ПОЛИТИКА
об обработке и защите персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.
1.2. Цель настоящей Политики — защита персональных данных от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящей Политики являются Конституция РФ, Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных», Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.
1.4. Настоящая Политика и изменения к ней утверждаются руководителем организации. Все работники организации должны быть ознакомлены с данной Политикой и изменениями к ней.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под персональными данными понимается информация, необходимая организации для осуществления ее деятельности и касающаяся конкретного физического лица.
2.2. Состав персональных данных:
— анкета, автобиография;
— образование, специальность;
— сведения о стаже, о предыдущем месте работы;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— занимаемая должность;
— размер заработной платы;
— наличие судимостей;
— адрес места жительства;
— домашний телефон;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— копии документов об образовании;
— фотографии и иные сведения, относящиеся к персональным данным;
— рекомендации, характеристики и т.п.
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
3. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
3.1. В целях обеспечения прав и свобод человека и гражданина организация и ее представители при обработке персональных данных обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.1.2. При определении объема и содержания обрабатываемых персональных данных организация должна руководствоваться Конституцией РФ, Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», Трудовым кодексом РФ и иными федеральными законами.
3.1.3. Все персональные данные следует получать у физического лица лично. Если персональные данные возможно получить только у третьей стороны, то лицо должно быть уведомлено об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа лица дать письменное согласие на их получение.
3.1.4. Организация не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни.
3.1.5. Организация не имеет права получать и обрабатывать персональные данные о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена организацией за счет ее средств в порядке, установленном федеральным законом.
3.1.7. Физические лица не должны отказываться от своих прав на сохранение и защиту тайны.
4. ОБЯЗАННОСТИ ФИЗИЧЕСКИХ ЛИЦ
Физические лица:
4.1. Передавать организации или ее представителю комплекс достоверных документированных персональных данных.
4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать об изменении своих персональных данных.
5. ПРАВА ФИЗИЧЕСКИХ ЛИЦ
Физические лица имеют право:
5.1. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.
5.2. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе организации исключить или исправить персональные данные лицо имеет право заявить в письменной форме организации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера лицо имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.3. Обжаловать в суд любые неправомерные действия или бездействие организации при обработке и защите его персональных данных.
5.4. Определять своих представителей для защиты своих персональных данных.
6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных — это получение, хранение, комбинирование, передача или любое другое использование персональных данных.
6.2. Все персональные данные следует получать у физического лица лично. Если персональные данные возможно получить только у третьей стороны, то лицо должно быть уведомлено об этом заранее и от него должно быть получено письменное согласие.
6.3. Организация должна сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
6.4. Физическое лицо предоставляет организации достоверные сведения о себе. Организация проверяет достоверность сведений, сверяя данные, предоставленные лицом, с имеющимися у организации документами.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При передаче персональных данных должны соблюдаться следующие требования:
— не сообщать персональные данные третьей стороне без письменного согласия физического лица, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью физического лица, а также в случаях, установленных федеральным законом;
— не сообщать персональные данные в коммерческих целях без письменного согласия физического лица;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность;
— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным имеют:
— руководитель организации;
— главный бухгалтер;
— менеджеры по туризму, по согласованию с руководителем организации;
— само физическое лицо, носитель данных.
8.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения муниципальных органов управления;
— посольства;
— туроператорам;
— авиакомпании и др.
8.3. Другие организации.
Сведения о физическом лице могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления физического лица.
8.4. Родственники и члены семей.
Персональные данные физического лица могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого физического лица.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками организации, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений.
9.3. Передача информации, содержащей сведения о персональных данных, по телефону, факсу, электронной почте без письменного согласия физического лица запрещается.
9.4. Все документы, содержащие персональные данные, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.