Защита персональных данных:


ПОЛОЖЕНИЕ

о защите персональных данных владельцев электронной карты «ВПРОК»


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано в связи с реализацией Командой «ВПРОК» (далее – «Организатор») проекта «Электронная карта «ВПРОК», на основании требований ст. 24 Конституции РФ,  Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информатизации и защите информации» и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».  
1.2. Целью Положения является защита персональных данных владельцев электронной карты «ВПРОК» (далее – «держатель карты»), от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Положение определяет порядок работы (получение, обработка, использование, хранение и т.д.) с персональными данными держателей карты и гарантии конфиденциальности сведений, предоставленных держателем карты Организатору .
1.4. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.5. Положение утверждается и вводится в действие Организатором и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным держателей карты.
1.6. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о держателях карты, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.



2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Персональные данные держателя карты – информация, необходимая Организатору в связи с реализацией проекта «Электронная карта «ВПРОК» и касающаяся конкретного физического лица. Под информацией о держателях карты понимаются сведения о фактах, событиях и обстоятельствах жизни держателя карты, позволяющие идентифицировать его личность.
2.2. В состав персональных данных входят:
– фамилия, имя  и отчество;

– анкетные и биографические данные;
– паспортные данные;
– адрес места жительства;
– номер домашнего и мобильного телефонов;
– адрес личной электронной почты.
2.3. К документам, содержащим персональные данные держателя карты, создаваемым в процессе реализацией проекта «Электронная карта «ВПРОК», относятся:
– анкета на получение электронной карты «ВПРОК»;

– электронная база данных владельцев карты «ВПРОК»;
– карта «ВПРОК».


3. ОБЯЗАННОСТИ ОРГАНИЗАТОРА

3.1. В целях обеспечения прав и свобод человека и гражданина Организатор и его сотрудники при обработке персональных данных держателя карты обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных держателя карты может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия держателю карты  в получении им бесплатной юридической консультации, приобретении товаров, работ и услуг со скидкой в организациях – участниках дисконтной программы.
3.1.2. При определении объема и содержания обрабатываемых персональных держателя карты Организатор должно руководствоваться Конституцией РФ и иными федеральными законами.
3.1.3. Организатор обязан получить согласие держателя карты на хранение,  обработку и передачу персональных данных в связи с  реализацией проекта «Электронная карта «ВПРОК» посредством заполнения пункта анкеты на получение карты.
3.1.4. Все персональные данные держателя карты следует получать у него самого. Организатор  должен сообщить держателю карты о целях, характере подлежащих получению персональных данных и последствиях отказа держателя карты дать письменное согласие на их получение.
3.1.5. Защита персональных данных держателя карты от неправомерного их использования или утраты должна быть обеспечена Организатором за счет его средств и в порядке, установленном федеральным законом.



4. ПРАВА И ОБЯЗАННОСТИ ДЕРЖАТЕЛЯ КАРТЫ В ОБЛАСТИ ЗАЩИТЫ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. В целях защиты персональных данных, хранящихся у Организатора, держатель карты имеет право:
– получать полную информацию о своих персональных данных и обработке этих данных;
– требовать исключения или исправления неверных или неполных персональных данных;
– требовать извещения Организатором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях и дополнениях;
– обжаловать в суде любые неправомерные действия или бездействия Организатора при обработке и защите его персональных данных;
– на сохранение и защиту своей личной и семейной тайны.
4.2. Держатель карты для сохранения полной и точной информации о нем обязан:
– передавать Организатору  комплекс достоверных, документированных персональных данных, состав которых предусмотрен Положением ;
– своевременно сообщать Организатору об изменении своих персональных данных.
4.3. В целях защиты частной жизни, личной и семейной тайны держатель карты не должен отказываться от своего права на обработку персональных данных только с его согласия, поскольку это может повлечь причинение морального и материального вреда.



5. ПОЛУЧЕНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

5.1. Получение, обработка, хранение и любое другое использование персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия держателю карты в получении им бесплатной юридической консультации, приобретении товаров, работ и услуг со скидкой в Организациях – участниках дисконтной программы.

5.2. Персональные данные держателя карты следует получать у него самого. Сотрудник Организатора (специально уполномоченное лицо, ответственное за работу с соответствующими документами) принимает от держателя карты документы, проверяет полноту их заполнения и правильность указываемых сведений.

Организатор  должен сообщить держателю карты о целях, характере подлежащих получению персональных данных и последствиях отказа держателя карты дать письменное согласие на их получение.

5.3. Все меры конфиденциальности при сборе, обработке и хранении персональных данных держателя карты распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.4. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.
5.5. Анкеты держателей карты хранятся в бумажном виде в папках в специальном несгораемом шкафу, обеспечивающем защиту от несанкционированного доступа.
5.6. Персональные данные держателей карты также хранятся в форме электронной базы данных, доступ к которой, обеспечивается паролем, известном специальному уполномоченному лицу Организатора.



6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Внутренний доступ.
6.1.1. Право доступа к персональным данным держателей карты имеют:
– генеральный и исполнительный директор Организатора;
– специальное уполномоченное лицо Организатора;
– держатель карты, носитель информации.
6.1.2. Право получения документов, содержащих персональные данные держателя карты, имеют генеральный и исполнительный директор Организатора. По их распоряжению, специально уполномоченное лицо, ответственное за работу с соответствующими документами, обязано лично передать истребуемые документы генеральному или исполнительному директору.
6.1.3. Держатель карты имеет право ознакомиться с документами, содержащими его персональные данные, в присутствии специального уполномоченного лица, ответственного за работу с соответствующими документами.

6.2. Внешний доступ. 

6.2.1. К лицам, которым могут быть переданы персональные данные вне организации, при условии соблюдения требований законодательства, относятся организации – участниках дисконтной программы.
6.2.2. Персональные данные держателя карты могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого держателя карты.



7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче персональных данных держателя карты Организатор обязан:
– не сообщать персональные данные держателя карты третьей стороне без его письменного согласия;
– предупредить лиц, получающих персональные данные держателя карты, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные держателя карты, обязаны соблюдать режим секретности (конфиденциальности);
– разрешать доступ к персональным данным работника только специально уполномоченному лицу, при этом указанное лицо должны иметь право получать только те персональные данные держателя карты, которые необходимы для выполнения конкретных функций.
7.2. Копирование и выписка персональных данных держателя карты разрешаются исключительно в целях реализации проекта «Электронная карта «ВПРОК»  по письменному запросу и с разрешения Организатора.
7.3. Передача персональных данных от держателя внешнему по­требителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.4. Сотрудникам Организатора, имеющим доступ к персональным данным держателей карты, запрещается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.



8. ПОРЯДОК ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
8.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
8.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, цело­стности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.
8.4. Защита персональных данных держателей карты от неправомерного их использования или утраты должна быть обеспечена Организатором за счет его средств и в порядке, установленном федеральным законом.
8.5. Внутренняя защита.
8.5.1. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
– ограничение и регламентация состава сотрудников Организатора, функциональные обязанности которых требуют конфиденциальных знаний;
– строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
– знание сотрудниками требований нормативно-методических документов по защите информации и сохранению тайны;
– организация процесса уничтожения информации.
8.5.2. Выдача документов на бумажном носителе, содержащих персональные данные работника, на рабочие места руководителей структурных подразделений запрещена.
8.5.3. Все файлы, содержащие персональные данные держателей карты в электронном виде, должны быть защищены паролем, который сообщается специально уполномоченному лицу, ответственному за работу с соответствующими документами.
8.6. Внешняя защита.
8.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладеть персональными данными держателя карты. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания документа и др.
8.6.2. Распределение функций, рабочие процессы, технология составления, оформления, ведения и хранения документов, содержащих персональные данные держателя карты, у Организатора является закрытой от посторонних лиц информацией.
8.6.3. Под посторонним лицом понимается любое лицо, не являющееся работником Организатора и не задействованное в реализации проекта «Электронная карта «ВПРОК»  .
8.7. Все лица, в должностные обязанности которых входит получение, обработка и защита персональных держателей карты, при приеме на работу обязаны подписать обязательство о неразглашении персональных данных держателей карты.

 


9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

9.1. Персональная ответственность – одно из главных требований к организации функцио­нирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

9.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.3. Генеральный директор Организатора, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет личную ответственность за сохранность носителя и конфиденциальность информации.
9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных держателя карты, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.5.1. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера генеральный директор Организатора вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
9.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ.
9.5.3. Нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влечет привлечение виновного к ответственности в соответствии с Уголовным кодексом РФ. .
9.6. Защита прав держателя карты, установленных настоящим Положением и законодательством Российской Федерации, осуществляется судом в целях пресечения неправомерного использования персональных данных работника, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.