ПОЛОЖЕНИЕ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНО
Приказом Генерального директора
ООО «ВИП Компания»
Сыровой Т.Н.
№ 1/ПД от «11» января 2011 года

ПОЛОЖЕНИЕ
ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ВИП КОМПАНИЯ»

I. Общие положения
1.1. Настоящее Положение разработано в ООО «ВИП Компания» (далее – Организация) на основании ст.24 Конституции РФ, главы 14 Трудового Кодекса РФ, Закона «Об информации, информатизации и защите информации» № 149-ФЗ от 27.07.2006 г. и Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными и гарантии конфиденциальности сведений, предоставленных в организацию.
1.3. Персональные данные относятся к категории конфиденциальной информации.
1.4. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.5. Настоящее Положение утверждается приказом Генерального директора ООО «ВИП Компания» Сыровой Т.Н. № «1/ПД» от «11» января 2011г., вводится в действие с «11» января 2011 года.
1.6. Изменения в Положение могут быть внесены руководством ООО «ВИП Компания» в установленном действующим законодательством порядке.

II. Цель настоящего положения
2.1. Целью настоящего положения является обеспечение защиты и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

III. Основные понятия, используемые в настоящем Положении
В целях настоящего Положения используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор – сотрудник (главный бухгалтер, менеджер, риэлтор и т.п.) организации, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

IV. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных осуществляться в электронной форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

V. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений;
6) обработка персональных данных осуществляется в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
4. В случае если у оператора в целях реализации договора появляется необходимость передачи персональных данных в организации и/или третьим лицам. Оператор обязуется заключать с данными организациями/ третьими лицами Соглашение о конфиденциальности и неразглашении сведений. За исключением случаев, когда передача персональных данных осуществляется при наличии Согласия на обработку персональных данных от Субъекта данной организации и /или третьему лицу.

VI. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
3. Все меры конфиденциальности персональных данных распространяются как на бумажные, так и на электронные носители информации.
4. Комплекс мер по защите персональных данных субъекта персональных данных изложен в Приложении №2.

VII. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

VIII. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
3. В случаях, предусмотренных настоящим Положением, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
4. Не требуется письменное согласие на обработку персональных данных субъекта персональных данных, полученных с сайта ООО «ВИП Компания» (www.vip-company.ru) в виде «формы заявки на услугу», так как, заполняя «заявку на услугу», субъект персональных данных заранее уведомлен о том, что он дает свое согласие ООО «ВИП Компания» на обработку и использование предоставленной им информации в соответствии с Федеральным Законом «О персональных данных» (Закон №152-ФЗ «О персональных данных»).
Оператор обязан сохранять «заявку на услугу» субъекта персональных данных до момента прекращения обработки персональных данных.
При заключении договора на оказание услуг обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
5. Не требуется письменное согласие на обработку персональных данных субъекта персональных данных, полученных в виде запроса/заявки/предоставления предварительной информации по телефону. При получении запроса/заявки/ предварительной информации от субъекта персональных данных по телефону оператор обязан предупредить его о том, что его персональные данные будут занесены в «журнал заявок»/ «журнал показов»/, «журнал входящей информации» и занесены в информационную базу данных оператора. При заключении договора на оказание услуг обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
6. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
8. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

IX. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) предоставление персональных данных нарушает конституционные права и свободы других лиц.

X. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

XI. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

XII. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Положения, Федерального закона №152 от 27.07 2006г. или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

XIII. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи IX настоящего Положения.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом №152 от 27.07.2006г. права субъекта персональных данных.

XIV. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Право на получение, обработку, передачу и хранение персональных данных субъектов персональных данных имеют лица, указанные в Приложении №1 данного Положения.

XV. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей IX настоящего Положения, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи IX настоящего Положения , Федерального закона №152 от 27.07.2006г. или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Руководитель организации обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

XVI. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

XVII. Уведомление об обработке персональных данных
1. Руководитель организации до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) являющихся общедоступными персональными данными;
4) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
5) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
6) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано руководителем организации или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
5. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

XVIII. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Положения
1. Контроль и надзор за выполнением требований по защите и обработке персональных данных возлагается на лицо, утвержденное приказом руководителя организации.
2. Лица, виновные в нарушении требований настоящего Положения, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

XIX. Заключительные положения
1. Настоящий Положение вступает в силу со дня его подписания.
2. Базы персональных данных, созданные до дня вступления в силу настоящего Положения, должны быть приведены в соответствие с требованиями настоящего Положения не позднее 1 июня 2011 года.
1. Приложение №1 Список должностных лиц ООО «ВИП Компания», допущенных к получению, обработке, передаче и хранению персональных данных субъектов персональных данных» на 1-м листе.
2. Приложение №2 Комплекс мер по защите персональных данных субъекта персональных данных на 3-х листах.

Приложение №1
к «Положению по защите Персональных данных»
ООО «ВИП Компания»
от «11» января 2011 г.

Список должностных лиц
ООО «ВИП Компания», допущенных к получению, обработке, передаче и хранению персональных данных субъектов персональных данных»

№ п/п
Наименование должности
1
Генеральный директор
3
Исполнительный директор
4
Главный бухгалтер
5
Эксперт по недвижимости
6
Менеджер по персоналу
7
Менеджер по рекламе и PR
8
Ведущий администратор
9
Администратор
10
Риэлтор
11
Юрист
12
Менеджер по инвестиционным проектам
13
Бухгалтер

ПРИКАЗ № 1/ПД
ООО «ВИП Компания»
(наименование организации)

г. Самара «11» января 2011г.

«Об утверждении Положения по защите
Персональных данных»

В целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, организации единого порядка обработки персональных данных в ООО «ВИП Компания», на основании главы 14 Трудового кодекса Российской Федерации, Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1. Утвердить и ввести в действие Положение по защите персональных данных в ООО «ВИП Компания».
2. Всем сотрудникам ООО «ВИП Компания» принять к сведению и руководству в работе утвержденное настоящим приказом Положение.
3. Возложить ответственность за реализацию требований настоящего Положения, организацию обработки, распространения, использования и уничтожения персональных данных на исполнительного директора Сырова Я.Б.
4. Ответственному за реализацию требований настоящего Положения создать необходимые условия, исключающие несанкционированный доступ в помещения для работы с персональными данными.
5. Контроль за исполнением настоящего приказа возлагаю на себя.

Генеральный директор
ООО «ВИП Компания»: __________________________/Т.Н. Сырова/
(подпись)

С приказам ознакомлен (а): _____________________________________
(подпись, дата)
ПРИКАЗ № 2/ПД
ООО «ВИП Компания»
(наименование организации)

г. Самара «11» января 2011г.

«О создании комиссии по
классификации информационных
систем персональных данных»

В соответствии с Федеральным законом Российской Федерации от 27.06.2006 № 152-ФЗ
«О персональных данных» и Постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,

ПРИКАЗЫВАЮ:

1. Утвердить состав Комиссии по классификации информационных систем персональных данных Председатель комиссии: генеральный директор Сырова Т.Н.
Члены комиссии: исполнительный директор Сыров Я.Б.
главный бухгалтер Шадрина Т.Н.

2. В срок до 12.01.2011г. Комиссии провести классификацию информационных систем персональных данных с оформлением акта классификации.
3. Контроль за исполнением настоящего приказа возлагаю на себя.

Генеральный директор
ООО «ВИП Компания»: __________________________/Т.Н. Сырова/
(подпись)

С приказам ознакомлены __________________________________/Т.Н. Сырова/
(подпись)

__________________________________/Я.Б. Сыров/
(подпись)

___________________________________/Т.Н. Шадрина/
(подпись)

«Утверждаю»
Генеральный директор
ООО «ВИП Компания»
____________________________
/Сырова Т.Н./
«12» января 2011г.

Акт
классификации информационных систем персональных данных

г. Самара 12 января 2011г.

В соответствии с приказом генерального директора ООО «ВИП Компания» №2/ПД от «11» января 2011 г. комиссия в составе:
Председатель комиссии: генеральный директор Сырова Т.Н.
Члены комиссии: исполнительный директор Сыров Я.Б.
главный бухгалтер Шадрина Т.Н.
провела классификации информационных систем персональных данных ООО «ВИП Компания».

В результате работы комиссии установлено:
1. Обработка персональных данных в организации осуществляется с использованием информационных систем, позволяющих идентифицировать субъекта персональных данных.
2. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных.
3. Информационные системы находятся в местах, исключающих несанкционированный доступ к ним.
4. Информационные системы относятся к типовым информационным системам, требующих обеспечение только конфиденциальности персональных данных и представляют комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средств связи без использования технологии удаленного доступа.
5. Информационные системы не имеют подключений к сетям международного информационного обмена.
6. Все технические средства информационной системы находятся в пределах Российской Федерации.

На основании результатов анализа исходных данных предлагаем присвоить данной информационной системе «класс 3» (К3) – информационная система для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в ней, может привести к незначительным негативным последствиям для субъектов персональных данных.

Председатель комиссии: ________________________/Т.Н. Сырова/
(подпись)

Члены комиссии: ________________________/Я.Б. Сыров/
(подпись)

________________________/Т.Н. Шадрина/
(подпись)
СОГЛАСИЕ
на получение, обработку и передачу персональных данных

г. Самара «______» _______________ __________ года
Я, _____________________________________________________________________________,
(фамилия, имя, отчество полностью)
«_____» _______________ ______ года рождения, паспорт серия ___________ № __________
_______________, выдан «_____» _______________ ______ года ________________________
( когда выдан) (код подразделения, кем выдан)
___________________________________________________________________________________________________________________________, проживающий/-ая по адресу:________________________
________________________________________________________________________________
мобильный телефон: ___________________________, e-mail: ___________________________ (далее – Субъект), с целью успешной реализации (нужное заполнить): Договора № ___________ от «_____» _______________ ______ года; Соглашения устного / письменного от «_____» _______________ ______ года; Запроса устного / письменного от «_____» _______________ ______ года и предстоящей сделкой на рынке недвижимости (нужное подчеркнуть): продажей недвижимости; покупкой недвижимости; получением ипотечного кредита / кредита под залог недвижимости; оформлением документов на недвижимость; другое ____________________________________________________
________________________________________________________________________________,

ВЫРАЖАЮ СВОЕ СОГЛАСИЕ НА ВОЗРАЖАЮ ПРОТИВ

осуществление/-я любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение), использование, передачу, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства) Обществу с ограниченной ответственностью «ВИП Компания» (юр. адрес г. Самара, ул. Коммунистическая, 23/33, 1 этаж), в лице генерального директора Сыровой Татьяны Николаевны, действующей на основании Устава) (далее - Оператор).
Под моими персональными данными понимаются любые ко мне относящиеся сведения и информация на бумажных и /или электронных носителях, которые были (будут) переданы в ООО «ВИП Компания» мной лично или поступили (поступят) иным способом с целью реализации заключенного мною Договора/ Соглашения / выполнения, полученного от меня Запроса / Поручения, а именно: фамилия, имя, отчество; дата, месяц, год и место рождения; серия, номер, дата выдачи, кем выдан и код подразделения основного документа, удостоверяющего личность; адрес регистрации и фактического проживания, телефоны домашний, мобильный, рабочий; семейное положение, сведения о членах семьи, социальный статус; образование, наименование учебного заведения, присвоенная профессиональная квалификация; место работы, занимаемая должность, получаемые мною доходы; имеющиеся в наличии активы, денежные и иные обязательства; состояние здоровья; сведения о судимостях/ нахождении под следствием; сведения о сторонах сделки, дате и сумме сделки; сведения об объекте недвижимости; иные сведения, полученные в процессе оказания услуг.

Даю свое согласие использовать ООО «ВИП Компания» мои персональные данные в целях успешной реализации взятых ООО «ВИП Компания» передо мной на себя обязательств, в том числе для передачи их в кредитную организацию; экспозиции объекта; ведения переговоров с потенциальными покупателями и, в дальнейшем, сторонами сделки; для предоставления информации и консультаций третьим лицам; получения консультаций от третьих лиц, государственных, кредитных и иных организаций, согласования и получения необходимых документов, а также для составления и заключения предварительных договоров, соглашений об авансе/части оплаты / задатке, составления основного договора купли-продажи объекта и выполнения иных моих поручений.

Не допускается публичное обнародование моих персональных данных в средствах массовой информации, размещения в информационно-телекоммуникационных сетях, за исключением размещения информации об Объекте недвижимости с целью экспозиции и поиска покупателя. В случае необходимости предоставления моих персональных данных третьими лицам и/или организациям с целью реализации оказываемых мне услуг/ выполнения взятых на себя обязательств ООО «ВИП Компания» обязуется заключить с третьими лицами / организациями Соглашение о конфиденциальности и неразглашении сведений.

ДАЮ СВОЕ СОГЛАСИЕ ВОЗРАЖАЮ ПРОТИВ

использования моих персональных данных для поздравления с днем рождения, праздниками, внесения в базу данных по консультациям и клиентам ООО «ВИП Компания», информационных sms, e-mail, почтовых рассылок ООО «ВИП Компания».

Согласие дается на неопределенный срок, отзыв производится на основании письменного заявления.

Я подтверждаю, что давая это Согласие, я действую своей волей и в своих интересах.
Подтверждаю, что ознакомлен /-а с положениями ФЗ № 152 «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)

СОГЛАСИЕ
на получение и обработку персональных данных
работника ООО «ВИП Компания»

г. Самара «______» _______________ __________ года
Я, _____________________________________________________________________________,
(фамилия, имя, отчество полностью)
«_____» _______________ ______ года рождения, паспорт серия ___________ № __________
_______________, выдан «_____» _______________ ______ года ________________________
( когда выдан) (код подразделения, кем выдан)
___________________________________________________________________________________________________________________________, проживающий/-ая по адресу:________________________
________________________________________________________________________________
мобильный телефон: ___________________________, e-mail: ___________________________
(далее – Субъект), разрешаю Обществу с ограниченной ответственностью «ВИП «Компания», находящемуся по адресу: г. Самара, ул. Коммунистическая, 23/33 (далее – Оператор), в связи с приемом меня на должность _______________________________________________________, принимать, а также хранить и обрабатывать, систематизировать, уточнять (обновлять, изменять), комбинировать, блокировать, уничтожать, в течение периода действия трудового договора и 75 лет после его прекращения (для соблюдения требований архивного законодательства) следующих моих персональных данных:
Персональные
данные
Цель
Разрешаю/
не разрешаю
(необходимо своей рукой указать – либо да, либо нет)
Фамилия, имя, отчество
Публичное обращение

Указание на сайте компании, на странице, доступной только для работников

Указание во внутреннем телефонном справочнике компании

Указание на двери кабинета

Указание под фотографией на доске почета

Указание на пропуске на территорию организации

Внесение в бухгалтерские информационные системы работодателя

Дата, месяц, год рождения
Для публичного поздравления с днем рождения, с юбилеями

Внесение в бухгалтерские информационные системы работодателя

Семейное положение
Для отражения этой информации в кадровых документах

Для предоставления льгот, установленных действующими нормами законодательства, например при сокращении численности и других кадровых процедур

Для предоставления льгот и гарантий, предусмотренных коллективным договором

Ближайшие родственники
Для отражения этой информации в кадровых документах

Для возможной связи в чрезвычайных случаях

Для предоставления льгот и гарантий, согласно действующему законодательству (например, предоставление отпусков без сохранения заработной платы и других)

Для предоставления льгот и гарантий, предусмотренных коллективным договором

Наличие детей и их возраст
Для отражения этой информации в кадровых документах

Для предоставления налоговых вычетов
(при наличии детей в возрасте до ____ лет)

Для публичного вручения новогодних подарков (при наличии детей в возрасте до ____ лет)

Для предоставления льгот и гарантий, предусмотренных коллективным договором

Предыдущие места работы/службы (с указанием периодов, места работы/службы, должностей)
Для отражения этой информации в кадровых документах

Для расчета страхового стажа на оплату листов нетрудоспособности

Образование, квалификация, профессия
Для отражения этой информации в кадровых документах

Для учета преимущественного права в случаи сокращения численности

Для внесения работника в списки кадрового резерва

Для предложения работнику перевода, соответствующего его квалификации, в случаях установленных действующим трудовым законодательством

Учебные заведения, в которых работник учился, и периоды учебы
Для отражения этой информации в кадровых документах

Для внесения работника в списки кадрового резерва

Адрес места прописки
Для отражения этой информации в кадровых документах

Фактический адрес места жительства
Для отправки официальных сообщений (корреспонденции от работодателя)

Для отражения этой информации в кадровых документах

Для случаев экстренной связи с лицами, проживающими совместно с работником

Контактные телефоны
Для случаев экстренной связи с работником

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных указано в Положении по защите персональных данных, с которым я ознакомлен.

Подтверждаю, что ознакомлен /-а с положениями ФЗ № 152 «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.
«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)(
СОГЛАСИЕ
на передачу персональных данных
работника ООО «ВИП Компания»

г. Самара «______» _______________ __________ года
Я, _____________________________________________________________________________,
(фамилия, имя, отчество полностью)
«_____» _______________ ______ года рождения, паспорт серия ___________ № __________
_______________, выдан «_____» _______________ ______ года ________________________
( когда выдан) (код подразделения, кем выдан)
___________________________________________________________________________________________________________________________, проживающий/-ая по адресу:________________________
________________________________________________________________________________
мобильный телефон: ___________________________, e-mail: ___________________________
(далее – Субъект), разрешаю Обществу с ограниченной ответственностью «ВИП «Компания», находящемуся по адресу: г. Самара, ул. Коммунистическая, 23/33 (далее – Оператор), в связи с приемом меня на должность _______________________, передавать в течение периода действия трудового договора и 75 лет после его прекращения (для соблюдения требований архивного законодательства) следующих моих персональных данных:
Кому и с какой целью
Персональные
данные
Разрешаю/
не разрешаю
(необходимо своей рукой указать – либо да, либо нет
Банку (указать наименование) – для оформления безналичного счета, на который будет перечисляться заработная плата
Фамилия, имя, отчество

Дата, месяц, год рождения

Паспортные данные

Адрес прописки

Адрес фактического проживания

Страховой компании (указать наименование) – для оформления полиса добровольного медицинского страхования
Фамилия, имя, отчество

Дата, месяц, год рождения

Паспортные данные

Адрес прописки

Адрес фактического проживания

Семейное положение

Типографии (указать наименование) – для оформления визитных карточек
Фамилия, имя, отчество

Арендодателю (указать наименование) – для оформления пропуска на территорию
Фамилия, имя, отчество

Кредитным организациям, в которые работник обращался для оформления и выдачи кредитов, получения иных услуг, при условии, что работник заранее сообщил работодателю наименование указанных кредитных организаций
Фамилия, имя, отчество

Стаж работы

Уровень заработной платы

Третьим лицам для оформления визы, приглашения на въезд в иностранные государства, приобретение авиа и железнодорожных билетов, заказа гостиниц
Фамилия, имя, отчество

Паспортные данные

Дата и место рождения

Гражданство

Адрес регистрации и фактического места жительства

Соглашение о неразглашении
персональных данных субъекта
с сотрудником ООО «ВИП Компания»

г. Самара «______» _______________ __________ года

Я, _____________________________________________________________________________,
(фамилия, имя, отчество полностью)
«_____» _______________ ______ года рождения, паспорт серия ___________ № __________
_______________, выдан «_____» _______________ ______ года ________________________
( когда выдан) (код подразделения, кем выдан)
___________________________________________________________________________________________________________________________, проживающий/-ая по адресу:________________________
________________________________________________________________________________, понимаю, что получаю доступ к персональным данным работников и/или обучающихся __________
_________________________________________________________________________________.
(наименование организации)
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.
Я подтверждаю, что не имею права разглашать сведения:
анкетные и биографические данные;
сведения об образовании;
сведения о трудовом и общем стаже;
сведения о составе семьи;
паспортные данные;
сведения о воинском учете;
сведения о заработной плате сотрудника;
сведения о социальных льготах;
специальность;
занимаемая должность;
наличие судимостей;
адрес места жительства;
домашний телефон;
место работы или учебы членов семьи и родственников;
характер взаимоотношений в семье;
содержание трудового договора;
состав декларируемых сведений о наличии материальных ценностей;
содержание декларации, подаваемой в налоговую инспекцию;
подлинники и копии приказов по личному составу;
личные дела и трудовые книжки сотрудников;
основания к приказам по личному составу;
дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
копии отчетов, направляемые в органы статистики.
иные сведения
….
Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)(
Обязательство
о неразглашении информации,
содержащей персональные данные
с сотрудником ООО «ВИП Компания»

г. Самара «______» _______________ __________ года

Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)(

Соглашение о конфиденциальности
и неразглашении сведений о персональных данных Субъекта
с физическим лицом

г. Самара «______» _______________ __________ года

Я, _____________________________________________________________________________,
(фамилия, имя, отчество полностью)
«_____» _______________ ______ года рождения, паспорт серия ___________ № __________
_______________, выдан «_____» _______________ ______ года ________________________
( когда выдан) (код подразделения, кем выдан)
___________________________________________________________________________________________________________________________, проживающий/-ая по адресу:________________________
________________________________________________________________________________, понимаю, что получаю доступ к персональным данным ____________________________________
_________________________________________________________________________________,
(ФИО Субъекта)
а именно: ________________________________________________________________________
(перечень данных)
_________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_________________________________________________________________________________,
передаваемых мне ООО «ВИП Компания» (Оператор на основании Согласия на получение, обработку и передачу персональных данных от «_____» _____________ _____ года) с целью _________________________________________________________________________________
________________________________________________________________________________,
________________________________________________________________________________,
в связи с чем добровольно принимаю на себя обязательства и гарантирую:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с реализацией цели получения персональных данных.
2.Охранять переданные мне сведения, использовать данные сведения только для реализации цели, на основании которой осуществлялась передача мне персональных данных;
3. Соблюдать конфиденциальность, предоставленных мне сведений и не разглашать, в том числе охранять от разглашения, предоставленные мне сведения.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственно Оператору.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
6. В случае утраты или разглашения обязуюсь незамедлительно уведомить об этом ООО «ВИП Компания».

Я понимаю, что разглашение такого рода информации может нанести ущерб Субъекту персональных данных, как прямой, так и косвенный.

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии с действующим законодательством Российской Федерации.

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)(

Соглашение о конфиденциальности
и неразглашении сведений о персональных данных Субъекта
с юридическим лицом

г. Самара «______» _______________ __________ года

________________________________________________________________________________,
(наименование организации, ИНН, адрес)
________________________________________________________________________________
____________________________________________________________________________________
_____________________________________________________________________________________
_________________________________________________________________________________, в лице _________________________________________________________________________________, действующей/-его на основании___________________________________________________________
_________________________________________________________________________________
получает доступ к персональным данным _________________________________________________
_________________________________________________________________________________,
(ФИО Субъекта)
а именно: ________________________________________________________________________
(перечень данных)
_________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_________________________________________________________________________________,
передаваемых ООО «ВИП Компания» (Оператор на основании Согласия на получение, обработку и передачу персональных данных от «_____» _____________ _____ года) с целью _________________________________________________________________________________
________________________________________________________________________________,
________________________________________________________________________________,
в связи с чем добровольно принимает на себя обязательства и гарантирует:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая доверена (будет доверена) или станет известной в связи с связи с реализацией цели получения персональных данных
2.Охранять переданные сведения, использовать данные сведения только для реализации цели, на основании которой осуществлялась передача мне персональных данных;
3. Соблюдать конфиденциальность, предоставленных сведений и не разглашать, в том числе охранять от разглашения, предоставленные сведения.
2. В случае попытки третьих лиц получить информацию, содержащую персональные данные, сообщать непосредственно Оператору.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную информацию, содержащую персональные данные.
6. В случае утраты или разглашения незамедлительно уведомить об этом ООО «ВИП Компания».

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись) М.П.

Отзыв согласия на обработку персональных данных

Генеральному директору
ООО «ВИП Компания»
Сыровой Татьяне Николаевне
г. Самара, ул. Коммунистическая 23/33
(адрес оператора)
от __________________________________________
(Ф.И.О. субъекта персональных данных)
___________________________________________
______________________________________________
(адрес, где зарегистрирован субъект персональных данных)
__________________________________________
______________________________________________
(номер основного документа, удостоверяющего его личность)
__________________________________________
______________________________________________
(дата выдачи указанного документа)
___________________________________________
(наименование органа, выдавшего документ)
_________________________________________________________________________________________

ЗАЯВЛЕНИЕ

Прошу Вас прекратить обработку моих персональных данных в связи с _______________________
(указать причину)
_________________________________________________________________________________
_________________________________________________________________________________

«______» _________________ _______ года
________________________________________________________________/____________________
(ФИО полностью) (подпись)(

Приложение №2
к «Положению по защите Персональных данных»
ООО «ВИП Компания»
от «11» января 2011 г.

КОМПЛЕКС МЕР
ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения
Данный комплекс мер предназначен для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в ООО «ВИП Компания».
Комплекс мер по защите персональных данных субъекта персональных данных разработан на основании ст.24 Конституции РФ, главы 14 Трудового Кодекса РФ, Закона «Об информации, информатизации и защите информации» № 149-ФЗ от 27.07.2006 г. и Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г. и Постановления Правительства Российской Федерации от 17.11.2007 № 781 «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

2. Руководитель организации

Руководитель организации обязан:
2.1. Издать приказ о возложении персональной ответственности за защиту персональных данных.
2.2. Определить угрозы безопасности персональных данных при их обработке, на их основе сформировать модели угроз (несанкционированный доступ, наличие антивирусной защиты, наличие физической защиты помещения и собственно информационных систем).
2.3. Предусмотреть необходимые организационные и технические меры по защите персональных данных (в. т.ч. система разграничения доступа к информации, регистрация и учет должностных лиц, допущенных к обработке персональных данных, контроль наличия средств блокировки устройств ввода-вывода информации, соблюдение требований парольной политики).
2.3. Обеспечить порядок хранения и использования персональных данных.
2.4. Ознакомить должностных лиц организации, допущенных к обработке персональных данных субъекта персональных данных, под роспись с документами, устанавливающими порядок обработки персональных данных.
2.5. Обучить лиц, использующие средства защиты информации, применяемые в информационных системах, правилам работы с ними.
2.6. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
2.7. Осуществлять контроль за соблюдением условий использования средств защиты информации, применяемые в информационных системах.

3. Оператор
3.1. Оператор осуществляет обработку персональных данных в информационной системе персональных данных.
3.2. Оператором является каждый сотрудник организации, осуществляющий в рамках своих функциональных обязанностей действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
3.3. Оператор, участвующий в рамках своих функциональных обязанностей в процессах обработки персональных данных, несет персональную ответственность за свои действия.
3.4. Оператор в своей работе при обработке персональных данных субъекта персональных данных руководствуется настоящим Положением, ст.24 Конституции РФ, главой 14 Трудового Кодекса РФ, Законом «Об информации, информатизации и защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г. и Постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Должностные обязанности оператора
Оператор обязан:
- соблюдать установленные требования по защите персональных данных, учету, хранению и пересылке носителей, содержащих персональные данные;
- знать и выполнять требования организационно-распорядительных документов в области обеспечения безопасности персональных данных;
- соблюдать требования парольной политики;
- выполнять на рабочем месте только те процедуры, которые определены для него;
- экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты);
- немедленно докладывать непосредственному начальнику о всех фактах нарушения безопасности персональных данных.

Оператору запрещается:
- разглашать защищаемую информацию третьим лицам;
- копировать защищаемую информацию на внешние носители без разрешения своего руководителя;
- самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
- несанкционированно открывать общий доступ к папкам на своей рабочем месте;
- подключать к своему рабочему месту и корпоративной информационной сети личные внешние носители и мобильные устройства;
- отключать (блокировать) средства защиты информации;
- обрабатывать на своем рабочем месте информацию и выполнять другие работы, не предусмотренные должностной инструкцией;
- сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к персональным данным субъектов;
- привлекать посторонних лиц для производства ремонта или настройки рабочего места, без согласования с ответственным за обеспечение защиты персональных данных;
- при отсутствии визуального контроля за рабочим местом доступ к компьютеру должен быть немедленно заблокирован;
- посещение сайтов сомнительной репутации (порно-сайты, сайты содержащие нелегально распространяемое ПО и другие);
- осуществлять работу при отключенных средствах защиты (антивирус и других).

4. Организация парольной защиты
4.1. Личные пароли доступа к элементам персональных данных субъекта персональных данных выдаются пользователям лицом, установленным Генеральным директором организации.
4.2. Полная плановая смена паролей в системе персональных данных субъекта персональных данных проводится не реже одного раза в 3 месяца.
4.3. Правила формирования пароля:
Пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
Пароль должен состоять не менее чем из 8 символов;
В пароле должны присутствовать символы трех категорий из числа следующих четырех:
1) прописные буквы английского алфавита от A до Z;
2) строчные буквы английского алфавита от a до z;
3) десятичные цифры (от 0 до 9);
4)символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %);
Запрещается использовать в качестве пароля имя входа в систему, простые пароли типа «123», «111» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе;
Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);
Запрещается выбирать пароли, которые уже использовались ранее.
4.4. Правила ввода пароля:
Ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан;
Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.);
4.5. Правила хранение пароля:
Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах;
Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
4.6. Лица, использующие паролирование, обязаны:
четко знать и строго выполнять требования руководящих документов по паролированию;
своевременно сообщать непосредственному начальнику об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.

5. Заключение
5.1. Виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.