Положение о защите персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение персональных данных составлено в соответствии с Конституцией РФ, Федеральным законом «Об информации, информационных технологиях и о защите информации» N 149-ФЗот 27.07.2006 года, Федеральным законом «О персональных данных» N 152 — ФЗ от 27.07.2006 (ред. От 25.07.2011), Законом РФ «О праве граждан РФ на свободу передвижения, выбор места пребывания и жительства в пределах РФ» от 25.06.1993 N 5242—1, Постановлением Правительства РФ «Об утверждении правил регистрации и снятия граждан РФ с регистрационного учета по месту пребывания и по месту жительства в пределах РФ и перечня должностных лиц, ответственных за регистрацию» от 17.07.1995 г. N 713, Приказом Федеральной Миграционной службы «Об утверждении административного регламента исполнения Федеральной миграционной службой государственной функции по организации и ведению адресно-справочной работы» от 29.10.2007 N208 и другими нормативно-правовыми актами.

1.2. Настоящее Положение о персональных данных устанавливает порядок получения, учета, обработки, накопления и хранения документов, уничтожения, содержащих сведения, отнесенные к персональным данным работников, соискателей вакансий и клиентов компании.

1.3. Целями настоящего положения являются:

- обеспечение соответствия действующему законодательству Российской Федерации действий работников оператора, направленных на обработку персональных данных работников, Клиентов, соискателей вакансий в ООО «Центр Управления Недвижимостью»;

- обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

- защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Указанные в п.5.1.1., 6.1.1., 7.1. сведения являются конфиденциальными и не подлежат разглашению иначе как по основаниям, предусмотренным законодательством РФ. Режим защиты персональных данных может быть снят по истечении срока, прописанного в Положении о персональных данных, но не больше срока не предусмотрен законодательством.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.2. Субъекты персональных данных – работники, клиенты и соискатели вакансий оператора (ООО «Центр Управления Недвижимостью», Гостиница).

2.3. Работник – физическое лицо, вступившее в трудовые отношения с работодателем.

2.4. Клиент – физическое лицо, потребитель гостиничных услуг, субъект персональных данных.

2.5. Соискатель вакантной должности – физическое лицо, не являющееся Работником оператора, давшее согласие на обработку своих персональных данных с целью содействия в трудоустройстве.

2.6. Персональные данные (ПДн)— информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Гостиницы, позволяет идентифицировать личность Субъекта персональных данных.

2.7. Гостиница — организация, предоставляющая гостиничные услуги клиенту.

2.8. Гостиничные услуги — действия Гостиницы по размещению Клиентов в объекте размещения, а также иная деятельность, связанная с размещением и проживанием, которая включает в себя основные и дополнительные услуги, предоставляемые Клиенту.

2.9. Обработка персональных данных — получение, хранение, комбинирование, передача или любое использование персональных данных субъекта персональных данных.

2.10. Защита персональных данных — деятельность гостиницы (оператора) по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.

2.11. Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.12. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.13. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.14. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.15. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.16. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.17. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Права субъектов ПДн.

3.1.1. Субъекты ПДн, имеют право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые оператором способы обработки ПДн;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные действующим законодательством Российской Федерации.

3.1.2. Субъекты ПДн, имеют право требовать от оператора уточнения своих ПДНх, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также применять предусмотренные законом меры по защите своих прав.

3.1.3. Субъекты ПДн, имеют право доступа к своим персональным данным.

Сведения, указанные в п. 3.1.1. настоящего положения, предоставляются субъекту ПДН или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

В случае, если сведения, указанные в п. 3.1.1. настоящего положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 3.1.1. настоящего положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.1.4. Субъекты ПДн, имеют право на обжалование действий или бездействий оператора в порядке, установленном действующим законодательством Российской Федерации.

3.1.5. Субъекты ПДн, имеют право определять своих представителей для защиты своих персональных данных.

3.1.6. Работник, как субъект ПДН, имеет право дополнить ПДн оценочного характера, путем направления в адрес оператора заявления, содержащим собственную очку зрения работника.

3.1.7. Работник, как субъект ПДн, имеет право требовать об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.1.8. Субъекты ПДн, имеют право отозвать свое согласие на обработку ПДнх посредством составления письменного заявления, которое будет вручено представителю оператора или направлено в адрес оператора по почте заказным письмом с уведомлением о вручении.

3.1.9. Субъекты ПДн, имеют иные права в соответствии с действующим законодательством Российской Федерации.

3.2. Обязанности субъектов ПДн.

3.2.1. Предоставлять оператору достоверную информацию.

3.2.2. В случае изменения персональных данных незамедлительно сообщить об этом оператору.

4. ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обязанности оператора ПДн

4.1.1.Предоставить субъекту ПДн по его просьбе информацию, предусмотренную п. 3.1.1. настоящего положения.

4.1.2. Разъяснить субъекту ПДн юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

4.1.3. Выполнять обязанности, предусмотренные пунктами настоящего положения.

4.1.4. Выполнять иные обязанности, установленные действующим законодательством Российской Федерации.

5. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ

5.1. Состав ПДн работников:

5.1.1. Информация, представляемая работником при поступлении на работу к оператору, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для лиц, подлежащих воинскому учету;

- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- свидетельство о присвоении ИНН (при его наличии у работника).

- иные документы, предусмотренные Трудовым кодексом Российской Федерации.

5.1.2. При оформлении работника, специалист, ответственный за кадровое делопроизводство, заполняет унифицированную форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу;

- сведения об аттестации;

- сведения о повышенной квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения об отпусках;

- сведения о социальных гарантиях;

- сведения о месте жительства и о контактных телефонах.

5.1.3. Документы, содержащие ПДн сотрудников:

- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

- комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность;

- подлинники и копии приказов (распоряжений) по кадрам;

- личные дела и трудовые книжки;

- дела, содержащие основания к приказу по личному составу;

- дела, содержащие материалы аттестаций работников;

- дела, содержащие материалы внутренних расследований;

- справочно-информационный банк данных по персоналу (картотеки, журналы);

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых генеральному директору оператора, руководителям структурных подразделений;

- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

- должностные инструкции работников;

- приказы, распоряжения, указания руководства оператора;

- документы планирования, учета, анализа и отчетности по вопросам кадровой работников оператора.

5.2.1. Оператор осуществляет смешанную обработку ПДн работников (неавтоматизированная и автоматизированная).

Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2.2. ПДн работников обрабатываются и хранятся у специалиста, ответственного за кадровое делопроизводство (управляющего).

На специалиста, ответственного за кадровое делопроизводство, возложена обязанность по ведению, хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные работников, также на управляющего возложена обязанность по хранению личных дел уволенных работников.

Сведения о начислении и выплате заработной платы работникам общества хранятся в электронных базах данных и на бумажных носителях у главного бухгалтера.

Хранение ПДн работников осуществляется в закрытых ящиках, шкафах и/или сейфах.

5.2.3. Все персональные данные работника следует получать у него самого. При получении ПДн не от работника оператор до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные федеральными законами права субъекта персональных данных;

- источник получения персональных данных.

За исключением следующих случаев:

- субъект ПДн уведомлен об осуществлении обработки его ПДн оператором;

- ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн;

- ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

- оператор осуществляет обработку ПДн для статистических и иных исследовательских целей, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

- предоставление субъекту ПДн сведений, предусмотренных в настоящем пункте, нарушает права и законные интересы третьих лиц.

5.2.3. ПДн работников могут быть получены, проходить обработку и передаваться на хранение оператору как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

5.2.4. Оператор не имеет права получать и обрабатывать ПДн работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, интимной жизни.

5.2.5. Оператор не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.2.6. Оператор вправе обрабатывать ПДн своих работников только с их письменного согласия (Приложение № 1 к настоящему положению).

5.2.7. Письменное согласие работника на обработку своих ПДн должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

- срок, в течение которого действует согласие, а также порядок его отзыва,

- подпись субъекта ПДн.

5.2.8. Согласие работника не требуется в случаях, указанных в пп. 2-11 части 1 ст.6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

5.2.9.Срок или условие прекращения обработки ПДн:

- достижение целей, установленных до начала обработки данных, если срок хранения не установлен законом. Если срок хранения установлен законом – по истечении срока хранения.

- утрата правовых оснований обработки персональных данных.

5.2.10. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

5.3. Доступ к ПДн работников оператора.

5.3.1.Право доступа к ПДн работников в объеме, необходимом для выполнения своих должностных обязанностей, имеют:

5.3.1.1. Внутренний доступ (использование информации работниками оператора):

-генеральный директор;

- главный бухгалтер;

- специалист, ответственный за кадровое делопроизводство;

- управляющий отелем;

- сам работник.

5.3.1.2. Внешний доступ (государственные структуры).

ПДн работников могут предоставляться только по запросу компетентных органов, имеющих соответствующие полномочия:

- федеральная налоговая служба;

- правоохранительные органы;

- органы статистики;

- бюро кредитных историй;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления.

5.3.2. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, электронные базы). В общедоступные источники ПДнх могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.

6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОИСКАТЕЛЕЙ ВАКАНТНЫХ ДОЛЖНОСТЕЙ

6.1. Состав персональных данных соискателей вакансий:

6.1.1. Резюме в электронном виде, содержащее ПДн:

- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке);

- сведения об аттестации;

- сведения о повышенной квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения о месте жительства и о контактных телефонах.

6.2. Организация обработки ПДн соискателей вакансий оператором.

6.2.1. Оператор осуществляет автоматизированную обработку резюме.

Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.2.2. ПДн соискателей вакансий обрабатываются и хранятся на сервере в специальной папке защищенной паролем.

6.2.3. Оператор вправе обрабатывать персональные данные соискателей вакантных должностей только с их письменного согласия (Приложение № 2 к настоящему положению).

6.2.4. Письменное согласие на обработку своих персональных данных соискателя вакантной должности оператором должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

- срок, в течение которого действует согласие, а также порядок его отзыва.

6.2.4.Срок или условие прекращения обработки ПДн:

- принятие оператором решения о приеме либо отказе в приеме на работу, но не позже 90 (девяносто) дней с момента получения резюме.

6.3. Право доступа к ПДн соискателей вакантных должностей в объеме, необходимом для выполнения своих должностных обязанностей, имеют:

- генеральный директор;

- управляющий отелем;

- специалист, ответственный за кадровое делопроизводство.

7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТОВ

7.1. Состав ПДн клиентов

К ПДН, сбор и обработку которых осуществляет оператор (Гостиница), относятся:

- анкетные данные (фамилия, имя, отчество, число, месяц, год рождения);

- паспортные данные;

- адрес регистрации;

- адрес места жительства;

- номер контактного телефона, адрес электронной почты.

Все ПДн работники оператора получают непосредственно от субъекта персональных данных (Клиента) или через системы электронного бронирования.

7.2. Обработка и хранение ПДн

7.2.1. Обработка ПДн оператором (Гостиницей) в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа ПДн.

7.2.2. Согласие на обработку ПДн не требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных — Клиент. (ч. 2 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ, п. 2).

7.3. Обработка ПДн Клиентов ведется методом смешанной обработки.

7.4. К обработке ПДн Клиентов могут иметь доступ только работники оператора (Гостиницы), допущенные к работе с ПДн Клиента и подписавшие Приказ о неразглашении ПДн Клиента.

7.5. Перечень работников оператора (Гостиницы), имеющих доступ к ПДн Клиентов, определяется Приказом генерального директора оператора.

7.6. ПДн Клиентов на бумажных носителях хранятся в сейфе администратора Службы размещения.

7.7. ПДн Клиентов в электронном виде хранятся в локально компьютерной сети оператора (Гостиницы) в электронной папке администраторов оператора (Гостиницы), допущенных к обработке ПДн Клиентов.

7.8. Защита доступа к электронным базам данных, содержащим ПДн Клиентов, обеспечиваются:

- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным клиентов;

- системой паролей. Пароли устанавливаются и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

7.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются на все носители информации как на бумажные, так и на автоматизированные.

7.10. Режим конфиденциальности ПДн снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

7.11. Срок или условие прекращения обработки ПДн:

- не более 10 (десяти) лет с момента получения персональных данных.

8. ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

8.1. Использование ПДн Клиентов осуществляется оператором (Гостиницей), исключительно для достижения целей, определенных договором между Клиентом и оператором (Гостиницей), в частности, для предоставления услуг по проживанию или временному размещению, а также дополнительных услуг.

8.2. При передаче ПДн Клиентов оператор (Гостиница) должен соблюдать следующие требования:

8.2.1. Предупредить работников, получающих ПДн Клиентов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Работники, получающие ПДн Клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания ПДн и в отношении общедоступных данных.

8.2.2. Разрешать доступ к ПДн Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Пдн, которые необходимы для выполнения конкретных функций.

8.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.

8.4. Гостиница вправе предоставлять или передавать Пдн Клиентов третьим лицам в следующих случаях:

- если раскрытие этой информации требуется для соблюдения ФЗ 109: Федеральный закон №109 «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации» или выполнения судебного акта;

- для оказания содействия в проведении расследований, осуществляемых правоохранительными или иными государственными органами;

- для защиты законных прав Клиента и оператор (Гостиницы).

9. СБОР, ОБРАБОТКА И ЗАЩИТА ПДн, ПОЛУЧЕННЫХ ЧЕРЕЗ САЙТ ОПЕРАТОРА

9.1. Порядок сбора и обработки ПДн субъектов - Пользователей сайтов (далее – Пользователь) на сайтах оператора www.avatarhotelpskov.ru и camelothotel.ru (далее – Cайт).

9.1.1. Все персональные данные Пользователя Сайта следует получать согласно п.3.1.1 настоящего Положения. ПДн субъектов должны быть получены у самих субъектов после принятия ими Согласия на обработку ПДн. Форма (Образец) Согласия на обработку ПДн «Соискателя» (Приложением № 2) или Формы (Согласия) на обработку ПДн «Клиента» (Приложением № 3)

9.1.2. Пользователь, регистрируясь на Сайте, обязуется принять Согласие на обработку его персональных данных (далее – Согласие). Оферта настоящего Согласия размещена на Сайте. Пользователь не может зарегистрироваться на Сайте, не согласившись с условиями оферты. Принятием (акцептом) оферты настоящего Согласия является регистрация Пользователя на Сайте.

- Контактные телефоны

- Адреса электронной почты

- Цель обработки персональных данных

- Перечень действий, на совершение которых дается Согласие

- Общее описание используемых способов обработки персональных данных

- Срок, в течение которого действует согласие

- Порядок отзыва Согласия на обработку персональных данных

9.1.3. Особый порядок сбора и обработки персональных данных Пользователей, поступающих на любой электронный адрес оператора.

9.1.4. Пользователи самостоятельно принимают решение о предоставлении своих ПДн и предоставляют согласие на обработку таких ПДн свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано путем совершения определенных действий, а именно: направления ПДн на любой электронный адрес Организации (в том числе указанный на одном из сайтов).

9.1.5. В связи с вышеуказанным, оператор обязан разместить для вышеназванных субъектов Уведомление об обработке ПДн по форме Приложения № 4 к настоящему Положению об обработке ПДн, поступающих на любой электронный адрес Организации, на официальном сайте Организации, а также направлять Уведомление об обработке ПДн по форме Приложения № 4 к настоящему Положению об обработке персональных данных в ответ на письмо каждого субъекта, содержащее ПДн в случае поступления таких писем на любой электронный адрес оператора.

10. ПЕРЕДАЧА ПДн СУБЪЕКТОВ ПДн

10.1. При передаче ПДн субъектов сотрудники оператора, имеющие доступ к персональным данным, должны соблюдать следующие требования:

10.1.1. Не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных федеральными законами Российской Федерации.

10.1.2. Не сообщать персональные данные субъекта ПДн в коммерческих целях без его письменного согласия.

10.1.3. Предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

10.1.4. Разрешать доступ к ПДн субъектов ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн субъектов персональных данных, которые необходимы для выполнения конкретных функций.

10.1.5. В процессе автоматизированной обработки ПДн передаются по внутренней сети юридического лица и доступны строго определенным работникам оператора.

10.1.6. Все сведения о передаче ПДн субъекта третьим лицам должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в Приложении № 5 к настоящему Положению.

10.1.10. В целях соблюдения законодательства Российской Федерации для достижения целей обработки ПДн, а также в интересах субъектов ПДн и в случаях, предусмотренных действующим законодательством Российской Федерации, оператор в ходе своей деятельности предоставляет ПДн следующим органам: Федеральной налоговой службе Российской Федерации, Пенсионному фонду Российской Федерации, Фонду социального страхования Российской Федерации, Федеральной службе государственной статистики Российской Федерации, Фонду обязательного медицинского страхования Российской Федерации, Управление по вопросам миграции УМВД России по Псковской области и т.д.

10.1.11. Оператор не поручает обработку ПДН другим лицам на основании договора.

11.1. Защита ПДн у оператора представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа;

- реализацию права на доступ к информации.

11.2. В целях обеспечения безопасности ПДн при их обработке оператором:

- приказом оператора устанавливается перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

- обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;

- помещения, в которых ведется работа с ПДн, должны обеспечивать сохранность носителей ПДн и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;

- доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах ПДН — с использованием средств автоматизации в соответствии с нормативными документами;

- носители информации, содержащие ПДн, учитывают в журнале учета электронных и материальных носителей персональных данных, в том числе биометрических ПДн (Приложение № 6 к настоящему положению).

11.3. Мероприятия по обеспечению безопасности ПДн проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.

11.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.

11.5. Защита ПДн:

11.5.1. Под угрозой или опасностью утраты Пдн понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

12.1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

12.1.3. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

11.5.4. Защита ПДн представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ПДн и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности оператора.

11.5.5. Защита ПДн от неправомерного их использования или утраты должна быть обеспечена оператором за счет собственных средств в порядке, установленном федеральным законом.

11.6. Обеспечение безопасности ПДн в информационных системах ПДн без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

11.7. Обеспечение безопасности биометрических ПДн все информационных систем осуществляется в соответствии с Требованиями к материальным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем персональных данных, утвержденными Постановлением Правительства Российской Федерации от 06.07.2008 № 312.

11.8. Сотрудники оператора, имеющие доступ к ПДн, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.

11.9. Сотрудники оператор, имеющие доступ к ПДн, подписывают Обязательство о неразглашении персональных данных иных лиц, ставших им известными в процессе выполнения своей трудовой функции (Приложение №7 к настоящему положению).

11.10.1.«Внутренняя защита».

11.10.1.1. Основным виновником несанкционированного доступа к ПДн является, как правило, работник, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты Пдн в оператором.

11.10.1.2. Для обеспечения внутренней защиты ПДн необходимо соблюдать ряд мер:

​ ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

​ строгое избирательное и обоснованное распределение документов и информации между работниками;

​ рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

​ знание работниками оператора требований нормативно – методических документов по защите ПДн и сохранению Коммерческой тайны (Положение о Коммерческой тайне ООО«Центр Управления Недвижимостью»);

​ наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

​ организация порядка уничтожения информации, содержащей ПДн;

​ своевременное выявление нарушения требований разрешительной системы доступа работниками оператора;

​ воспитательная и разъяснительная работа с работниками Организации по предупреждению утраты ценных сведений при работе с конфиденциальными документами, содержащими персональные данные;

​ не допускается выдача личных дел работников оператора на рабочие места. Личные дела могут выдаваться на рабочие места только Генеральному директору оператора, главному бухгалтеру.

11.11. Контроль за выполнением требований к защите ПДн при их обработке, установленных действующим законодательством Российской Федерации, осуществляется оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

11.12. Оператор назначает лицо, ответственное за организацию обработки ПДн, которое обязано осуществлять внутренний контроль соответствия обработки ПДн действующему законодательству Российской Федерации и настоящему положению.

11.13. В случае обнаружения несанкционированного доступа к ПДн оператор принимает меры, предусмотренные действующим законодательством Российской Федерации.

11.14. Защита ПДн на электронных носителях.

11.14.1. Базы данных, содержащие ПДн, должны быть защищены паролем и иными средствами защиты, предусмотренными законодательством Российской Федерации.

11.14.2. Вход работника в базу данных оператора под индивидуальным логином и паролем для целей настоящего Положения признается предоставлением ПДн.

11.14.3. Вход в базу данных работником может быть доступен только после предварительного ввода индивидуального логина и пароля. При этом пароль для авторизации должен отвечать следующим требованиям:

- Пароль должен иметь длину не менее 8 знаков;

- На время отсутствия работника на своем рабочем месте компьютер должен блокироваться нажатием клавиш.

11.15. «Внешняя защита».

11.15.1. Для внешней защиты ПДн создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

11.15..2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности оператора.

11.15.3. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Организации. Работники Общества несут ответственность за допуск в офис посторонних лиц, проведения этими лицами осмотров, фото - и видео - съемок объектов, находящихся в офисе, за допуск этих лиц к персональным компьютерам и сетевым программам.

11.15.4. Для обеспечения внешней защиты ПДн необходимо соблюдать ряд мер:

​ ограниченный доступ в помещения, где хранятся ПДн субъектов, а так же серверам оператора;

​ технические средства охраны, сигнализации;

​ порядок осуществления охраны помещений Организации, где хранятся ПДн;

​ требования к защите информации при интервьюировании и собеседованиях.

11.15.5. По возможности персональные данные обезличиваются.

11.15.6. В случае необходимости предоставления ПДн любым третьим лицам, такое предоставление ПДн осуществляется исключительно на основании соответствующих соглашений о защите и конфиденциальности персональных данных, которые должны обеспечивать уровень защиты персональных данных не ниже уровня защиты, предусмотренного настоящим Положением и действующим законодательством Российской Федерации.

11.15.7. Все меры конфиденциальности при сборе, обработке и хранении Пдн распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

11.15.8. Оператор в праве применять методы технической защиты и иные методы, предусмотренные для защиты Коммерческой тайны Организации (оператора), не противоречащие законодательству Российской Федерации.

11.16. Уточнение, блокирование и уничтожение персональных данных

11.16.1. Блокирование информации, содержащие персональные данные, производится в случае:

- если ПДн являются неполными, устаревшими, недостоверными;

- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

11.16.3. В случае выявления неправомерных действий с ПДн оператор обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий 3 (трех) рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные.

11.16.4. Об устранении допущенных нарушений или об уничтожении ПДн организация обязана уведомить субъекта ПДн, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

11.16.5. Оператор обязан уничтожить персональные данные в случае:

​ достижения цели обработки ПДн;

​ отзыва субъектом ПДн согласия на обработку своих ПДн.

11.16.6. Уничтожение персональных данных должно быть осуществлено в течение 30 (тридцати) рабочих дней с даты наступления указанных в п. 11.16.5.Положения случаев. Соглашением между Оператором и субъектом персональных данных могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных.

12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Работники Оператора несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

12.2. Работник оператора может быть привлечен к ответственности в случаях:

- умышленного или неосторожного раскрытия ПДн;

- утраты материальных носителей ПДн;

- нарушения требований настоящего Положения и других нормативных документов Компании в части вопросов доступа и работы с ПДн.

12.3.В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения оператору, ее работникам, клиентам и соискателям вакантных должностей материального или иного ущерба виновные лица несут несут дисциплинарную, гражданско - правовую, административную (ст. ст. 5.39, 13.11, 12.4 Кодекса об административных правонарушениях Российской Федерации) или уголовную ответственность (ст. ст. 137,272, 274 Уголовного кодекса Российской Федерации) в соответствии с действующим российским законодательством Российской Федерации.