Положение об обработке персональных данных пользователей интернет ресурса www.tourvisor.ru (ИП Юртаев И.А.)

1. Общие положения.
1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере обработки персональных данных.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников ИП Юртаева Ильи Анатольевича (далее Оператор) с персональными данными пользователей интернет ресурса www.tourvisor.ru (далее Клиентов) и гарантии конфиденциальности сведений о Клиенте, предоставленных Клиентом организации; права Клиента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных Клиента.
1.3. Оператор вправе осуществлять полномочия по обработке персональных данных Клиентов других организаций по договору аутсорсинга, которая в дальнейшем также именуется Оператором. В указанном случае, Оператор и организация, с которой заключен такой договор, солидарно отвечают перед Клиентом, права которого нарушены, за причиненный таким нарушением материальный ущерб и моральный вред. Клиент вправе по своему усмотрению предъявить соответствующие требования к любой из указанных организаций. Принципы распределения последствий такого возмещения Клиенту между организациями, устанавливаются в соответствующем договоре аутсорсинга.

2. Понятие и состав персональных данных Клиента
2.1. Персональные данные Клиента — любая информация, относящаяся прямо или косвенно к клиенту (субъекту персональных данных).
2.2. К персональным данным Клиента относятся следующие сведения:
• фамилия, имя, отчество;
• пол;
• дата рождения;
• место рождения;
• гражданство;
• образование, специальность;
• место работы;
• состояние в браке;
• состав семьи;
• место регистрации;
• адрес места жительства и домашний телефон;
• виды и объём оказанных Клиенту услуг
• иные сведения о Клиенте, необходимые для выполнения договора и позволяющие идентифицировать его личность.

3. Сбор, цели обработки и защита персональных данных Клиента
3.1. Обработка персональных данных Клиента осуществляется:
3.1.1. После заключения с Клиентом договора об оказании услуг, в котором определены доверие и обязанность по обработке персональных данных. В соответствии с п 2) части 2 статьи 6 ФЗ «О персональных данных» в целях исполнения договора, одной из сторон которого является субъект персональных данных, т.е. Клиент, и получения его согласия на обработку персональных данных не требуется;
3.1.2. После направления уведомления об обработке персональных данных в орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
3.1.3. После принятия Оператором необходимых мер по защите персональных данных.
3.2. Все персональные данные Клиента следует получать лично у Клиента или у его законного представителя. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. Оператор сообщает Клиенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных.
3.4. При обращении за получением услуг Клиент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:
• паспорт или иной документ, удостоверяющий личность;
• иные документы, в зависимости от того, какую услугу получает Клиент.
При отсутствии документов Клиент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.
3.5. Оператор с согласия Клиента может запрашивать и получать персональные данные Клиента, используя информационные системы персональных данных с применением средств автоматизации.
3.6. Обработка Оператором персональных данных Клиента осуществляется исключительно в целях оказания Клиенту предусмотренных договором качественных услуг в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов.
3.7. Оператор при определении объема и содержания обрабатываемых персональных данных Клиента руководствуется Конституцией Российской Федерации, иными нормативными правовыми актами в сфере обработки персональных данных и защиты информации.
3.8. Защита персональных данных Клиента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4. Порядок использования, хранения, передачи персональных данных Клиента
4.1. Персональные данные Клиентов у Оператора содержатся в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях.
4.2. Доступ к обработке персональных данных Клиентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.
4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с документами, содержащими персональные данные Клиентов, возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.
4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с документацией, содержащими персональные данные Клиентов, осуществляется в специально отведённых для этого помещениях.
4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.
4.6. Перечень лиц, имеющих право доступа к персональным данным Клиентов и обработке их персональных данных, определяется приказом руководителя Оператора.
4.7. С лицами, допущенными к обработке персональных данных Клиентов, заключается Соглашение о неразглашении, или вносятся соответствующие изменения в трудовой договор с ним.
4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные Клиентов, которые необходимы для выполнения договора.
4.9. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.
4.10. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.
4.11. Оператор по достижении целей обработки персональных данных Клиента обязан прекратить обработку этих персональных данных и обеспечить их уничтожение в установленном порядке.

5. Права Клиентов при обработке Оператором их персональных данных
5.1. В целях обеспечения защиты своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством Клиенты, их законные представители, а также представители имеют право на:
• предоставление Оператором полной информации об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Клиентов
6.1 Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
6.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным обучающихся, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.

7. Заключительные положения
Настоящая редакция Положения вступает в законную силу с 27.02.2015 года и действует до утверждения нового положения.

Политика в отношении персональных данных

ПОЛОЖЕНИЕ
по организации и порядку проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Городской центр начисления коммунальных платежей»

1. Термины и определения

персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

угроза или опасность утраты персональных данных – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

2. Общие положения

2.1. Настоящее положение разработано на основе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781.

2.2. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия. Для защиты ПДн создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн, определяемого с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.

2.3. Для обеспечения безопасности ПДн при их обработке в ИСПДн осуществляется защита информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

2.4. Для защиты персональных данных необходимо соблюдать ряд мер:

— ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют работы с персональными данными;

— строгое избирательное и обоснованное распределение документов и информации между работниками;

— рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;

— знание сотрудниками предприятия требований нормативно-методических документов по защите информации;

— наличие необходимых условий в помещениях для работы с конфиденциальными документами и базами данных;

— определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещения, в которых функционируют ИСПДн;

— организация порядка уничтожения информации;

— своевременное выявление нарушений требований разрешительной системы доступа к ПДн;

— обучение сотрудников, воспитательная и разъяснительная работа по вопросам информационной безопасности;

— определение и регламентация состава сотрудников, имеющих право доступа к информационным ресурсам ИСПДн.

3. Основные мероприятия по организации обеспечения безопасности персональных данных

3.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

3.2. Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними, возлагаются на ООО «Городской центр начисления коммунальных платежей» как оператора, осуществляющего обработку персональных данных.

3.3. Ответственным за обеспечение безопасности ПДн при их обработке в ИСПДн ООО «Городской центр начисления коммунальных платежей» назначен заместителя директора по общим вопросам. Функции по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн возложены на заместителя директора по общим вопросам.

3.4. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

3.5. Обработка персональных данных должна осуществляться на основе принципов:

— законности целей и способов обработки персональных данных и добросовестности;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.6. Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных (СЗПДн). Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации, а также используемые в информационной системе информационные технологии.

3.7. Сотрудники предприятия, ответственные за хранение персональных данных, а также сотрудники предприятия, владеющие персональными данными в силу своих должностных обязанностей, подписывают Обязательство о конфиденциальности (Приложение 1).

3.8. Помещения, в которых хранятся и обрабатываются персональные данные, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений, в рабочее время данные помещения при отсутствии в них работников должны быть закрыты, проведение уборки помещений должно производиться в присутствии работников подразделений, ответственных за данные помещения.

4. Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн

4.1. При обработке персональных данных предприятие, выполняя функции оператора ПДн, обязано соблюдать следующие требования:

— обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

— обработка персональных данных сотрудников предприятия осуществляется в целях содействия сотруднику в обучении и должностном росте, обеспечения личной безопасности сотрудника и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества предприятия, учета результатов исполнения им должностных обязанностей;

— персональные данные следует получать лично у субъекта ПДн. В случае возникновения необходимости получения персональных данных субъекта у третьей стороны следует известить об этом объект ПДн заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных;

— запрещается получать, обрабатывать и вносить в ИСПДн не установленные Федеральными законами «О персональных данных» персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

— при принятии решений, затрагивающих интересы субъекта ПДн, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

— защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств оператора в порядке, установленном Федеральными законом «О персональных данных», Трудовым кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации;

— передача персональных данных субъекта ПДн третьей стороне не допускается без письменного согласия субъекта, за исключением случаев, установленных федеральными законами Российской Федерации;

— обеспечивается конфиденциальность персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

— в случае выявления недостоверных персональных данных или неправомерных действий с ними сотрудников ООО «Городской центр начисления коммунальных платежей», осуществляющих обработку ПДн, при обращении или по запросу субъекта персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, ООО «Городской центр начисления коммунальных платежей», как оператор ПДн, обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки;

— в случае подтверждения факта недостоверности персональных данных субъекта персональных данных сотрудники ООО «Городской центр начисления коммунальных платежей», осуществляющие обработку ПДн, на основании документов, представленных субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязаны уточнить персональные данные и снять их блокирование;

— в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, допущенные нарушения должны быть устранены. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, персональные данные должны быть уничтожены. Об устранении допущенных нарушений или об уничтожении персональных данных ООО «Городской центр начисления коммунальных платежей» как оператор ПДн, обязан уведомить субъекта ПДн, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;

— хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5. Порядок предоставления информации, содержащей персональные данные

5.1. Предоставление и пользование информацией, содержащей персональные данные субъекта, осуществляется на основании письменного разрешения директора. Передача и предоставление ПДн законным пользователям должна осуществляться способом, не допускающим возможность несанкционированного доступа к ним посторонних лиц.

Передача информации, содержащей персональные данные субъекта ПДн, другим учреждениям и организациям, осуществляется только при наличии правомерных письменных запросов и с письменного разрешения директора в размере, который позволяет не разглашать излишний объем персональных сведений.

При передаче персональных данных субъекта ПДн оператор должен соблюдать следующие требования:

— не сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья субъекта ПДн, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов ПДн в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья субъекта ПДн, являющегося сотрудником ООО «Городской центр начисления коммунальных платежей», за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;

— передавать персональные данные субъекта ПДн представителю этого субъекта в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

При обращении с запросом о персональных данных сотрудника ООО «Городской центр начисления коммунальных платежей» к работодателю лица, не уполномоченного федеральным законом на получении персональных данных, либо при отсутствии письменного согласия сотрудника на предоставление его персональных данных работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

6. Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы к ПДн

6.1. Запросы пользователей информационных систем ПДн предприятия на получение персональных данных, включая лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.

6.2. Содержание электронного журнала обращений периодически, но не реже одного раза в месяц, проверяется администратором информационной безопасности.

7. Требования к помещениям, в которых располагаются ИСПДн

7.1. ПДн, обрабатываемые в ИСПДн, являются информационными данными, защищаемыми в соответствии с требованиями, установленными законодательством Российской Федерации.

7.2. В соответствии с требованиями ИБ, архивы ПДн и ИСПДн (как на электронных, бумажных, так и на иных носителях), оборудование, доступ к которому должен быть ограничен в силу его важности для технологического цикла предприятия (помещения серверных, АТС, АРМов АИБ и т.п.), а также обработка ПДн в ИСПДн должны производиться в помещениях, относящихся к категории «помещения ограниченного доступа».

7.3. Обработка ПДн в ИСПДн также должна производиться в помещениях ограниченного доступа.

7.4. Помещения ограниченного доступа должны располагаться в контролируемой зоне.

7.5. Пребывание посторонних лиц в помещениях разрешено только в сопровождении сотрудников, работающих в указанных помещениях, и только с разрешения руководства вышеупомянутых сотрудников.

7.6. Допуск в помещения ограниченного доступа вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т.д.) производится только в случае служебной необходимости.

7.7. В случае, когда помещения ограниченного доступа располагаются на первых и последних этажах здания, их окна должны быть оснащены сигнализацией.

7.8. Двери помещений ограниченного доступа не должны отличаться от дверей других помещений и не должны иметь обозначающих и предупреждающих надписей и табличек.

7.9. Внутренняя планировка и расположение рабочих мест в помещениях ограниченного доступа должны обеспечивать исполнителям работ недоступность и сохранность доверенных им ПДн.

7.10. На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений ограниченного доступа, очередность и порядок спасения документов, материалов и изделий, содержащих ПДн, а также порядок дальнейшего их хранения.

7.11. Помещения ограниченного доступа, предназначенные для размещения архивов, предназначенные для размещения АРМ выработки ключей шифрования и ЭЦП, предназначенные для размещения оборудования, доступ к которому должен быть ограничен, должны отвечать следующим требованиям:

— помещение должно располагаться в контролируемой зоне;

— двери помещения должны иметь надежные запоры, приспособления для опечатывания, либо должны быть оснащены контроллерами, включенными в систему контроля ограничения доступа;

— желательно наличие видеокамеры включенной в систему видеозаписи, контролирующей вход в помещение;

— должны быть задействованы все меры, исключающие неконтролируемое пребывание в помещении любых лиц, включая сотрудников сокращённое наименование, не допущенных к работе с ПДн;

— помещение должно быть оборудовано датчиками пожарной и охранной сигнализации, желательно имеющими отдельные (не связанные с другими помещениями) шлейфы сигнализации, включенные в пульты охранно-пожарной сигнализации;

— помещение должно быть оборудовано средствами пожаротушения, желательно наличие автономной автоматической системы пожаротушения;

— помещение должно быть оборудовано необходимым количеством стеллажей и/или шкафов для хранения архивных носителей;

— микроклимат (температурно-влажностный режим) помещения должен отвечать требованиям по сохранности архивных носителей, а условия хранения должны исключать возможность их повреждения (коробления, пересыхания, изгиба и вредного воздействия пыли, магнитных и электрических полей или ультрафиолета);

— от двери помещения должны быть резервные ключи;

— помещение, предназначенное для хранения резервных копий, не должно совмещаться с помещением, в котором размещается оборудование, создающее и (или) использующее указанные резервные копии.

— размещение в помещении оборудования и вспомогательных технических средств должно отвечать санитарно-гигиеническим нормам, а также требованиям техники безопасности и пожарной безопасности.

7.12. Работник, осуществляющий хранение архивов и/или резервных копий ИСПДн, должен иметь печать для опечатывания дверей и сейфа или металлического хранилища.

7.13. Выполнение требований по обеспечению ИБ на рабочих местах осуществляется работниками, работающими в помещениях ограниченного доступа.

7.14. Ответственность за невыполнение требований по ИБ для помещений ограниченного доступа несут руководители структурных подразделений, работники которых работают в этих помещениях.

8. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных сотрудника

8.1. Лица, виновные в нарушении требований, регулирующих получение, обработку и хранении персональных данных сотрудника несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

8.2. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы:

— руководитель, разрешающий доступ сотрудника к персональным данным несет персональную ответственность за данное разрешение;

— каждый сотрудник несет единоличную ответственность за сохранность носителей персональных данных и соблюдение конфиденциальности информации;

— сотрудник ООО «Городской центр начисления коммунальных платежей», предоставивший работодателю подложные документы или заведомо ложные сведения о себе, либо своевременно не сообщивший об изменениях персональных данных, несет дисциплинарную ответственность, вплоть до увольнения.

8.3. Лица, виновные в нарушении условий использования средств защиты информации или нарушении режима защиты персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.

Организация рабочих мест при обработке персональных данных работников

«Кадровик. Кадровое делопроизводство», 2011, N 9

ОРГАНИЗАЦИЯ РАБОЧИХ МЕСТ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

Деятельность отдела кадров неразрывно связана с обработкой персональных данных, в т. ч. отражающих деловые, профессиональные и личные качества сотрудников, т. е. функционирование кадрового подразделения должно подчиняться задачам обеспечения безопасности персональной информации в соответствии с требованиями законодательства. Правильная организация рабочего места сотрудника, ведущего обработку персональных данных, оказывает существенное влияние на систему защиты персональных данных работников. Именно этому вопросу посвящена данная статья.

Сущность персональных данных

В настоящее время в сфере обеспечения безопасности большое внимание уделяется информационной безопасности, т. к. наше современное общество всецело зависит от получаемых, обрабатываемых, передаваемых и хранимых данных. Таким образом, данные сами по себе приобретают высокую ценность.

Законодательными актами России и зарубежных стран предусматривается большое количество норм, направленных на регулирование создания, использования, передачи, обработки, хранения информации.

Меры обеспечения сохранности информации на каждом отдельном предприятии могут быть различны по масштабам и формам и зависеть от производственных, финансовых и иных возможностей предприятия, от количества и качества охраняемых сведений. При этом выбор таких мер необходимо осуществлять, исходя из принципов разумности и достаточности, придерживаясь «золотой середины», т. к. чрезмерное закрытие информации, так же как и небрежное отношение к ее сохранению, могут вызвать серьезные потери и убытки.

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Статья 2 Конституции РФ закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно, и информация, непосредственно затрагивающая частные интересы человека, должна уважаться и защищаться государством.

В повседневной жизни человека сохранность информации о его личной жизни зависит от него самого, но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу — работодателю, в этом случае именно он отвечает за сохранность такой информации и обязан оберегать сведения о работнике от посягательства третьих лиц и нести ответственность за распространение таких данных.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 04.06.2011) характеризует любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т. ч. его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию, как персональные данные и регулирует отношения, связанные с обработкой таких данных.

В общем виде персональные данные работников обладают следующей структурой:

— анкетные и биографические данные;

— сведения о трудовом и общем стаже;

— содержание трудового договора;

— сведения о заработной плате сотрудника;

— сведения о составе семьи;

— сведения о воинском учете;

— сведения о социальных льготах;

— адрес места жительства;

— место работы или учебы членов семьи и родственников;

— характер взаимоотношений в семье;

— состав декларируемых сведений о наличии материальных ценностей;

— содержание декларации, подаваемой в налоговую инспекцию;

— личные дела и трудовые книжки сотрудников;

— подлинники и копии приказов по личному составу;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.

Персональные данные относятся к конфиденциальной информации, т. е. информации строго ограниченного и регламентированного доступа. Эта информация составляет служебную или профессиональную тайну.

Требования к защите персональных данных

В организациях существует определенная совокупность правил работы с информацией персонального характера, образующейся в процессе выполнения работниками своих трудовых функций. Такие правила определяют основные полномочия отдела кадров или менеджера по персоналу, связанные со сбором, документированием, накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений обо всех категориях сотрудников. В рамках работы с кадровыми документами и оперативного хранения документов, содержащих персональные данные работников, существуют определенные требования, обязательное исполнение которых позволяет максимально защитить интересы работников в вопросе обеспечения безопасности их персональных данных.

В соответствии с п. 5 ст. 88 ТК РФ работодатель обязан соблюдать требование, согласно которому доступ к персональным данным работников может быть разрешен только специально уполномоченным лицам. При этом должно выполняться условие: указанные лица могут иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций. Поэтому в организации в обязательном порядке необходимо утвердить схему доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела кадров, также должна быть введена личная ответственность должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Словарь кадрового делопроизводства. Разрешительная система доступа — совокупность правовых норм и требований, устанавливаемых руководителем организации или коллективным органом управления с целью обеспечения правомерного ознакомления и использования сотрудниками сведений, персональных данных работников, необходимых им для выполнения служебных обязанностей.

Для того чтобы реализовать данное положение, руководитель предприятия должен издать приказ или распоряжение о закреплении за работниками отдела кадров или иного кадрового подразделения определенных массивов документов, необходимых им для выполнения своих функций, указанных в должностных инструкциях. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. В целях разграничения доступа к персональным данным целесообразно закрепить за разными сотрудниками отдела кадров:

— документальное оформление трудовых правоотношений;

— ведение личных дел и трудовых книжек;

— составление и хранение приказов по личному составу и договорной документации;

— ведение информационно-справочного банка данных [1].

Распределение сфер деятельности зависит от объема работы и штатной численности работников отдела, однако разграничение обязанностей и документных массивов должно быть осуществлено в обязательном порядке, т. к. это позволяет организовать и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей работников внутри отдела (в случае болезни, увольнения и т. п.) должно быть издано соответствующее распоряжение начальника отдела кадров с отражением характера и срока подобного изменения, уточнением системы доступа к документам, делам и базам данных, содержащим персональные данные. При этом очень важно, чтобы в этом распоряжении фиксировалось изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность соответствующей документации.

Защита персональных данных работников осуществляется как организационными, так и правовыми способами. Организационный аспект защиты персональных данных основывается на принципе правильной организации движения информации, учитывающей методы ее обработки, организационно-управленческие концепции ее формирования и потребления. Персональные данные работников должны быть выделены из всей остальной информации, и для них необходимо установить особые правила обращения.

Создание системы защиты персональных данных работников предусматривает выявление возможных вариантов утечки/утраты информации, оценку возможностей перекрытия таких утечек/утрат, установление ограничений на доступ к персональным данным, инструктирование персонала, использование криптографических, а также программно-технических средств защиты персональных данных работников и т. п.

Правовые способы защиты информации предусматривают прежде всего создание юридической базы такой защиты в рамках государственного органы, должны быть разработаны инструкции, определяющие порядок обращения с персональными данными работников, установлены меры ответственности для лиц, виновных в разглашении такой информации.

Однако не всегда наличие подзаконного или локального нормативного акта о защите персональных данных позволяет снизить риски неправомерного обращения с информацией персонального характера. Является абсолютно очевидным тот факт, что персональные данные работника, которые в той или иной степени характеризуют его деловые, морально-этические, психологические качества, не всегда зафиксированы в документации.

В целях защиты информации персонального характера особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной организации кадровой работы на локальном уровне, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Применение простейших методов защиты персональных данных, как и любой конфиденциальной информации, как правило, дает значительный эффект.

Работодатель обязан осознавать, что деятельность отдела кадров неразрывно связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников, соответственно, функционирование кадрового подразделения должно быть подчинено решению задач обеспечения безопасности персональных сведений в соответствии с требованиями законодательства, поэтому важным положением в организации работы с персональными данными работников должна занимать правильная организация рабочих мест персонала, обрабатывающего персональные данные сотрудников.

Организация рабочих мест

сотрудников при работе с персональными данными

Рациональная и эффективная организация рабочих мест сотрудников отдела кадров, обрабатывающих персональные данные работников предприятия, включает в себя ряд требований. Сертификация ФСТЭК России необходима для проведения успешных аттестаций информационных систем, особенно в случае применения ими систем обработки персональных данных. Пакет документов включает специальный знак соответствия ФСТЭК с уникальным номером, идентифицирующим данный экземпляр в системе государственного учета сертифицированных продуктов. В комплект поставки входит специальная документация для настройки и контроля сертифицированных параметров данного программного обеспечения.

Словарь кадрового делопроизводства. Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции. Каждый экземпляр сертифицированного продукта обладает пакетом документов государственного образца, подтверждающим факт сертификации.

1. Планировка служебных помещений в соответствии с технологией выполняемой в них работы, обеспечивающая наиболее эффективное использование рабочих площадей. Для отдела кадров должны быть выделены три смежных помещения: комната для работников отдела кадров, кабинет начальника отдела кадров, помещение, в котором размещаются шкафы, сейфы для документов, дел, картотек. Для ожидающих приема посетителей необходимо иметь дополнительное помещение за пределами основных помещений отдела кадров. Служебные помещения, отведенные для выполнения операций по подготовке и обработке документированной информации, должны планироваться с целью обеспечения их достаточным естественным и (или) искусственным освещением. За работником отдела кадров закрепляется постоянное рабочее место.

Рабочее место сотрудника, работающего с персональными данными работников, должно быть размещено таким образом, чтобы была исключена возможность обозрения находящихся на столе документов посторонними лицами. Помещение для размещения шкафов, сейфов может не иметь окон.

2. Размещение мебели и специального оборудования с учетом обязанностей работников и состава выполняемых ими операций должно осуществляться вдоль стен. В связи с личной ответственностью сотрудника отдела кадров за вверенные ему документы, содержащие персональные данные работников, рабочее место должно быть оснащено личным сейфом для хранения только тех документов, с которыми разрешено работать сотруднику в соответствии с разрешительной системой. Для переноса документов, содержащих персональные данные работников, необходим специальный кейс.

3. Площадь для размещения одного автоматизированного рабочего места должна быть не менее 6 кв. м. При размещении автоматизированных рабочих мест расстояние между рабочими столами от плоскости задней части одного монитора до плоскости экрана другого монитора должно составлять не менее 2,0 м, а между смежными боковыми поверхностями соседних мониторов — не менее 1,2 м. Экран персонального компьютера не должен быть виден коллегам, посетителям, от входной двери и в окно. Компьютеры, на которых обрабатываются персональные данные работников, должны быть отключены от сети Интернет и не иметь портов для копирования информации с компьютера.

4. В качестве средств защиты информационной системы персональных данных работников от несанкционированного доступа используется программное обеспечение со встроенными механизмами защиты, сертифицированное в соответствии с требованиями Федеральной службы по техническому и экспортному контролю России. Компьютеры могут объединяться в отдельную локальную сеть, обрабатывающую персональные данные работников. Доступ к электронным документам, информационным массивам персональных данных работников регламентируется разрешительной системой доступа. При необходимости использования Интернета на рабочих местах обязательным условием является обеспечение вычислительной системы межсетевым экраном с использованием сертифицированного программного обеспечения.

5. Рабочие места, предназначенные для выполнения работы, требующей высокой концентрации внимания или значительного умственного напряжения, целесообразно ограничить перегородками высотой 1,5 — 2,0 м.

6. С целью создания и поддержания необходимого комфорта, способствующего эффективному труду, рабочие места оборудуются однотумбовыми столами, обеспечивающими удобное размещение вычислительной и оргтехники, а также основных предметов труда, постоянно используемой в работе литературы, карточек и лотков. В ящиках тумбы стола хранятся документы, используемые в работе в течение дня, а также вспомогательные предметы труда (канцелярские принадлежности). Хранение специальной и справочной литературы должно осуществляться в шкафах. На соответствующих полках в строго определенном порядке должны располагаться:

— инструкции и нормативно-методические документы по кадрам;

— справочники по законодательству, по административно-территориальному делению;

— орфографические и терминологические словари;

— картотеки-указатели к сборникам нормативно-правовых актов и организационно-распорядительных документов отдела кадров;

— списки работников предприятия с указанием структурных подразделений, номеров телефонов.

7. Своевременное получение работниками информации, необходимой для выполнения порученных операций, в течение всего рабочего времени обеспечивается:

— наличием достаточного свободного пространства между рабочими местами, не затрудняющего подход к ним и проход между ними;

— размещением на столах минимально необходимого для выполнения повседневной работы количества документов (материалов), на рабочем столе должен находиться только тот документ и материалы к нему, с которыми в настоящее время работает сотрудник. Другие документы должны быть размещены в закрытом сейфе;

— оборудованием рабочих мест средствами внутренней телефонной связи;

— соблюдением в служебных помещениях порядка и тишины;

— в связи с конфиденциальностью персональных данных работников необходим запрет на фотографирование, видеосъемку, несанкционированное копирование в помещениях отдела кадров.

8. Создание и поддержание на рабочих местах и в служебных помещениях оптимального микроклимата.

9. Защита работников от воздействия вредных факторов производственной среды. Шумящее оборудование, уровни шума которого превышают нормативные, должно размещаться в специально отведенных для этого помещениях.

10. Регулярное проведение в служебных помещениях и на рабочих местах комплекса работ по техническому обслуживанию и профилактике, а также необходимых санитарно-гигиенических мероприятий. Уборка помещений допускается только в присутствии сотрудников отдела кадров. Мусор уничтожается. Все помещения оборудуются средствами пожаротушения и охранной сигнализацией.

11. Постановку на охрану и снятие с охраны помещений отдела кадров осуществляет начальник отдела или его заместитель.

Итак, система защиты персональных данных работников организации реализуется в комплексе многочисленных мероприятий, среди которых важное положение занимает организация рабочих мест по обработке персональных данных работников. Правильная организация рабочих мест по обработке персональных данных работников является обязательным условием эффективности функционирования всей системы защиты персональных данных работников.

1. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации: Учеб. пособие. М.: ИНФРА-М, 2001.

2. Маркевич А. С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях / Дис. на соиск. уч. ст. канд. юр. наук. Воронеж, 2006.

3. Пшенко А. В. Делопроизводство в кадровой службе: Учеб. пособие / Под общей редакцией А. Ф. Коротаева. М.: ИРЦ Газпром, 2005.

4. Рогожин М. Ю. Справочник по делопроизводству. М.: Юстицинформ, 2005.