Политика в отношении обработки (накопления, анализа и применения) персональных данных разрабатывается и заверяется приказом директора компании. Политика отображает принципы и правила задействования персональных данных, а также уровни защиты указанных данных. Политика относится к документации открытого доступа, поэтому ознакомиться с текстом вправе каждый гражданин. Срок действия Политики не ограничен. Документация теряет силу только после утверждения руководителем компании нового варианта.

Под действие Политики подпадают все работники компании, включая сотрудников, работающих по трудовым контрактам и соглашениям о заказе услуг. При участии в обработке персональных данных посторонних граждан или передаче сведений, относящихся к персональным данным по договорам, соглашениям или поручениям на обработку, перечисленные лица обязаны действовать в рамках, установленных Политикой.

Термины, используемые в документации

В документацию, содержащую принципы обработки персональных данных служащих предприятия и обеспечения безопасности данной информации, включены такие определения:

Персональные данные – под ними подразумевают сведения, идентифицирующие гражданина как носителя указанных данных.

Оператор – государственное учреждение, частная компания или гражданин, которые в одностороннем порядке или с другими гражданами (организациями) собирают или используют персональные данные, устанавливают цели данной операции, количество необходимых сведений личного характера, а также разрешенные операции (действия), применимые по отношению к конфиденциальным данным.

Обработка персональных данных – деятельность (одно или комплекс мероприятий), направленная на сбор, анализ, актуализацию (уточнение и внесение поправок), сохранение, удаление, передачу (или открытие доступа к персональным данным), блокировку с применением автоматизированных устройств (персональных компьютеров и электронных хранилищ данных) или без таковых.

Распространение подразумевает выдачу сведений личного характера в открытый доступ. То есть персональные данные перестают быть секретными и защищенными.

Предоставление – аналогичная деятельность по выдаче доступа к персональным данным, но четко обусловленным гражданам или предприятиям.

Блокировка предусматривает временную остановку обработки таких персональных данных.

Уничтожение – список мер, по итогу которых персональные данные в собственной базе данных учреждения восстановлению не подлежат, либо физическая ликвидация физических или электронных хранилищ персональных данных.

Внутренние базы данных – хранилища (бумажные или электронные), сберегающие персональную информацию, необходимые для обработки персональных данных с задействованием компьютерных программ или других автоматизированных элементов.

Правила использования

Для обработки персональных данных задействуются автоматизированные программы. Но применение, накопление и перенаправление сведений личного характера могут проводиться и без них. Обработка личных данных предполагает:

• сбор и фиксацию;
• анализ и систематизирование;
• обобщение, сохранение и внесение правок (обновление);
• передачу доступа к закрытым сведениям;
• блокировку и удаление данных.

Разрабатывают Политику в отношении сбора, накопления и перенаправления запрашиваемых сведений с учетом законодательной базы РФ:

• Конституции;
• Кодексов о труде, налогообложении;
• Законов Федерации «О персональных данных», «Об электронной цифровой подписи», «О лицензировании», «О связи», «Об архивном деле», «Об образовании».

Также это делают с учетом статута и регламента компании, в которой разработана данная Политика.

Количество необходимых для обработки персональных данных зависит от направленности данного запроса. Устанавливается запрет на обработку, накопление, сохранение и передачу сведений личного характера, если эти действия не связаны с:

• оформлением трудовых контрактов с данными гражданами;
• исполнением обязательств предприятия по договору или соглашению;
• функциональными обязанностями удостоверяющего центра;
• исполнением положений законодательства России о труде, пенсионном обеспечении, бухгалтерском учете.

Субъекты, попадающие под действие Политики

Политика предприятия относительно обработки персональных данных обеспечивает защиту конфиденциальности данных:

• людей, оформивших трудовые отношения с данной компанией;
• граждан, заключивших трудовые или гражданские соглашения с контрагентами данной компании;
• граждан, претендующих на занятие должности в данной компании.

Какие персональные данные граждан подлежат обработке:

Обработка личных данных предполагает обеспечение достоверности и правильности, а также соответствие запрошенной направленности обработки персональных данных. Если при обработке выявлены нарушения или ошибки в указанной информации, сотрудник, отвечающий за ее получение, накопление и сохранность, перепроверяет данные. При обработке личных данных персонал предприятия обеспечивает защиту конфиденциальности.

Сроки использования и хранения личных сведений

При отсутствии специальных сроков, регламентированных Политикой обработки персональных данных, законодательством России, соглашениями между данной компанией и контрагентами, время использования и сбережения защищаемой законом информации не должно превышать сроки, необходимые для достижения целей данной операции.

Для гарантирования безопасности персональных данных сведения, применяемые и сохраняемые в учреждении, уничтожаются:

• в течение календарного месяца при выполнении необходимой обработки перечисленных данных или достижении предусмотренного срока сбережения, а также при отсутствии необходимости в дальнейшем использовании;
• в недельный срок после предоставления уведомления гражданина – носителя сведений личного характера или лица, представляющего интересы, о незаконном способе сбора или отсутствии потребности в обработке;
• за 10 календарных дней – данные, законную обработку которых гарантировать не удается;
• в течение месяца при отказе лица от согласования использования данных личного характера, если сбережение сведений законом не предусмотрено;
• в двухдневный срок при отмене согласования на сохранение данных личного характера в отношении покупателей для распространения рекламируемых услуг или товаров;
• по истечении сроков подачи судебного иска в рамках гражданских правоотношений, при договорном оформлении которых требовались персональные данные;
• одновременно с реорганизацией или ликвидацией предприятия, использовавшего персональные данные граждан.

Соглашение субъекта персональных сведений

Обработка личностных данных правомерна, если в наличии:

• двусторонние договорные обязательства между субъектом данных и коммерческой или государственной организацией;
• получение поручения или его оформление на сохранение или выдачу сведений личного характера при договорной работе;
• подписанное соглашение с операторами сведений с закрытым доступом, получившими лицензию на подобную деятельность.

Данные соглашения регламентируют:

1. Задачу, правила и время сохранения, переработки или выдачи персональных данных.
2. Двусторонние права и обязательства, в том числе по гарантированию безопасности персональных данных.
3. Штрафные санкции контрагентов при необеспечении надлежащей защиты персональных данных или закрытого режима.
4. Когда обработка данных личного характера не предусмотрена законодательной нормой или статьей договора, сбор, дополнение или сохранение данных разрешены только после согласования с владельцем указанных сведений. Согласование на обработку личных данных оформляется в виде выполнения действий или принятия положений договора-оферты: заполнение типового бланка с указанием персональных данных.
5. При обработке данных личного характера в условиях проведения рекламной акции законодатель устанавливает необходимость письменного согласования с их владельцем.

Гарантии защиты

Предприятие при работе с закрытыми сведениями физлиц отвечает за способы защиты персональных данных (организационного и технического характера) от случайного или преднамеренного неразрешенного доступа, обновления, выдачи или удаления. Мероприятия по защите персональных данных:

• назначение персонала, обеспечивающего накопление, внесение правок, выдачу и гарантирование безопасности передаваемых сведений личного характера;
• добавление в соглашения с другими учреждениями статьи или пункта о защите персональных данных от несанкционированной выдачи;
• создание локальных актов (уставов, программ), прописывающих обработку персональных данных и уведомление персонала;
• осуществление мероприятий по безопасности помещений и защите персональной компьютерной техники, задействованной в обработке персональных данных: пропуска, охрана зданий и видеонаблюдение за сотрудниками, занимающимися обработкой данных;
• многоуровневый доступ к персональным данным, анализ работы персонала при обработке персональных данных;
• обнаружение и диагностика угроз защите сохраняемых и передаваемых персональных данных, отработка моделей реагирования на основе выявленных алгоритмов;
• внедрение автоматизированных защитных механизмов персональных данных: программ антивирусов, по защите и блокировке незаконного или случайного доступа, межсетевых экранов и криптографической охраны;
• составление учета электронных и бумажных хранилищ сведений личного характера, как защиты от размножения, внесения правок, распространения или удаления сохраняемых данных;
• дополнительное копирование персональных данных для восстановления сведений при утилизации;
• отслеживание исполнения перечисленных в Политике пунктов при обработке персональных данных, контроль действенности мер по защите данных от противоправных посягательств, анализ реагирования на ситуации случайного или преднамеренного незаконного доступа к персональным данным.

Ответственность за невыполнение

Мониторинг и надзор над соблюдением сотрудниками предприятия Политики относительно персональных данных – обязанность руководителей подразделений по обработке персональных данных и по информационной защите. Руководители перечисленных структурных подразделений анализируют выполнение пунктов Политики при обработке персональных данных в сфере подразделения.

В соглашениях гражданского или трудового характера, заключаемых между учреждением и субъектами персональных данных, прописываются санкции за неправомерный сбор, хранение или распространение сотрудниками данных личного характера.

Служащие, допустившие неправомерную выдачу сведений личного характера, несут наказание, предусмотренное нормами административного, гражданского и уголовного законодательства РФ. Порядок наложения взысканий за несоблюдение пунктов Политики по выдаче сведений личного характера регламентируется законодательными и локальными актами компании и заключенными договорами.

Разрабатывает Политику относительно персональных данных специально назначенный служащий, а в силу акт вступает после подписания руководителем предприятия. Пересматривается Политика по работе со сведениями личного характера раз в год. Дополнения и уточнения вносятся по мере необходимости.