Настоящий сайт использует файлы cookie. Оставаясь на сайте, Вы даёте согласие на использование данной технологии.
Узнать подробнее о cookie.
Политика в отношении обработки персональных данных
Узнать подробнее о cookie.
Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
ИП Величко Екатерина Владимировна
УТВЕРЖДАЮ
01.09.2017 г.
ПОЛИТИКА
обработки и защиты персональных данных
2017г.
1. Общие положения
1.1. Политика обработки и защиты персональных данных ИП Величко Екатерина Владимировна (далее – «Оператор») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории России.
1.2. Цель настоящей Политики – защита персональных данных контрагентов ИП Величко Екатерина Владимировна от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, улучшение работы сайта.
1.3. В целях настоящей Политики под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;
Под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
Под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.
1.4. Настоящая Политика и изменения к ней утверждаются и вводятся приказом ИП Величко Е.В.
1.5. Настоящая Политика вступает в силу с 01.09.2017.
2. Защита персональных данных
2.1. Оператор принимает следующие меры по защите ПД:
- Разработка локальных нормативных актов в отношении обработки ПД;
- Установление правил доступа к ПД, обеспечение регистрации и учета всех действий, совершаемых с ПД;
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
- Соблюдение условий, обеспечивающих сохранность ПД и исключающих
несанкционированный к ним доступ;
- Обнаружение фактов несанкционированного доступа к ПД;
- Восстановление ПД, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- Осуществление внутреннего контроля и аудита;
- Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, внутренний контроль за соблюдением Оператором требований к защите ПД;
- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
- Обучение работников, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику в отношении обработки ПД, локальным актам по вопросам обработки персональных данных.
2.2. Угрозы защищенности персональных данных.
2.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
2.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах.
2.2.3. Угрозы третьего типа. Отсутствует опасность получения несанкционированного доступа к персональным данным вследствие наличия недокументированных возможностей в программном обеспечении.
2.3. Уровни защищенности персональных данных.
2.3.1. Первый уровень защищенности. Если Оператор отнес информационную систему к первому типу угрозы или если тип угрозы второй, но Оператор обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.
2.3.2. Второй уровень защищенности. Если тип угрозы второй и Оператор обрабатывает специальные категории ПД субъектов персональных данных вне зависимости от их количества или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
2.3.3. Третий уровень защищенности. Если при втором типе угрозы Оператор обрабатывает общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает специальные категории ПД субъектов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает биометрические ПД, или при третьем типе угрозы Оператор обрабатывает общие ПД более чем 100 тыс. физических лиц.
2.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы Оператор обрабатывает только общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц.
2.4. При четвертом уровне защищенности персональных данных Оператор:
-обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
-обеспечивает сохранность носителей информации;
-утверждает перечень работников, допущенных до ПД субъектов персональных данных;
-использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
2.5. При третьем уровне защищенности ПД дополнительно к мерам, перечисленным в пункте 2.4 настоящего Положения, Оператор назначает ответственного за обеспечение безопасности ПД в информационной системе.
2.6. При втором уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4, 2.5 настоящего Положения, Оператор ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
2.7. При первом уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 2.4-2.6 настоящего Положения, Оператор:
-обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;
- создает подразделение, назначает лицо ответственное за безопасность ПД в системе, либо возлагает такую обязанность на одно из существующих подразделений.
2.8. В целях защиты ПД на бумажных носителях Оператор:
- ограничивает допуск в помещения, где хранятся документы, которые содержат ПД субъектов персональных данных;
- хранит документы, содержащие ПД субъектов персональных данных в шкафах, запирающихся на ключ;
- приказом назначает лицо ответственное за обработку ПД.
2.9. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта персональных данных на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
2.10. Передача ПД по телефону запрещается в связи с невозможностью идентификации лица, запрашивающего информацию.
2.11. В целях обеспечения конфиденциальности документы, содержащие ПД субъектов персональных данных, оформляются, ведутся и хранятся только теми работниками, которые работают с этими документами.
2.12. Работники, допущенные к работе с ПД, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки ПД не допускаются.
2.13. Порядок уничтожения персональных данных:
- Уничтожение ПД осуществляется по истечении срока их обработки.
- Формируется акт об уничтожении ПД.
- Обеспечивается невозможность восстановления уничтоженных данных.
2.14. Действия при выявлении нарушений:
- Немедленное информирование ответственного лица.
- Проведение расследования инцидента.
- Принятие мер по устранению последствий.
- Информирование субъектов ПД при утечке их данных.
3. Гарантии конфиденциальности персональных данных
3.1. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
3.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
3.3. Все работники (при наличии), осуществляющие обработку ПД, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с Положением, требованиями законодательства РФ.
3.4. Права субъектов персональных данных:
- Право на доступ к своим ПД.
- Право на исправление неточностей.
- Право на удаление данных.
- Право на ограничение обработки.
- Право на переносимость данных.
- Предоставление ответа в письменной форме.
4. Заключительные положения
4.1. Ответственность:
- Назначается ответственное лицо за обработку ПД.
- Определяются полномочия работников.
4.2. Порядок внесения изменений:
- Изменения вносятся приказом руководителя.
- Информируются работники.
- Обновляется документация.
4.3. Срок действия настоящей Политики бессрочный. Политика применяется ко всем персональным данным, обрабатываемым Оператором.
.
