8:00-20:00
+7 921 369-77-49

Политика конфинденциальности

ПОЛОЖЕНИЕ

 

«Система управления защитой информации. Работа с персональными данными»

ООО «Овощная лавка Выборжец»

(редакция 2020 года)

  • Область применения
      1. Настоящее Положение «Система управления защитой информации. Работа с персональными данными» (далее – Положение) разработано в соответствии с законодательством Российской Федерации, Санкт-Петербурга, Ленинградской области, Уставом ООО «Овощная лавка Выборжец» (далее – Компания, работодатель) и локальными нормативными актами Компании. 
      2. Положение устанавливает порядок сбора, учета, систематизации, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, уточнения (обновления, изменения), использования, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данными.
      3. Требования Положения обязательны для применения всеми подразделениями Компании. 
      4. Выполнение требований Положения сторонними организациями может быть предусмотрено договором, заключенным между Компанией и сторонней организацией.
  • Нормативные ссылки
    1. При подготовке Положения использованы следующие нормативные правовые акты и документы:
  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
  • Трудовой кодекс Российской Федерации (далее – ТК РФ);
  • Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ);
  • П 12.4-2010 «Система управления документооборотом. Положение об архивном хранении документов»;
  • П 13.1-2011 «Система управления защитой информации. Положение о конфиденциальной информации»;
  1. При пользовании Положением целесообразно проверить действие ссылочных документов. Если ссылочный документ заменен (изменен), то при пользовании Положением следует руководствоваться замененным (измененным) документом.
  • Термины и определения
      1. В Положении использованы термины и следующие определения:
        1. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных Субъекта, в том числе их передачи.
        2. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
        3. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
        4. Информация – сведения (сообщения, данные) независимо от формы их представления.
        5. Использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов, либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
        6. Конфиденциальность персональных данных – обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным Субъекта, требование не допускать их распространения без согласия Субъекта или иного законного основания.
        7. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.
        8. Обработка персональных данных Субъекта – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
        9. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
        10. Оператор – юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных
        11. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, телефон, адрес электронной почты, семейное, социальное, имущественное положение, образование, профессия, доходы, сведения о совершенных покупках и их стоимости, способах и средствах оплаты, файлов cookie, ip адресе, другая аналогичная информация, на основании которой возможна безошибочная идентификация Субъекта персональных данных.
        12. Распространение персональных данных – действия, направленные на передачу персональных данных Субъектов определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных Субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным сотрудников каким-либо иным способом.
        13. Субъект – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных, в том числе: покупатели и контрагенты Компании либо их уполномоченные представители; сотрудники, состоящее в трудовых отношениях с Компанией; другие субъекты персональных данных.
        14. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе Компании или в результате которых уничтожаются материальные носители персональных данных Субъекта.
  • Общие положения
    1. Цель разработки Положения – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    2. Сбор, хранение, использование и распространение информации о частной жизни Субъекта без его письменного согласия не допускаются. Персональные данные Субъекта относятся к категории конфиденциальной информации. К ним применимы требования Положения «Система управления защитой информации. Положение о конфиденциальной информации».
    3. Режим конфиденциальности в отношении персональных данных снимается:
  • в случае их обезличивания;
  • по истечении 75 лет срока их хранения (относится исключительно к приказам, распоряжениям, документам (справки, сводки, информации, доклады и др.) по личному составу Компании);
  • в других случаях, предусмотренных федеральными законами.
  1. Сотрудники Компании, в чьи должностные обязанности входит обработка персональных данных Субъекта, обязаны обеспечить каждому Субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
  2. Положение утверждается Генеральным директором Компании  и является обязательным для исполнения всеми должностными лицами, имеющими доступ к персональным данным Субъектов.
  • Состав персональных данных Субъектов
    1. Информация, представляемая Субъектом при поступлении на работу в Компанию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда договор заключается впервые, или сотрудник поступает на работу на условиях совместительства, или трудовая книжка у сотрудника отсутствует в связи с ее утратой или по другим причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета – для лиц, подлежащих воинскому учету;
  • документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • свидетельство о присвоении ИНН (при его наличии у сотрудника).
  1. В состав персональных данных сотрудников Компании входят: 
  • фамилия, имя, отчество; 
  • год, месяц, дата и место рождения; 
  • адрес регистрации, фактический адрес проживания; 
  • сведения о семейном положении; 
  • сведения об образовании (специальность, квалификация и др.); 
  • сведения о профессии; 
  • сведения о социальном положении; 
  • сведения о доходах; 
  • другая информация. 
  1. Общедоступные персональные данные, которые получены с письменного согласия субъекта персональных данных, используемые в Компании: 
  • фамилия, имя, отчество; 
  • год рождения; 
  • занимаемая должность; 
  • номер служебного городского и внутреннего телефона; 
  • адрес электронной почты.
  1. В отделе персонала Компании создаются и хранятся следующие группы документов, содержащие данные о сотрудниках в единичном или сводном виде:
    1. Документы, содержащие персональные данные сотрудников:
  • комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
  • комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
  • подлинники и копии приказов (распоряжений) по кадрам;
  • личные дела и трудовые книжки;
  • дела, содержащие основания к приказу по личному составу;
  • дела, содержащие материалы аттестаций сотрудников;
  • дела, содержащие материалы внутренних расследований;
  • справочно-информационный банк данных по персоналу (картотеки, журналы);
  • подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Компании, руководителям структурных подразделений;
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
  1. Документация по организации работы структурных подразделений:
  • положения о структурных подразделениях;
  • должностные инструкции сотрудников;
  • приказы, распоряжения, указания руководства Компании;
  • документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

5.5. Информация, предоставляемая Субъектом в рамках подготовки, заключения, исполнения и прекращения договоров с Компанией, стороной которых либо выгодоприобретателем по которым является Субъект, в том числе оформления заявки на приобретение и доставку продукции Компании:

  • Фамилия, имя, отчество;
  • Контактный номер телефона;
  • Адрес (город, улица, номер дома, номер квартиры (офиса);
  • Адрес электронной почты
  • Иные необходимые Персональные данные.
  • Обработка персональных данных
    1. Обработка персональных данных в Компании организуется в соответствии с диаграммой, представленной на рис. 1.Рис. 1 - Диаграмма процесса обработки персональных данных
  1. Обработка персональных данных сотрудников Компаниисостоит из следующих этапов:
    1. Получение персональных данных – включает в себя процесс получения персональных данных от сотрудника и из общедоступных источников.
    2. Проверка достоверности персональных данных – включает в себя процесс проверки истинности персональных данных, полученных в п. 6.2.1.
    3. Накопление персональных данных – процесс аккумуляции персональных данных о сотруднике в процессе его трудоустройства и дальнейшей работы в Компании, включает в себя следующие подпроцессы:
  • ввод в банк данных – ввод персональной информации в информационную систему Компании;
  • учет – фиксация состояния и параметров персональных данных, а также истории их изменений;
  • систематизация – объединение, сведение однородных групп персональных данных сотрудника в иерархическую структуру.
  1. Контроль обеспечения сохранности и целостности персональных данных – включает в себя наблюдение за состоянием персональных данных, а также соблюдением, адекватностью и актуальностью процедур обработки персональных данных, включает в себя следующие подпроцессы:
  • разграничение доступа – разграничение прав доступа пользователей информационной системы Компании к персональным данным сотрудников в соответствии с их должностями и специальными разрешениями, выданными им Генеральным директором;
  • резервное копирование – процесс создания копии персональных данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения;
  • ревизия – проведение контрольных действий по документальной и фактической проверке соответствия регламентам Компании и обоснованности совершенных в ревизуемом периоде операций с персональными данными;
  • восстановление – восстановление персональных данных в оригинальном месте их расположения в случае их повреждения или разрушения.
  1. Комбинирование – включает в себя процессы исследования и машинной обработки персональных данных в информационной системе Компании, включает в себя:
  • анализ – исследование конкретных сторон и параметров персональных данных сотрудников Компании сотрудниками, ответственными за это;
  • выдача по запросу – выявление и доставка пользователю информации о персональных данных сотрудников в соответствии с заданными критериями.
  • обновление – приведение в соответствие информации о персональных данных сотрудников в информационной системе Компании в соответствие с реальной картиной.
  1. Архивное хранение – обеспечение рационального размещения и сохранности документов о персональных данных сотрудников, производится в соответствии требованиями законодательства, включает в себя:
  • описание – описание основных характеристик документа о персональных данных при сдаче его в архивное хранение;
  • экспертиза ценности – отбор документов о персональных данных на архивное хранение или установление сроков их хранения на основе принятых критериев;
  • передача на постоянное хранение – передача документов о персональных данных и их описаний на постоянное хранение;
  • уничтожение – процесс, приводящий к невозможности восстановления содержания персональных данных в информационной системе Компании или в результате которого уничтожаются материальные носители персональных данных сотрудников.
  1. При определении объема и содержания обрабатываемых персональных данных сотрудника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.
  2. Обработка персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  3. Источником информации обо всех персональных данных сотрудника является непосредственно сотрудник. Если персональные данные возможно получить только у третьей стороны, то сотрудник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие (приложение А). Работодатель обязан сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа сотрудника дать письменное согласие на их получение.
  4. Работодатель не имеет права получать и обрабатывать персональные данные сотрудника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия (приложение А).
  5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  6. Обработка персональных данных Субъектов, не являющихся сотрудниками Компани: 
    1. Обработка персональных данных осуществляется на основе принципов: 
  • законности целей и способов обработки персональных данных и добросовестности; 
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. 
  1. Обработка персональных данных осуществляется оператором с согласия субъектов персональных данных (приложение А). 
  2. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
  1. Согласие Субъекта персональных данных не требуется в следующих случаях:
  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 
  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 
  • обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 
  • обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 
  • осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
  1.  В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина Генеральный директор Компании и его законные, полномочные представители при обработке персональных данных Субъекта – сотрудника Компании должны выполнять следующие общие требования:
    1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия Субъекту в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности Субъекта, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
    2. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
    3. При принятии решений, затрагивающих интересы Субъекта, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
    4. Защита персональных данных Субъекта от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
    5. Субъекты и их представители должны быть ознакомлены под расписку с документами Компании, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
    6. Во всех случаях отказ Субъекта от своих прав на сохранение и защиту тайны недействителен.
  • Хранение и использование персональных данных 
      1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Сроки хранения приказов, распоряжений, документов (справки, сводки, информации, доклады и др.) по личному составу Компании указаны в п.4.3.
      2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
      3. Трудовые книжки Субъектов, вкладыши в них, журналы учета трудовых книжек и вкладышей, бланки строгой отчетности, личные дела и личные карточки Субъектов, подлинники приказов по личному составу и основания к ним  хранятся в запирающихся шкафах. Сотрудники, ответственные за ведение, учет и выдачу трудовых книжек, определяются приказом Генерального директора Компании.
      4. Сведения о сотрудниках Компании хранятся на бумажных и электронных носителях в специально для этого предназначенных помещениях. Компания обеспечивает ограничение доступа к персональным данным Субъектов лицам, не уполномоченным законом, либо Компанией для получения соответствующих сведений.
      5. Персональные данные, полученные сотрудником Компании, должны использоваться только для выполнения служебных функций.
      6. Компания должна уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении Субъектом или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Компания, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Передача персональных данных
      1. При передаче персональных данных Субъекта третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Субъекта, обязаны соблюдать режим секретности (конфиденциальности). Исключение составляет обмен персональными данными Субъектов в порядке, установленном законодательством РФ.
      2. Передача персональных данных Субъектов в пределах Компании осуществляется в соответствии с локальными нормативными актами Компании.
      3. Передача персональных данных Субъекта его представителям осуществляется в порядке, установленном в Компании. Объем передаваемой информации ограничивается только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функций.
      4. При передаче персональных данных Субъекта Компания должна соблюдать следующие требования:
        1. Не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных федеральным законом.
        2. Не сообщать персональные данные Субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных Субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
        3. Осуществлять передачу персональных данных Субъекта в пределах Компании в соответствии с Положением.
        4. Разрешать доступ к персональным данным Субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
        5. Не запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом трудовой функции.
  • Доступ к персональным данным 
    1. Доступ к персональным данным Субъектов, без получения специального разрешения, имеют сотрудники, занимающие следующие должности в Компании:
  • Генеральный директор;
  • Главный бухгалтер;
  • сотрудники Бухгалтерии;
  • сотрудники Юридического отдела;
  • сотрудники Управления по работе с персоналом и мотивацией;
  • сотрудники Отдела информационных технологий;
  • руководители структурных подразделений, в отношении персональных данных Субъектов, числящихся в соответствующих структурных подразделениях.
  1. Право доступа сотрудников к персональным данным, неуказанных в п.9.1., осуществляется на основании приказа Генерального директора с указанием причины предоставления данного права.
  2. Субъект имеет право:
    1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
    2. Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
    3. Получать от Компании:
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
  1. Требовать извещения Компанией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  2. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
  1. Копировать и делать выписки персональных данных Субъекта разрешается исключительно в служебных целях с письменного разрешения Генерального директора.

 

  • Права и обязанности Субъектов – сотрудников Компании в целях обеспечения защиты и достоверности персональных данных, хранящихся у работодателя
    1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, сотрудники имеют право на:
  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Положения. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
  1. В целях обеспечения достоверности персональных данных сотрудники обязаны:
  • при приеме на работу предоставлять работодателю достоверные сведения о себе;
  • в случае изменения сведений, составляющих персональные данные сотрудника (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении в соответствии с медицинским заключением противопоказаний для выполнения сотрудником работы, обусловленной трудовым договором) и т.п.), не позднее трех рабочих дней с момента наступления изменений предоставить данную информацию работодателю.
  1. В целях обеспечения сохранности и конфиденциальности персональных данных сотрудников Компании все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками Компании, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях. 
  2. Ответы на письменные запросы сотрудников других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке организации и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках организации. 
  3. Личные дела и документы, содержащие персональные данные сотрудников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. 
  4. Персональные компьютеры и сети передачи данных, в которых обрабатываются персональные данные, подлежат защите в соответствии с требованиями руководящих документов Федеральной службы безопасности России, Федеральной службы по техническому и экспортному контролю России, Федеральной службы по надзору в сфере связи и массовых коммуникаций.
  • Ответственность за нарушение норм, регулирующих обработку персональных данных
      1. Сотрудники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
      2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает Субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом Субъекте.
  • Заключительные положения
    1. Все изменения и дополнения к Положению утверждаются приказом Генерального директора Компании.
    2. Если в результате изменения действующего законодательства Российской Федерации отдельные пункты Положения вступят с ним в противоречие, то эти пункты признаются утратившими свою силу. Возникшие противоречия не влияют на правовую действительность остальных пунктов Положения.
    3. В случае любого несоответствия Положения Уставу Компании преимущественную силу имеют положения Устава.