заказать

ПОЛОЖЕНИЕ о защите и хранении персональных данных физических лиц, не являющихся работниками, в ИП Кочев Д.М.

1.      Основные понятия

  1. Для целей настоящего Положения используются следующие основные понятия:

персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику;

информация – сведения (сообщения, данные) независимо от формы их представления;

документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

угроза – угроза безопасности персональных данных, актуальных для информационной системы.

угроза 3-го типа – угроза, актуальная для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

требования – «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119

физическое лицо – физическое лицо, не являющееся работником ИП Кочев Д.М.

  • Общие положения
    • Настоящим Положением определяется порядок хранения, защиты и уничтожения персональных данных, предоставленных субъектами персональных данных Компании.
    • Компания обрабатывает персональные данные физических лиц, в связи с чем информационная система, используемая в Компании, является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
  • Защита персональных данных
    • Защита персональных данных от неправомерного их использования, утраты обеспечивается Компанией за счет ее средств в порядке, установленном федеральным законом.
    • Компания, являясь оператором персональных данных, руководствуясь п. 6 Требований, определила уровень угрозы, как угрозу 3-го типа.
    • В соответствии с п. 11 Требований персональные данные, переданные Компании, подлежат 3-му уровню защищенности.
    • В целях обеспечения защиты персональных данных Компания принимает следующие меры:
      • назначено должностное лицо, ответственное за обеспечение безопасности персональных данных, а также определен круг лиц, имеющих доступ к персональным данным и информационной системе.
      • организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующих возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

Помещения, в которых размещена информационная система, запираются на ключ. Доступ к ключу предоставлен исключительно уполномоченным на доступ к персональным данным лицам.

Вход в информационную систему осуществляется непосредственно через индивидуальные логины и пароли уполномоченных на доступ к персональным данным лиц.

  • обеспечена сохранность носителей персональных данных.

Малогабаритные носители персональных данных (бумажные носители, флеш-накопители, CD-диски и иные) хранятся в сейфе, расположенном в помещении, где размещена информационная система. Действует ограниченный режим доступа в помещение, где хранятся носители персональных данных: доступ разрешен только тем лицам, которые утверждены приказом руководителя Компании.

  • руководителем Компании утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе и без использования технических средств, необходим для выполнения ими служебных (трудовых) обязанностей.
    • для защиты информации используется программное обеспечение, прошедшее процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
    • Технические и организационные меры, которые Компания принимает для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, изложены в отдельном локальном нормативном акте Компании.
  • Условия и сроки обработки, сроки хранения и уничтожения персональных данных в зависимости от цели обработки персональных данных
  • Обработка персональных данных в целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
  • В целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов), обработке подлежат следующие персональные данные:
  • общие сведения (фамилия, имя, отчество, дата рождения);
  • адрес электронной почты;
  • номер телефона;
    • Субъектами персональных данных, чьи персональные данные запрашиваются в целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов), являются физические лица.
    • Обработка персональных данных в Компании осуществляется смешанным способом, то есть с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).
    • Срок обработки персональных данных субъектов персональных данных, чьи персональные данные запрашиваются в целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов), начинает течь с момента предоставления субъектом персональных данных согласие на обработку персональных данных или без такового согласия в случаях, установленных законом, и прекращается в случае достижения цели обработки персональных данных или утраты правовых оснований на обработку персональных данных.
    •  Персональные данные субъектов персональных данных, чьи персональные данные запрашиваются в целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов), хранятся:
  • в пределах срока, установленном согласием на обработку персональных данных;
    • По истечению срока хранения персональные данные субъектов персональных данных, чьи персональные данные запрашиваются в целях обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов), подлежат уничтожению либо обезличиванию.

Документы, содержащие персональные данные работника Компании и подлежащие уничтожению:

  • на бумажном носителе – измельчаются в шредере/сжигаются;
  • в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
  • Обработка персональных данных в целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера;
  • В целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера, обработке подлежат следующие персональные данные:
  • общие сведения (фамилия, имя, отчество, дата рождения);
  • адрес электронной почты;
  • номер телефона;
    • Субъектами персональных данных, чьи персональные данные запрашиваются в целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера, являются физические лица.
    • Обработка персональных данных в Компании осуществляется смешанным способом, то есть с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).
    • Срок обработки персональных данных субъектов персональных данных, чьи персональные данные запрашиваются в целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера, начинает течь с момента предоставления субъектом персональных данных согласие на обработку персональных данных или без такового согласия в случаях, установленных законом, и прекращается в случае достижения цели обработки персональных данных или утраты правовых оснований на обработку персональных данных.
    •  Персональные данные субъектов персональных данных, чьи персональные данные запрашиваются в целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера, хранятся:
  • в пределах срока, установленном согласием на обработку персональных данных;
    • По истечению срока хранения персональные данные субъектов персональных данных, чьи персональные данные запрашиваются в целях предоставления субъектам персональных данных информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера, подлежат уничтожению либо обезличиванию.

Документы, содержащие персональные данные и подлежащие уничтожению:

  • на бумажном носителе – измельчаются в шредере/сжигаются;
  • в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

Обработка персональных данных в целях заключения с субъекта