ДЕПАРТАМЕНТ ИНФОРМАТИЗАЦИИ И СВЯЗИ КРАСНОДАРСКОГО КРАЯ
ПРИКАЗ
от 8 апреля 2015 года N 69
ОБ УТВЕРЖДЕНИИ МЕСТ ХРАНЕНИЯ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЛИЦ, ОТВЕТСТВЕННЫХ ЗА ОБЕСПЕЧЕНИЕ СОХРАННОСТИ МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ ИНФОРМАТИЗАЦИИ И СВЯЗИ КРАСНОДАРСКОГО КРАЯ
В соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в целях обеспечения безопасности персональных данных при работе с материальными носителями персональных данных в департаменте информатизации и связи Краснодарского края (далее — Департамент) приказываю:
1. Определить места хранения материальных (бумажных) носителей персональных данных и лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, в соответствии с приложением.
2. Ответственному за организацию обработки персональных данных в Департаменте (Ревунцов) обеспечить раздельное хранение материальных носителей персональных данных сотрудников департамента информатизации и связи Краснодарского края и других субъектов персональных данных.
3. Лицам, осуществляющим обработку персональных данных в Департаменте:
3.1. Обеспечить хранение материальных носителей персональных данных различных категорий раздельно в сейфах, запираемых металлических шкафах или шкафах для бумаг.
3.2. Соблюдать при хранении материальных носителей персональных данных условия, обеспечивающие сохранность персональных данных.
4. Ответственному за организацию обработки персональных данных в Департаменте ознакомить лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, с Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и настоящим приказом под роспись.
5. Контроль за исполнением настоящего приказа возложить на ответственного за организацию обработки персональных данных в Департаменте.
Руководитель департамента
Д.А.РОЗЕВИКА
Общество с ограниченной ответственностью
Управляющая компания
«Инженерный комплекс Западный луч»
454091, РФ г.Челябинск, ул. Труда 183Б оф.278 приемная (351) 217-44-93
ОГРН 1087453009478 ИНН 7453200875 КПП 745301001
УТВЕРЖДЕНО
Приказом Генерального директора
№___ от «29» августа 2013г.
Введено в действие с «01»сентября 2013г.
Положение о конфиденциальности
Разработано:
Специалист по делопроизводству О.В Яковлева
Согласовано:
Первый заместитель Генерального директора А.Г. Звигинцев
Заместитель Генерального директора
по юридическим вопросам Е.В. Питерова
Главный экономист С.А. Жукова
Главный бухгалтер О.П. Иванова
Общие положения
Конфиденциальность — это состояние защищенности своих интересов (целей) от угроз в информационной сфере. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Защищенность достигается обеспечением режима конфиденциальности.
Настоящее Положение определяет единый режим конфиденциальности и является основным руководящим документом, обязательным для исполнения всеми Структурными подразделениями ООО УК «Инженерный комплекс Западный луч» (далее – Компании).
Режим конфиденциальности определяется:
перечнем сведений, составляющих коммерческую тайну, Перечнем конфиденциальной информации, Перечнями персональных данных работников и клиентов/контрагентов Компании и установленным порядком отнесения информации к категории конфиденциальной;
ограничением свободного доступа к такой информации путем установления порядка обращения с этой информацией и контроля его соблюдения;
договорным регулированием отношений с работниками (Трудовой договор) и с контрагентами по вопросам условий передачи и использования конфиденциальной информации;
нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.
Кроме указанных мер в Компании могут применяться, при необходимости, средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
Ответственность за организацию режима конфиденциальности в структурных подразделениях Компании несут их руководители.
Работники Компании несут ответственность за соблюдение режима конфиденциальности в соответствии с законодательством Российской Федерации и взятыми на себя добровольными обязательствами перед Компанией.
Положение является общедоступным документом, который может предоставляться без ограничений всем заинтересованным сторонам.
Положение обязательно для исполнения и распространяются на всех работников Компании, имеющих доступ к информационным активам и ИТ-инфраструктуре компании, а также учитывается в отношениях с контрагентами (потребителями продукции, поставщиками, партнерами, организациями-клиентами, консультантами, стажерами, практикантами и т.д.).
Термины и сокращения
Режим конфиденциальности — правовые, организационные, технические и иные меры, принимаемые Компанией и ее контрагентами к охране конфиденциальной информации. Конфиденциальная информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления, составляющие коммерческую тайну, или иные сведения, охраняемые в соответствии с законодательством Российской Федерации, а также локальными нормативными актами Компании.
Передача конфиденциальной информации — доведение ее обладателем в документированном виде до уполномоченных штатных работников Получающей стороны и принятие ими установленных законом или договором мер по охране ее конфиденциальности. Конфиденциальный документ — зафиксированная на материальном носителе конфиденциальная информация с реквизитами, позволяющими ее идентифицировать. Компания — ООО Управляющая компания «Инженерный комплекс Западный луч» (далее — Компания).
Структурное подразделение — подразделение ООО Управляющая компания «Инженерный комплекс Западный луч» (Компании), разрабатывающее конфиденциальный документ или курирующее его разработку сторонней организацией.
ОД — отдел документооборота или должностное лицо, на которое возложены функции ведения документооборота.
сэд — система электронного документооборота «DocsVision».
Служба ИТ — служба информационных технологий коммерческой организации, на основании договора оказывающая Компании услуги по обслуживанию компьютерной техники.
Внешние документы — документы, поступающие из сторонних организаций.
Внутренние документы — документы, передаваемые из одного структурного подразделения в другое по согласованию между руководителями.
Гриф конфиденциальности — применяемые в Компании грифы конфиденциальности. Коммерческая тайна — гриф конфиденциальности для документов, содержащих информацию, составляющую коммерческую тайну Компании.
Персональные данные — гриф конфиденциальности для документов, содержащих защищаемые в Компании персональные данные.
Для внутреннего пользования (далее — ДВП) — гриф конфиденциальности для документов, содержащих иную защищаемую конфиденциальную информацию, не относящуюся к сведениям, составляющим коммерческую тайну и персональные данные.
Ограничительные отметки — применяемые в Компании отметки, ограничивающие доступ к информации.
«Конфиденциально» — защищаемая информация, разглашение которой может повлечь убытки Компании.
Порядок отнесения информации к категории конфиденциальной
Конфиденциальная информация Компании состоит из:
-сведений, составляющих коммерческую тайну;
-сведений, составляющих персональные данные работников и иных лиц, передавших свои персональные данные Компании в связи с бизнес-деятельностью Компании;
-конфиденциальных сведений иных юридических и физических лиц, переданных Компании согласно законодательству РФ и/или на договорной основе;
-иной информации Компании, в отношении которой введен режим ее ограниченного распространения и защиты.
К конфиденциальной информации следует относить:
-сведения, составляющие охраняемую законодательством РФ тайну, переданную Компании установленным порядком;
-техническую, технологическую, коммерческую, организационную или иную используемую в предпринимательской деятельности информацию, которая обладает действительной или потенциальной коммерческой ценностью в силу неизвестности ее третьим лицам;
-сведения, к которым нет свободного доступа на законном основании;
-сведения, по отношению к которым владелец информации принимает правовые, организационные, технические и иные меры защиты.
Информация имеет действительную или потенциальную коммерческую ценность, если она позволяет или может позволить обладателю коммерческой тайны при существующих или возможных обстоятельствах в силу неизвестности ее третьим лицам:
-увеличить доходы;
-избежать убытков;
-сохранить положение на рынке или получить иную коммерческую выгоду.
Перечень информации, составляющей коммерческую тайну утверждается Положением о коммерческой тайне.
Не может быть отнесена к категории конфиденциальной информация:
-содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
-содержащаяся в документах, дающих право на осуществление предпринимательской деятельности;
-о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно- эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
иная информация, содержащая сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральным законодательством Российской Федерации.
К категории конфиденциальных относятся также сведения, которые получены установленным порядком от предприятий, учреждений, организаций или граждан, не состоящих в отношении подчиненности к руководителю Компании и на которые имеется ссылка, как на конфиденциальные документы.
Документам Компании, содержащим конфиденциальную информацию, присваиваются следующие грифы конфиденциальности: Коммерческая тайна, Персональные данные.
Необходимость присвоения документу грифа конфиденциальности определяется исполнителем. Контроль соответствия грифа конфиденциальности содержанию документа осуществляет руководитель структурного подразделения.
Грифы конфиденциальности могут не проставляться на документах бухгалтерского учета и отчетности, договорах, финансовых документах установленной формы и документах, содержащих персональные данные работников Компании.
Порядок учета, хранения и работы с указанными документами в подразделении определяются настоящим Положением с учетом требований режима конфиденциальности. Пересылка (передача) таких документов другим подразделениям Компании или сторонним организациям производится установленным данным Положением порядком. При этом грифы конфиденциальности проставляются на сопроводительном письме.
Порядок допуска к конфиденциальной информации и документам
Допуск работников структурных подразделений Компании к конфиденциальной информации осуществляется приказом по Компании на основании мотивированного письма руководителя структурного подразделения на имя Генерального директора.
Руководитель структурного подразделения несет персональную ответственность за подбор работников своего подразделения, допускаемых к конфиденциальной информации, и обязан обеспечить систематический контроль над тем, чтобы к указанной информации получали доступ только те лица, которым она необходима для выполнения своих функциональных обязанностей.
Допуск работников к конфиденциальной информации осуществляется только после подписания ими Трудового договора установленного образца с принятием работником индивидуальных обязательств.
Командированные сторонними организациями лица допускаются к конфиденциальной информации Компании на основе письменных разрешений соответствующих руководителей, согласованных Генеральным директором, при наличии Соглашения о конфиденциальности между Компанией и командирующей организацией, письменных запросов руководителей организаций, в которых работают командированные, с указанием целей получения конфиденциальной информации и перечня конкретных сведений, а также предписаний на выполнение заданий.
Обязанности лиц, допущенных к конфиденциальной информации
Лица, допущенные к конфиденциальной информации, обязаны:
-выполнять установленный в Компании режим конфиденциальности;
-не разглашать конфиденциальную информацию Компании и (или) её контрагентов, и без их согласия не использовать ее для собственных нужд в период действия трудового договора, а
также после его окончания, если предусмотренным трудовым договором соглашением между работником и работодателем не установлен иной срок;
-незамедлительно сообщать непосредственному руководителю о ставших известными ему фактах разглашения либо угрозе разглашения конфиденциальной информации Компании и (или) её контрагентов, незаконном получении или незаконном использовании третьими лицами конфиденциальной информации Компании и (или) её контрагентов;
-возместить причиненные убытки, если он виновен в разглашении конфиденциальной информации, ставшей ему известной в связи с исполнением им трудовых обязанностей;
— передать Компании при прекращении трудового договора материальные носители с конфиденциальной информацией Компании и (или) её контрагентов, имеющиеся в их распоряжении.
Лицам, допущенным к конфиденциальным работам, документам, запрещается:
-вести переговоры по конфиденциальным вопросам по незащищенным линиям связи, передавать конфиденциальную информацию по электронной почте, а также записывать и передавать (по сетям передачи данных общего пользования, телефону, Интернет и т.п.) конфиденциальную информацию с помощью самодельных шифров, кодов или условностей; производить без разрешения Генерального директора звукозаписи по конфиденциальным вопросам;
-использовать конфиденциальную информацию в открытой служебной переписке, докладах и выступлениях, в открытых статьях и других материалах, предназначенных для опубликования; -сообщать какую-либо информацию о проводимых конфиденциальных работах при обращении по личным вопросам, с жалобами, просьбами и предложениями в государственные органы и общественные организации;
-сообщать в письмах и телеграммах, направляемых в другие организации по вопросам контрагентских отношений, данные о характере проводимых конфиденциальных работ. При необходимости могут указываться лишь номера и даты издания конфиденциальных документов (без указания степени конфиденциальности документов), если в тексте писем или телеграмм не раскрывается их содержание;
-выполнять конфиденциальные работы на дому;
-выносить с территории Компании конфиденциальные документы без разрешения генерального директора;
-производить без разрешения генерального директора видео-, фото- и киносъемки в помещениях Компании, в которых производятся конфиденциальные работы или работы с конфиденциальными документами, конфиденциальных документов.
Требования к работникам по защите конфиденциальной информации включаются в Правила внутреннего трудового распорядка для сотрудников подразделения и в должностные инструкции работников.
Использование сотрудниками Компании корпоративной электронной почты
Электронная почта предоставляется работникам компании только для исполнения своих служебных обязанностей. Использование ее в личных целях запрещено.
Электронная почта используется для обмена служебной информацией в виде текстовых сообщений или файлов.
Размер почтового ящика пользователя ограничен 250 Мб. В случае превышения указанного лимита прием корреспонденции для пользователя прекращается до проведения принудительной очистки содержимого почтового ящика или проведения автоматического архивирования почтовых сообщений.
Исходящие и входящие электронные сообщения размером свыше 20 Мб блокируются.
Для уменьшения размера электронных сообщений и объединения нескольких вложенных файлов в один рекомендуется использовать программы для сжатия (компрессии) вложенных документов (Rar, ZIP, 7Z и др.).
Пользователям запрещается:
использовать корпоративную электронную почту в личных или благотворительных целях; производить рассылку незаконных материалов, а также материалов неэтичного, клеветнического, развлекательного характера, а также электронные материалы, попадающие под действие авторского права;
производить массовую рассылку писем непроизводственного характера; производить рассылку вредоносных программ или файлов, зараженных вирусами; использовать электронную почту для передачи материалов большого объема (более 20 Мб); публиковать свой корпоративный адрес, либо адреса других работников компании на общедоступных Интернет ресурсах (форумы, конференции и т.п.);
осуществлять подписку на электронные рассылки на адрес корпоративной электронной почты без согласования с непосредственным руководителем;
осуществлять массовую рассылку почтовых сообщений рекламного (непрофильного) характера без предварительного согласования с сотрудниками службы ИТ;
пересылать по электронной почте средства предоставления доступа и учетные данные к каким бы то ни было ресурсам компании;
переходить по web-ссылкам, полученным от неизвестных источников.
Вся электронная почта без уведомления пользователя проверяется на предмет наличия вредоносных программ и вирусов, а также на предмет наличия информации, составляющей коммерческую тайну.
При наличии почтового клиента, настроенного на получение корпоративной почты, на мобильном устройстве (ноутбук, планшет, смартфон и т.п.), в случае утери мобильного устройства необходимо немедленно сообщить сотруднику службы ИТ.
При оформлении электронных писем необходимо использовать подпись, включающая в себя всю необходимую контактную информацию (ФИО, должность, предприятие, рабочий телефон, добавочный номер, корпоративный сотовый телефон, адрес электронной почты), а также избегать излишеств в визуальном оформлении писем.
6.4. Вся исходящая почта, отправляемая внешним абонентам, не являющимся работниками компании, архивируется и контролируется службой ИТ на предмет наличия информации, составляющей коммерческую тайну.
Порядок оформления конфиденциальных документов
Гриф конфиденциальности присваивается документу:
-Исполнителем на стадии подготовки документа;
-Руководителем структурного подразделения или руководителем организации на стадии согласования или подписания документа.
Подготовка внутренних конфиденциальных документов на ПЭВМ и хранение их в электронном виде допускается только в случае использования систем и технологий, имеющих средства защиты информации в соответствии с установленными требованиями (персональный пароль допуска).
Конфиденциальный документ может быть запечатан в индивидуальный бумажный или пластиковый конверт стороной, инициирующей передачу документа.
К индивидуальному бумажному либо пластиковому конверту в обязательном порядке должно быть приложено сопроводительное письмо.
При размещении конфиденциальной информации на отчуждаемом электронном носителе (дискеты, CD-, DVD-диски, флеш-карты и другие накопители), гриф конфиденциальности и регистрационный номер указывается на бумажной этикетке, размещаемой (по возможности) на нерабочей стороне носителя информации или, при невозможности нанесения непосредственно на носитель, его футляре несмываемым маркером.
Отчуждаемый электронный носитель должен быть запечатан в индивидуальный бумажный либо пластиковый конверт, на котором указывается перечень файлов с конфиденциальной информацией, размещенных на носителе.
Записывать на отчуждаемые электронные носители, имеющие грифы ограничения доступа, файлы, не содержащие конфиденциальную информацию, запрещается.
Порядок обращения с конфиденциальной информацией
Учет конфиденциальных документов
Учету подлежат все конфиденциальные исходящие, входящие и внутренние документы, поступившие на имя, генерального директора, заместителей генерального директора, руководителей структурных подразделений. Учет документов осуществляется по количеству листов, изданий (книг, журналов, брошюр), отчуждаемых электронных носителей — поэкземплярно.
Порядковая нумерация документов является единой для всех документов в СЭД. О конфиденциальности документа делается соответствующая отметка в карточке регистрации.
В карточке регистрации СЭД указывается, что документ поступил на бумажном либо отчуждаемом электронном носителе.
На каждом поступившем конфиденциальном документе, а также на сопроводительном письме к таким документам проставляется входящий, исходящий регистрационный номер и гриф конфиденциальности.
В целях соблюдения субординации и упорядочивания информационных потоков все внутренние документы, поступающие генеральному директору Компании должны исходить от руководителей предприятий и их первых заместителей.
Учет и порядок обращения конфиденциальных документов, содержащих персональные данные, производится сотрудником службы персонала в соответствии с Положением о защите персональных данных.
Порядок регистрации и оборота конфиденциальных документов
Порядок регистрации и оборота входящих конфиденциальных документов, поступивших на бумажном носителе и (или) на отчуждаемом электронном носителе
Конверты с корреспонденцией на бумажном носителе, документы, поступившие на отчуждаемом электронном носителе с пометкой «Лично» или «Конфиденциально», на имя генерального директора не подлежат вскрытию другими лицами. Указанная корреспонденция регистрируется ответственным лицом ОД в СЭД на имя генерального директора без указания содержания документа, и без его сканирования. Ответственное лицо проверяет целостность индивидуального бумажного либо пластикового конверта и ставит свою визу на линии склеивания. На сопроводительном письме и индивидуальном бумажном либо пластиковом конверте проставляется регистрационный номер, после чего конверт с конфиденциальными документами и сопроводительное письмо передается ответственному сотруднику ОД.
Ответственный сотрудник ОД передает конверт и сопроводительное письмо генеральному директору.
Конверты с корреспонденцией на бумажном носителе, документы, поступившие на отчуждаемом электронном носителе с пометкой «Лично» или «Конфиденциально», на имя заместителей генерального директора, руководителей структурных подразделений регистрируются в СЭД ответственным сотрудником ОД без указания содержания документа и без его сканирования.
Ответственный сотрудник ОД проверяет целостность индивидуального бумажного либо пластикового конверта и ставит свою визу на линии склеивания. Ответственный сотрудник ОД передает документ непосредственно заместителю генерального директора или руководителю подразделения.
Если по своему содержанию корреспонденция с пометкой «Лично» или «Конфиденциально» не является секретной, то получатель данной корреспонденции обязан к зарегистрированному в СЭД документу прикрепить скан-копию или файл документа, указать тему и содержание.
Конфиденциальная корреспонденция на имя генерального директора, поступающая от внешних отправителей посредством электронной почты, регистрируется в СЭД ответственным сотрудником ОД Компании.
Конфиденциальная корреспонденция на имя заместителей генерального директора, руководителей структурных подразделений, поступающая от внешних отправителей посредством электронной почты, регистрируется в СЭД ответственным сотрудником ОД Компании.
Сотрудник Компании обязан уведомить о поступивших на его имя внешних конфиденциальных документах руководителя структурного подразделения, в штате которого состоит данный сотрудник.
Порядок регистрации и оборота внутренних и исходящих конфиденциальных документов.
Исходящие и внутренние документы регистрируются инициатором письма в СЭД.
Пересылка конфиденциальных документов в другие организации производится лично — работниками структурных подразделений Компании.
Отправляемые конфиденциальные документы должны быть помещены в индивидуальные бумажные либо пластиковые конверты и упакованы. Использовать прозрачные конверты для пересылки таких документов запрещается.
В верхнем правом углу адресной стороны пакетов проставляется гриф конфиденциальности и регистрационный исходящий номер.
Обеспечение сохранности конфиденциальной информации
Конфиденциальные документы должны храниться в служебных помещениях структурных подразделений Компании, исключающих доступ к ним посторонних лиц. О месте хранения конфиденциального документа делается отметка в СЭД.
Работник, получивший конфиденциальный документ для работы с ним, обязан исключить возможность ознакомления с его содержанием лиц, не имеющих оформленного в установленном порядке доступа к данной категории информации.
За сохранность конкретного конфиденциального документа отвечает работник, получивший этот документ для ознакомления или исполнения.
Запрещается выносить конфиденциальные документы для работы с ними вне служебных помещений.
При уходе в отпуск, в случае болезни и выезда в командировку работник по письменному указанию руководителя структурного подразделения передает находящиеся у него на исполнении конфиденциальные документы другому работнику.
Командированным работникам под их личную ответственность с разрешения руководителей разрешается иметь при себе в пути следования конфиденциальные документы.
Порядок вывоза документов, содержащих конфиденциальную информацию, за пределы Российской Федерации согласовывается с генеральным директором в каждом конкретном случае.
При смене работников, ответственных за ведение делопроизводства и хранение конфиденциальных документов, составляется акт приема-передачи этих конфиденциальных материалов, утверждаемый руководителем структурного подразделения Компании.
Проверка наличия конфиденциальных документов производится не реже одного раза в год ответственным сотрудником ОД. Результаты проверки оформляются актом. Копия акта направляется генеральному директору.
О фактах утраты документов, содержащих конфиденциальную информацию, либо разглашения этой информации ставится в известность генеральный директор, и назначается комиссия для расследования обстоятельств утраты или разглашения. Результаты расследования докладываются генеральному директору.
На утраченные конфиденциальные документы составляется акт, на основании которого делаются соответствующие отметки в учетных формах. Акты на утраченные дела постоянного срока хранения после их утверждения передаются в архив.
Уничтожение конфиденциальных дел и документов, утративших свое практическое назначение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт.
После уничтожения конфиденциальных дел в регистрационной карточке СЭД проставляется отметка: «Уничтожено. Акт № от (дата)».
Ответственность за разглашение конфиденциальной информации
Работник несет ответственность за нарушение режима конфиденциальности информации в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами Компании.
Разглашение работником конфиденциальной информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Работник возмещает Компании убытки, причиненные Компании негативными последствиями, связанными с неправомерным использованием или раскрытием третьим лицам конфиденциальной информации, в соответствии с действующим законодательством Российской Федерации.
I. Общие положения
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.
II. Особенности организации
обработки персональных данных, осуществляемой
без использования средств автоматизации
4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).
5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
III. Меры по обеспечению безопасности
персональных данных при их обработке, осуществляемой
без использования средств автоматизации
13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
1 Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687
