Политика ИП

11 марта 2018       275 просмотров

Приложение к Приказу

ИП Игнаткина О. А. № 1

от  «01» января 2018 г.

 

ПОЛИТИКА в отношении обработки

персональных данных в ИП Игнаткина О. А. 

 

1. Общие положения

1.1 Настоящая Политика в отношении обработки персональных данных  (далее – Политика) определяет политику ИП Игнаткина О. А.  (далее – индивидуальный предприниматель) в отношении обработки и обеспечения безопасности персональных данных.

1.2. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.

1.3. Целью настоящей политики является установление основных принципов и подходов к обработке и обеспечению защиты персональных данных индивидуального предпринимателя, являющемся оператором персональных данных.

1.4. Действие Политики распространяется на все процессы индивидуального предпринимателя, связанные с обработкой персональных данных.

1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в информационной системе персональных данных.

1.6. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций индивидуальный предприниматель включен в реестр операторов, осуществляющих обработку персональных данных.

1.7. Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным индивидуальным предпринимателем порядком: 

плановый пересмотр Политики осуществляется не реже одного раза в год;

внеплановой пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

1.8. Текущая редакция Политики размещается на сайте индивидуального предпринимателя в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.

2. Термины и определения

Информационная система персональных данных — совокупность информационных массивов персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных — любое действие  (операция) или совокупность действий  (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение   (обновление, изменение), извлечение, использование, передачу  (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и  (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия  (операции), совершаемые с персональными данными.

Ответственный за организацию обработки персональных данных — должностное лицо, которое назначается руководителем индивидуального предпринимателя, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных индивидуального предпринимателя в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу  (субъекту персональных данных).

3. Категории субъектов, персональные данные которых обрабатываются индивидуальным предпринимателем и цели обработки

3.1. Индивидуальным предпринимателем осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих кандидатам на работу и работникам индивидуального предпринимателя, клиентам — физическим лицам  (сотрудникам юридических лиц имеющих с индивидуальным предпринимателем договорные отношения)

3.2. Обработка персональных данных в информационной системе персональных данных работниками индивидуального предпринимателя осуществляется в целях осуществления обучения, тестирования знаний и иной деятельности, предусмотренной действующим законодательством Российской Федерации, а также договоров с юридическими лицами.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных индивидуальным предпринимателем осуществляется на основе принципов:

законности целей и способов обработки персональных данных; 

 добросовестности индивидуального предпринимателя, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;

соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;

точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;

уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления;

недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.2. Работники индивидуального предпринимателя, допущенные к обработке персональных данных, обязаны:

знать и неукоснительно выполнять положения:

o законодательства Российской Федерации в области персональных данных; o настоящей Политики; o локальных актов по вопросам обработки персональных данных; 

обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

не разглашать персональные данные, обрабатываемые индивидуальным предпринимателем; 

сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;

сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных индивидуального предпринимателя.

4.3. Безопасность персональных данных индивидуального предпринимателя обеспечивается выполнением согласованных мероприятий, направленных на предотвращение  (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

5. Организация обработки персональных данных

5.1. Индивидуальный предприниматель осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

5.2. Индивидуальным предпринимателем запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации в области персональных данных.

5.3. Индивидуальный предприниматель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности и неразглашения персональных данных.

5.4. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.5. Представители органов государственной власти   том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к персональным данным, обрабатываемым индивидуальным предпринимателем, в объеме и порядке, установленном законодательством Российской Федерации.

6. Права субъекта персональных данных

6.1. Субъект персональных данных, если иное не предусмотрено требованиями законодательства Российской Федерации, имеет право на получение, в том числе, следующей информации, касающейся обработки его персональных данных:

подтверждение факта обработки персональных данных индивидуальным предпринимателем;

какие персональные данные субъекта обрабатываются и источник их получения индивидуальным предпринимателем, если иной порядок представления персональных данных не предусмотрен законодательством Российской Федерации;

правовые основания и цели обработки персональных данных; 

сроки обработки индивидуальным предпринимателем персональных данных, в том числе, сроки их хранения;

иной информации в соответствии с Федеральным законом  «О персональных данных».

6.2. Субъект персональных данных имеет также иные права, установленные Федеральным законом  «О персональных данных».

7. Обязанности индивидуального предпринимателя

7.1. Обработка персональных данных индивидуальным предпринимателем осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством Российской Федерации.

7.2. В случаях, установленных законодательством Российской Федерации в области персональных данных, индивидуальный предприниматель обязан сообщить субъекту персональных данных либо его представителю, полномочия которого будут надлежащим образом оформлены, информацию, касающуюся обработки персональных данных субъекта.

7.3. Индивидуальный предприниматель несет иные обязанности, установленные Федеральным законом  «О персональных данных».

8. Меры индивидуального предпринимателя, направленные на обеспечение выполнения обязанности по защите персональных данных

8.1. Индивидуальным предпринимателем принимаются следующие меры по защите персональных данных: 

назначается Ответственный за организацию обработки персональных данных;

издаются локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных; 

применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 

проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 

осуществляется принятие мер в целях исключения фактов несанкционированного доступа к персональным данным;

проводится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе, а также проводится регистрация и учет действий, совершаемых с персональными данными в информационной системе персональных данных;

внедряются и применяются средства минимизации полномочий доступа, средства разграничения доступа  (идентификация и аутентификация субъектов доступа, ограничения количества неудачных попыток доступа) и другие меры защиты. 

работники индивидуального предпринимателя, непосредственно осуществляющие обработку и организующие защиту персональных данных, ознакамливаются с документами, определяющими политику индивидуального предпринимателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

9. Ответственность

9.1. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных индивидуального предпринимателя.

9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту обрабатываемых индивидуальным предпринимателем персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.