «Латин»
Санкт-Петербург 2017

ОБЩИЕ ПОЛОЖЕНИЯ
Назначение документа
Положение об обработке персональных данных в информационных системах персональных данных в туристической компании «Латин» (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в туристической компании «Пегас».
Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15.09.2008 № 687.
Персональные данные, хранящиеся в Туристической компании «Латин» определены в Перечне персональных данных (Приложение 3)
Все персональные сведения о Работнике Работодатель может получить только от него самого. В случаях, когда Работодатель может получить необходимые персональные данные Работника/Клиента только у третьего лица, Работодатель должен уведомить об этом Работника/Клиента и получить от него письменное согласие.
Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника/Клиента дать письменное согласие на их получение.
Цель Положения – определение особенностей обработки персональных данных субъектов персональных данных в туристической компании «Латин».
Область действия документа
Действие Положения распространяется на информационные системы персональных данных туристической компании «Латин», в которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых.
Все работники туристической компании «Латин», допущенные к работе с персональными данными, обрабатываемыми в туристической компании «Латин», в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись.
Вступление в силу документа
Настоящее Положение вступает в силу с момента его утверждения директором туристической компании «Латин» и действует бессрочно до замены его новым Положением.
Все изменения в Положение вносятся приказом директором туристической компании «Латин».
КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ В ТУРИСТИЧЕСКОЙ КОМПАНИИ «Латин» ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ИХ ОБРАБОТКИ
Персональные данные, обрабатываемые в туристической компании «Латин», относятся к сведениям конфиденциального характера.
Состав персональных данных, обрабатываемых в туристической компании «Латин», определен в Перечне персональных данных, обрабатываемых в туристической компании «Латин», утвержденном Приказом директора в туристической компании «Латин», и содержит следующие категории персональных данных (в скобках указаны цели их обработки):
персональные данные работников (исполнение обязательств по трудовому договору);
персональные данные клиентов (исполнение обязательств по договору на оказание туристических услуг);
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ТУРИСТИЧЕСКОЙ КОМПАНИИ «Латин»
Сбор, хранение и уничтожение персональных данных
Персональные данные поступают в туристической компании «Латин» непосредственно от субъекта на основании договорных отношений или от третьей стороны в рамках исполнения норм действующего законодательства Российской Федерации, обрабатываются и хранятся в туристической компании «Латин» не дольше, чем этого требуют цели обработки персональных данных и требования действующего законодательства Российской Федерации.
Если персональные данные работника туристической компании «Латин» можно получить только от третьей стороны, то субъект персональных данных уведомляется о факте их получения заранее. При этом получение персональных данных работника от третьих лиц происходит в соответствии с Регламентом обмена (выдачи) информации.
В случае получения персональных данных правопреемника от лица, вступившего с туристической компанией «Латин» в договорные отношения, ответственность за уведомление правопреемника о факте передачи его персональных данных для обработки в туристической компании «Латин» возлагается на данное лицо.
Сроки и правила хранения информации, содержащей персональные данные субъектов, определяются Положением о хранении и уничтожении персональных данных, обрабатываемых в туристической компании «Латин».
Персональные данные субъектов обрабатываются в туристической компании «Латин» как в электронном виде (автоматизированная обработка), так и на бумажных носителях (обработка без использования средств автоматизации).
Особенности обработки персональных данных с использованием средств автоматизации
Обработка персональных данных с использованием средств автоматизации осуществляется в рамках информационных систем персональных данных туристической компании «Латин». Состав информационных систем персональных данных туристической компании «Латин» определен Перечнем информационных систем персональных данных в туристической компании «Латин».
Машинные носители данных, предназначенные для обработки персональных данных, подлежат обязательной регистрации и учету в соответствии с порядоком учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации.
Машинные носители находятся в специальных хранилищах персональных данных, журнал учета которых приведен в приложении 2 к данному Положению.
Особенности обработки персональных данных без использования средств автоматизации
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных носителях.
Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки каждой категории персональных данных должен использоваться отдельный бумажный носитель.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна проводиться таким образом, чтобы обеспечивать раздельное хранение персональных данных разных целей обработки.
Уничтожение бумажных носителей персональных данных производится после поступления от начальников отделов, обрабатывающих персональные данные, в постоянно действующую экспертную комиссию перечня (в том числе в электронном виде) подлежащих уничтожению бумажных носителей персональных данных с указанием основания для их уничтожения.
Бумажные носители уничтожаются исполнителем в присутствии членов постоянно действующей экспертной комиссии с оформлением акта (форма акта об уничтожении бумажных носителей представлена в Приложении к настоящему Положению) по следующей процедуре:
включение каждого отобранного к уничтожению документа (дела) отдельной позицией в акт;
оформление в акте итоговой записи с указанием количества уничтожаемых документов (дел), подписание итоговой записи членами постоянно действующей экспертной комиссии, составившими акт;
письменное согласование акта с руководителями структурных подразделений туристической компании «Латин», направившими запрос на уничтожение бумажных носителей;
подписание акта членами постоянно действующей экспертной комиссии;
утверждение акта директором туристической компании «Латин».
Перед непосредственным уничтожением бумажных носителей персональных данных членами постоянно действующей экспертной комиссии должна быть осуществлена сверка носителей с описью, приведенной в акте уничтожения.
Бумажные носители персональных данных уничтожаются в присутствии членов постоянно действующей экспертной комиссии в составе не менее 3 человек, принимавших участие в сверке (проверке) документов и дел, подлежащих уничтожению. После уничтожения документов члены постоянно действующей экспертной комиссии производят запись в акте об уничтожении, заверяют ее своими подписями.
Уничтожение документов производится путем сожжения, дробления, растворения или химического разложения, превращения в бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в кусочки площадью не более 2,5 кв. мм.
Бумажные носители находятся в специальных хранилищах персональных данных, журнал учета которых приведен в приложении 2 к данному Положению.
3.4 Особенности хранения и передачи персональных данных работника
Персональные данные Работника хранятся в отделе кадров, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.
Право доступа к персональным данным Работника имеют работники, обозначенные в перечне работников, допущенных к обработке персональных данных в туристической компании «Латин» (Приложение 4)
Начальник отдела кадров вправе передавать персональные данные Работника в бухгалтерию туристической компании «Латин» в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.
Директор туристической компании «Латин» может передавать персональные данные Работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.
При передаче персональных данных Работника начальник отдела кадров и Директор туристической компании «Латин» предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.
Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных Работника, определяются должностными инструкциями.
Начальник отдела кадров обязан предоставлять персональную информацию в пенсионный фонд, фонд обязательного медицинского страхования (ФОМС), фонд социального страхования (ФСС) по форме, в порядке и объеме, установленных законодательством РФ.
Обеспечение безопасности персональных данных
При обеспечении безопасности персональных данных работники туристической компании «Латин» руководствуются настоящим Положением и Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных туристической компании «Латин».
4.ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ ПО ХРАНЕНИЮ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
4.1. Работодатель обязан за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
4.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Работодатель самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение Работодателем ответственного за организацию обработки персональных данных;
2) издание Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
6) ознакомление работников Работодателя, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
4.3. Работодатель обязан ознакомить Работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под расписку.
4.4. Работодатель обязан осуществлять передачу персональных данных Работника только в соответствии с настоящим Положением и законодательством РФ.
4.5. Работодатель обязан предоставлять персональные данные Работника только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.
4.6. Работодатель не вправе получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, Работодатель вправе получать и обрабатывать персональные данные Работника о его личной жизни, только с письменного согласия Работника.
4.7. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
4.8. Работодатель не вправе предоставлять персональные данные Работника в коммерческих целях без письменного согласия Работника.
4.9. Работодатель обязан обеспечить Работнику свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством. Учет обращения ведется в специальном журнале (Приложение 5)
4.10. Работодатель обязан по требованию Работника предоставить ему полную информацию о его персональных данных и обработке этих данных.
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБРАБАТЫВАЕМЫМ В ТУРИСТИЧЕСКОЙ КОМПАНИИ «Латин»5.1 Доступ работников к персональным данным субъектов персональных данных, обрабатываемым в туристической компании «Латин»
Работники туристической компании «Латин» получают доступ к персональным данным субъектов персональных данных исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
Список работников туристической компании «Латин», имеющих доступ к персональным данным субъектов персональных данных, утвержден Перечнем подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в туристической компании «Латин».
Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в туристической компании «Латин», разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т.п.) постоянно действующей экспертной комиссией по информационной безопасности на основании заявок начальников отделов.
Работнику туристической компании «Латин», должность которого не включена в Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в туристической компании «Латин», но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом директора туристической компании «Пегас» может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.
Работник туристической компании «Латин» получает доступ к персональным данным субъектов персональных данных после:
ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов туристической компании «Латин» по защите персональных данных в части, его касающейся;
прохождения инструктажа о соблюдении правил обработки персональных данных, обрабатываемых в туристической компании «Латин»;
ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.5.2 Доступ субъектов персональных данных к персональным данным,обрабатываемым в туристической компании «Латин»
В процессе основной деятельности туристическая компания «Латин» непрерывно взаимодействует с субъектами персональных данных в рамках исполнения договорных обязательств, требуя от субъекта поддержания своих персональных данных в актуальном состоянии.
Субъект персональных данных имеет право на получение сведений о наличии в туристической компании «Латин» его персональных данных, а также на ознакомление с такими персональными данными.
Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных.
Право на получение информации, касающейся обработки персональных данных, закрепляется за субъектом персональных данных с момента заключения договора с туристической компании «Латин» и действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации.
Перед началом обработки персональных данных туристическая компания «Латин» уведомляет субъекта (лично или посредством направления заказного письма) о целях и способах обработки, невозможности прекращения обработки (блокирования, уничтожения) персональных данных субъекта до истечения предусмотренного действующим законодательством Российской Федерации срока архивного хранения данных.
Субъект персональных данных (или его законный представитель) может ознакомиться с перечнем персональных данных, обрабатываемых в туристической компании «Латин», на официальном сайте туристической компании «Латин» или при направлении письменного запроса в адрес туристической компании «Латин».
Сведения о каждом работнике туристической компании «Латин» (Ф.И.О., должность и рабочий телефон), который имеет доступ к персональным данным субъекта, могут быть получены субъектом исключительно при направлении им письменного запроса в адрес туристической компании «Латин».
Письменный запрос субъекта должен быть удостоверен следующими документами:
общегражданским паспортом – в случае непосредственного обращения субъекта персональных данных с запросом в туристическую компанию «Латин»;
электронной цифровой подписью – в случае направления в туристическую компанию «Латин» электронного запроса;
нотариально заверенной подписью – в случае направления в туристическую компанию «Латин» почтового запроса;
документом, подтверждающим полномочия законного представителя субъекта персональных данных, – в случае направления в туристическую компанию «Латин» запроса от законного представителя субъекта персональных данных. При этом непосредственно запрос должен быть удостоверен одним из вышеприведенных способов.
При предоставлении в туристическую компанию «Латин» в рамках исполнения договорных обязательств персональных данных правопреемников субъект принимает на себя обязательства по уведомлению указанного им правопреемника о целях и способах обработки его персональных данных в туристической компании «Латин».
Правопреемники субъекта персональных данных вправе получить от туристической компании «Латин» информацию об обработке и доступ к своим персональным данным, полученным туристической компанией «Латин» от субъекта персональных данных в соответствии с федеральным законодательством, на основании подлинника или нотариально заверенной копии документа о смерти субъекта персональных данных.
Все поступившие письменные и электронные запросы субъектов персональных данных (или их законных представителей) регистрируются секретариатом с докладом директору, а затем направляются компетентному работнику для подготовки ответа субъекту не позднее одного рабочего дня с момента их поступления в туристическую компанию «Латин».
Ответ в письменной форме на запрос субъекта должен быть сформирован компетентным работником, подписан директором туристической компании «Латин» в течение шести рабочих дней с даты поступления в туристическую компанию «Латин» запроса от субъекта персональных данных и отправлен секретариатом в срок, не превышающий трех рабочих дней, в адрес субъекта через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
Доступ третьих лиц к персональным данным субъектов персональных данных, обрабатываемым в туристической компании «Латин»
Туристическая компания «Латин» в праве поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае туристическая компания «Латин» должна на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению туристической компании «Латин», соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных»
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
6.2. В случае нарушения установленного федеральным законодательством порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрены административные штрафы.

Приложенные файлы

  • docx 9392802
    Размер файла: 510 kB Загрузок: 0

Добавить комментарий