Обработка Персональных данных

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ БАРАНОВСКАЯ НАТАЛЬЯ БОРИСОВНА

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий документ определяет политику (далее - Политика) Индивидуальный предприниматель Барановская Наталья Борисовна  (далее -  Индивидуальный предприниматель) в отношении обработки персональных данных.
Настоящая Политика разработана и утверждена в соответствии с требованиями Конституции Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским Кодексом Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», и действует в отношении всех персональных данных, обрабатываемых в Управлении.
Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также исполнение Индивидуальный предпринимателем возложенных на него функций и полномочий.
Настоящая Политика определяет цели, принципы, порядок и условия обработки персональных данных работников и иных лиц, чьи персональные данные обрабатываются Индивидуальный предприниматель, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
Политика является общедоступным документом, декларирующим концептуальные основы деятельности Индивидуального предпринимателя при обработке персональных данных.
1.6. Правовой основой настоящей Политики в области обработки персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 12.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения», Закон РФ от 07.02.1992 № 2300-1 "О защите прав потребителей", Положение о Межрегиональном управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Республике Крым и городу федерального значения Севастополю, утвержденное приказом Роспотребнадзора от 11.04.2014 № 267, а также иные нормативно-правовые акты Правительства РФ, ФСБ России, ФСТЭК России, Роскомнадзора, Роспотребнадзора, локальные акты Общества.
1.7. Во исполнение настоящей Политики в Обществе разрабатываются и утверждаются локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

2. ОСНОВНЫЕ КАТЕГОРИИ, ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Индивидуальный предприниматель осуществляет обработку персональных данных в целях обеспечения реализации предусмотренных федеральными законами полномочий, отнесенных к компетенции Индивидуального предпринимателя, предметом деятельности Индивидуального предпринимателя, определенного Индивидуальным предпринимателем:

  • предоставления услуг гостиниц с ресторанами и прочих персональных услуг;
  • организация системы кадрового учета, формирование резерва кадров; учет результатов исполнения работниками должностных обязанностей;
  • осуществление функции учета и отчетности по расходам, связанным с оплатой труда;
  • обеспечение воинского учета.

2.2. Содержание и объем обрабатываемых категорий персональных данных субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. Индивидуальный предприниматель не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями. Обрабатываемые Индивидуальным предпринимателем персональные данные содержатся как в подлинниках, так и копиях документов.
2.3. Индивидуальный предприниматель в своей деятельности обеспечивает соблюдение принципов и условий обработки персональных данных, указанных в статьях 5 и 6 Федерального закона 152-ФЗ «О персональных данных». Обработка персональных данных Индивидуального предпринимателя осуществляется на основе принципов:

  • законности и справедливости целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Индивидуального предпринимателя;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  • уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

2.4.Индивидуальный предприниматель осуществляет обработку персональных данных только при условиях, определенных действующим законодательством Российской Федерации в области персональных данных.
2.5.Индивидуальный предприниматель не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
2.6. У Индивидуального предпринимателя могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

3. ПОРЯДОК, УСЛОВИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Индивидуальный предприниматель обрабатывает персональные данные своих работников, а также иных лиц, давших согласие на обработку персональных данных, а также для осуществления и исполнения полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации, а также в иных целях в соответствии с требованиями Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных».
3.2 Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.
3.3. У Индивидуального предпринимателя обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по защите информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система защиты информации Индивидуального предпринимателя непрерывно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности.
3.4. У Индивидуального предпринимателя в предусмотренных нормативными актами и локальными актами случаях проводится аттестация информационных систем на соответствие требованиям по безопасности информации.
3.5. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом РФ № 152-ФЗ от 27.07.2006 г. «О персональных данных», Федеральным законом 125 -ФЗ от 22.10.2004 г. «Об архивном деле», Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями действующего законодательства РФ), нормативными актами и локальными актами  Обществе.
3.6. Индивидуальный предприниматель прекращает обработку персональных данных в следующих случаях:

  • при достижении цели обработки персональных данных;
  • при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
  • при выявлении неправомерной обработки персональных данных, осуществляемой Индивидуальным предпринимателем;
  • при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

3.7. Уничтожение Индивидуальным предпринимателем персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Индивидуальный предприниматель обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • работников Индивидуального предпринимателя (далее - работники);
  • лиц, претендующих на замещение вакантных должностей у Индивидуального предпринимателя при прохождении процедуры согласования назначения на должность в установленном порядке;
  • лиц, претендующих на включение в кадровый резерв;
  • исполнителей по гражданско-правовым договорам;
  • физических лиц, обратившихся у Индивидуального предпринимателя;
  • физических лиц, чьи данные стали известны в результате исполнения Индивидуальным предпринимателем возложенных на него функций и полномочий.
  • близких родственников работников Индивидуального предпринимателя, обработка персональных данных которых предусмотрена федеральными законами, а также выполняется Индивидуальным предпринимателем как работодателем в соответствии с требованиями органов государственного статистического учета (далее – Родственники работников);
  • клиентов Индивидуального предпринимателя (далее – Клиенты):
    • физического лица - заказчика туристского продукта (субъекта персональных данных), заключившего с Индивидуальным предпринимателем или иным юридическим лицом, договор на реализацию туристского продукта;
    • физического лица - туриста (субъекта персональных данных), от имени которого заказчик туристского продукта заключил с Индивидуальным предпринимателем договор на реализацию туристского продукта;
  • выгодоприобретателей – лиц, не являющихся непосредственно участниками операции, к выгоде которых действует клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом (далее – Выгодоприобретатели);
  • физических лиц, чьи персональные данные обрабатываются Индивидуальным предпринимателем на основании сведений, предоставленных клиентами Индивидуального предпринимателя в их собственных интересах и любые другие физические лица, которые оставляют свои персональные данные Индивидуальному предпринимателю;
  • лиц, действующих в интересах клиента на основании Гражданского кодекса; представителей контрагентов Индивидуального предпринимателя, с которыми у Индивидуального предпринимателя существуют договорные отношения или с которыми Индивидуальный предприниматель намерено вступить в договорные отношения (далее – Представители контрагентов);
  • представителей субъектов персональных данных, не являющихся работниками Индивидуального предпринимателя, обращающихся у Индивидуального предпринимателя по поручению и от имени субъектов персональных данных (далее – Представители субъектов).

4.2. Индивидуальный предприниматель является лицом, организующим обработку персональных данных Работников по поручению других операторов, к которым относятся: органы власти и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (налоговые инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда России, Федерального фонда обязательного медицинского страхования, Фонда социального страхования и др.); военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных действующим законодательством Российской Федерации, и объеме, определенном этим законодательством. Указанным выше операторам персональные данные предоставляются (передаются) в объеме, определенном федеральными законами, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов (Работников Общества) на такую передачу персональных данных не требуется.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Индивидуальный предприниматель не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
5.2. Индивидуальный предприниматель передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации,
5.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в судебные органы, в органы государственной безопасности, прокуратуры, полиции, следственные органы - в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Индивидуальный предприниматель при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Во исполнение норм действующего законодательства, а также в соответствии с настоящей Политикой Индивидуальный предприниматель Барановская Наталья Борисовна принимаются следующие меры:

  • назначаются ответственные за организацию обработки и безопасность персональных данных, администратор информационной безопасности;
  • разрабатываются и внедряются локальные акты, определяющие правила обработки персональных данных, а также процедуры, направленные на выявление и предотвращение нарушения таких правил;
  • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона РФ №152-ФЗ от 27.07.2006 г. «О персональных данных»;
  • осуществляется внутренний контроль соответствия обработки персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;
  • с работниками Индивидуального предпринимателя Барановской Натальи Борисовны, непосредственно осуществляющими обработку персональных данных, связанными с вопросами защиты информации, проводится обучение правилам обработки и защиты персональных данных (в том числе мероприятия по ознакомлению с положениями законодательства Российской Федерации в области персональных данных, с требованиями к защите персональных данных, документами, определяющими политику Индивидуального предпринимателя Барановская Наталья Борисовна в отношении обработки персональных данных, локальными актами Индивидуального предпринимателя Барановская Наталья Борисовна по вопросам обработки персональных данных);
  • осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона РФ №152-ФЗ от 27.07.2006 г. «О персональных данных».

6.3. В целях обеспечения безопасности персональных данных проводятся следующие мероприятия (в рамках бюджетного финансирования):

  • определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
  • определяются уровни защищенности персональных данных; применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
  • проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
  • осуществляется учет машинных носителей персональных данных; принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • осуществляется постоянный контроль принимаемых мер по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

6.4. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются локальными актами Индивидуального предпринимателя Барановская Наталья Борисовна по вопросам обработки и обеспечения безопасности персональных данных.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным Законом № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:
7.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Требовать перечень своих персональных данных, обрабатываемых Индивидуальным предпринимателем Барановская Наталья Борисовна и источник их получения.
7.3. Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.
7.4. Требовать извещения Индивидуальным предпринимателем Барановская Наталья Борисовна всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
7.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
7.7. Отозвать свое согласие на обработку своих персональных данных.

8. ОБЯЗАННОСТИ УПРАВЛЕНИЯ И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Индивидуальный предприниматель Барановская Наталья Борисовна обязано осуществить самостоятельно или обеспечить (если обработка персональных данных осуществляется другим лицом) конфиденциальность, блокирование, уточнение, прекращение обработки, уничтожение персональных данных субъекта персональных данных в соответствии с требованиями статьи 21 Федерального закона № 152- ФЗ «О персональных данных».
8.2. Персональные данные, обрабатываемые Индивидуальным предпринимателем Барановская Наталья Борисовна , относятся к информации конфиденциального характера.
8.3. Работники Индивидуального предпринимателя Барановская Наталья Борисовна , доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных и информируются о том, что в соответствии со ст.24 ФЗ-152 «О персональных данных» лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
8.4. Работники Индивидуального предпринимателя Барановская Наталья Борисовна подписывают обязательство о неразглашении персональных данных.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Индивидуального предпринимателя Барановская Наталья Борисовна.
9.2. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
9.3. Контроль исполнения требований настоящей Политики осуществляется Индивидуальным предпринимателем Барановская Наталья Борисовна.
9.4. Ответственность должностных лиц Индивидуальным предпринимателем Барановская Наталья Борисовна, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами  Индивидуальным предпринимателем Барановская Наталья Борисовна .