ПОЛИТИКА

об обработке и защите персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.

1.2. Цель настоящей Политики — защита персональных данных от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящей Политики являются Конституция РФ, Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных», Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.

1.4. Настоящая Политика и изменения к ней утверждаются руководителем организации. Все работники организации должны быть ознакомлены с данной Политикой и изменениями к ней.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под персональными данными понимается информация, необходимая организации для осуществления ее деятельности и касающаяся конкретного физического лица.

2.2. Состав персональных данных:

— анкета, автобиография;

— образование, специальность;

— сведения о стаже, о предыдущем месте работы;

— сведения о составе семьи;

— паспортные данные;

— сведения о воинском учете;

— занимаемая должность;

— размер заработной платы;

— наличие судимостей;

— адрес места жительства;

— домашний телефон;

— личные дела и трудовые книжки сотрудников;

— основания к приказам по личному составу;

— копии документов об образовании;

— фотографии и иные сведения, относящиеся к персональным данным;

— рекомендации, характеристики и т.п.

2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

3. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ

3.1. В целях обеспечения прав и свобод человека и гражданина организация и ее представители при обработке персональных данных обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3.1.2. При определении объема и содержания обрабатываемых персональных данных организация должна руководствоваться Конституцией РФ, Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», Трудовым кодексом РФ и иными федеральными законами.

3.1.3. Все персональные данные следует получать у физического лица лично. Если персональные данные возможно получить только у третьей стороны, то лицо должно быть уведомлено об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа лица дать письменное согласие на их получение.

3.1.4. Организация не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни.

3.1.5. Организация не имеет права получать и обрабатывать персональные данные о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.6. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена организацией за счет ее средств в порядке, установленном федеральным законом.

3.1.7. Физические лица не должны отказываться от своих прав на сохранение и защиту тайны.

4. ОБЯЗАННОСТИ ФИЗИЧЕСКИХ ЛИЦ

Физические лица:

4.1. Передавать организации или ее представителю комплекс достоверных документированных персональных данных.

4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать об изменении своих персональных данных.

5. ПРАВА ФИЗИЧЕСКИХ ЛИЦ

Физические лица имеют право:

5.1. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

5.2. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе организации исключить или исправить персональные данные лицо имеет право заявить в письменной форме организации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера лицо имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.3. Обжаловать в суд любые неправомерные действия или бездействие организации при обработке и защите его персональных данных.

5.4. Определять своих представителей для защиты своих персональных данных.

6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных — это получение, хранение, комбинирование, передача или любое другое использование персональных данных.

6.2. Все персональные данные следует получать у физического лица лично. Если персональные данные возможно получить только у третьей стороны, то лицо должно быть уведомлено об этом заранее и от него должно быть получено письменное согласие.

6.3. Организация должна сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

6.4. Физическое лицо предоставляет организации достоверные сведения о себе. Организация проверяет достоверность сведений, сверяя данные, предоставленные лицом, с имеющимися у организации документами.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче персональных данных должны соблюдаться следующие требования:

— не сообщать персональные данные третьей стороне без письменного согласия физического лица, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью физического лица, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные в коммерческих целях без письменного согласия физического лица;

— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность;

— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным имеют:

— руководитель организации;

— главный бухгалтер;

— менеджеры по туризму, по согласованию с руководителем организации;

— само физическое лицо, носитель данных.

8.2. Внешний доступ.

Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:

— налоговые инспекции;

— правоохранительные органы;

— органы статистики;

— страховые агентства;

— военкоматы;

— органы социального страхования;

— пенсионные фонды;

— подразделения муниципальных органов управления;

— посольства;

— туроператорам;

— авиакомпании и др.

8.3. Другие организации.

Сведения о физическом лице могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления физического лица.

8.4. Родственники и члены семей.

Персональные данные физического лица могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого физического лица.

9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками организации, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

9.3. Передача информации, содержащей сведения о персональных данных, по телефону, факсу, электронной почте без письменного согласия физического лица запрещается.

9.4. Все документы, содержащие персональные данные, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,

СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.