Положение по обработке персональных данных в информационных системах персональных данных ООО «СОДИС-АВИА»


Соглашение на обработку персональных данных

УТВЕРЖДЕНО
Приказом № 152 от 14 августа 2017
Генерального директора
ООО «СОДИС-АВИА»
Каллистова Д.Е.
«14» августа 2017 г.

Положение по обработке персональных данных
в информационных системах персональных данных
ООО «СОДИС-АВИА»

Статья 1. Общие положения

1. Настоящим Положением определяется порядок сбора, хранения, передачи и любого другого использования персональных данных на объекте информатизации Общества с ограниченной ответственностью «СОДИС-АВИА» (далее по тексту – Фирма).

2. Клиентами Фирмы являются:

  • физические лица (субъекты персональных данных), заключившие с Фирмой письменный договор о реализации туристского продукта, железнодорожных билетов и авиабилетов (далее по тексту Клиент);
  • физические лица (субъекты персональных данных), от имени которых заказчик туристского продукта заключил с Фирмой письменный договор о реализации туристского продукта.

3. Цель данного Положения – определение порядка обработки персональных данных Сотрудников Фирмы и Клиентов Фирмы, персональные данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с федеральным законодательством.


5. Настоящее Положение и изменения к нему утверждаются Генеральным директором Фирмы и вводятся приказом по основной деятельности ООО «СОДИС-АВИА». Все Сотрудники Фирмы должны быть ознакомлены под роспись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми Сотрудниками Фирмы, имеющими доступ к персональным данным.

Статья 2. Понятие и состав персональных данных ООО «СОДИС-АВИА»

1. ООО «СОДИС-АВИА» обрабатывает персональные данные собственных Сотрудников и Клиентов Фирмы (Субъектов персональных данных).

2. Под персональными данными Клиентов понимается информация, необходимая Фирме в связи с исполнением ей договорных обязательств. Состав персональных данных Клиента:

  • фамилия, имя, отчество;
  • год, месяц, день, место рождения;
  • пол;
  • адрес регистрации;
  • номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
  • номер заграничного паспорта и срок его действия;
  • фамилия и имя, как они указаны в загранпаспорте;
  •  контактный телефон и адрес электронной почты;
  • семейное и социальное положение;
  • имущественное положение (в том числе сведения о недвижимом имуществе, о наличии автомобиля, о наличии банковских счетов);
  • профессия; информация (включая адрес, рабочий телефон, должность, сроки работы, ежемесячный доход) о текущем месте работы и о предыдущих местах работы;
  • прочая информация в целях исполнения договора.

3. При необходимости получения в интересах Клиента визы в посольстве страны планируемого пребывания, состав персональных данных, указанный в п.2. настоящей статьи, может быть дополнен сведениями, которые запрашиваются консульскими службами посольства страны планируемого посещения для рассмотрения вопроса о выдаче визы.

4. Состав персональных данных Сотрудников:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • страховое свидетельство государственного пенсионного страхования;
  • расчетный счет;
  • свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
  • документы воинского учёта;
  • документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
  • карточка Т-2;
  • документы, содержащие сведения о заработной плате, доплатах и надбавках;
  • приказы о приеме Сотрудника на работу, его увольнении, а также о переводе Сотрудника на другую должность;
  • документы о составе семьи Сотрудника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
  • документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством РФ;

5. Документы, содержащие ПДн Сотрудников, создаются путём:

а)    копирования подлинников (например, копии документов об образовании, свидетельство ИНН);
б)    заполнения анкетных данные (на бумажных и электронных носителях);
в)    предоставления подлинников документов (трудовых книжек, личные листки
по учёту кадров, автобиографии сотрудников).

Статья 3. Конфиденциальность персональных данных

1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Субъекта, являются конфиденциальными. Фирма обеспечивает конфиденциальность персональных данных, и обязана не допускать их распространения без согласия Субъекта персональных данных, либо наличия иного законного основания.

2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Субъекта на то, что его персональные данные являются общедоступными персональными данными.

Статья 4. Права и обязанности ООО «СОДИС-АВИА»

1. Фирма имеет право без согласия Субъекта осуществлять обработку его персональных данных в следующих случаях:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Фирму функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Фирмы или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

2. Согласие на обработку персональных данных может быть дано субъектом персональных данных – Клиентом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Фирмой.

Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано Клиентом. Обязанность представить доказательство получения согласия Клиента на обработку его персональных данных по основаниям данного пункта возлагается на Фирму.

3. В целях обеспечения прав и свобод человека и гражданина Фирма и ее представители при обработке персональных данных Субъекта обязаны соблюдать следующие общие требования:

3.1. При определении объема и содержания персональных данных Субъекта, подлежащих обработке, Фирма должна руководствоваться Федеральным законом № 152-ФЗ от 27.07.2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», обязательствами, взятыми на себя сторонами по договору Фирма - Клиент. Фирма получает персональные данные Субъекта в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.

3.2. Фирма не имеет права получать и обрабатывать персональные данные Субъекта о судимости, политических, религиозных и иных убеждениях и частной жизни.

3.3. Фирма не имеет права получать и обрабатывать персональные данные Субъекта о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.

3.4. Фирма не должна запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиентов.

4. Фирма должна обеспечить защиту персональных данных Субъекта от неправомерного их использования или утраты за собственный счет в порядке, установленном законодательством РФ.

Статья 5. Права и обязанности Субъекта

1. Субъект обязан передавать Фирме или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и обязательствами, взятыми на себя сторонами по договору Фирма – Клиент.

2. Субъект должен без неоправданной задержки сообщать Фирме об изменении своих персональных данных.

3. Субъект имеет право на получение сведений о Фирме, о месте ее нахождения, о наличии у Фирмы персональных данных, относящихся к Субъекту, а также на ознакомление с такими персональными данными.

Субъект вправе требовать от Фирмы уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.1. Сведения о наличии персональных данных должны быть предоставлены Субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3.2. Доступ к своим персональным данным предоставляется Субъекту или его законному представителю Фирмой при обращении либо при получении запроса Субъекта или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

4. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Фирмой;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Фирмой способы обработки персональных данных;
4) наименование и место нахождения Фирмы, сведения о лицах (за исключением Сотрудников Фирмы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Фирмой или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления Субъектом прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Фирмы, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим ФЗ «О персональных данных» или другими федеральными законами.

5. Субъект имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6. Субъект вправе обжаловать действия или бездействие Фирмы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Статья 6. Порядок получения персональных данных

1. Фирма получает персональные данные Субъекта:

1.1. Непосредственно от Субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного договора о реализации туристского продукта и письменного согласия на обработку персональных данных.

1.2. От Клиента - заказчика туристского продукта, который уполномочен в рамках договора о реализации туристского продукта представлять интересы туристов.

1.3. Непосредственно от Субъекта персональных данных - Сотрудника Фирмы.

2. Фирма до начала обработки персональных данных обязана предоставить Клиенту письменную информацию о наименовании либо фамилии, имени, отчестве и адресе оператора или его представителя; о цели обработки персональных данных и ее правовое основание; о предполагаемых пользователях персональных данных; об установленных ФЗ «О персональных данных» правах субъекта персональных данных; об источнике получения персональных данных.

2.1. Если персональные данные были получены в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, Фирма освобождается от обязанности предоставить Субъекту персональных данных сведения, предусмотренные п.2 настоящей статьи.

2.2. Исполнение условий п.п.2. и 2.1. необязательно, если Субъект предоставил Фирме письменное согласие о том, чтобы на период действия договора Фирма – Клиент считать его персональные данные – общедоступными персональными данными.

Статья 7. Обработка персональных данных

1. Обработка персональных данных Субъекта осуществляется Фирмой исключительно для достижения целей, определенных письменным договором Фирма - Клиент.

2. Обработка персональных данных Фирмой в интересе Субъекта заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и защите от несанкционированного доступа персональных данных Субъекта.

3. Обработка персональных данных Субъекта ведется методом смешанной (в том числе автоматизированной) обработки.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4. К обработке персональных данных Субъекта могут иметь доступ только сотрудники Фирмы, допущенные к работе с персональными данными Субъекта.

5. В случае отзыва Субъектом персональных данных Согласия на обработку его персональных данных Фирма обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Фирмы) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Фирмы) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором Фирма – Клиент.

6. В случае отсутствия возможности уничтожения персональных данных в течение тридцати дней, Фирма осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Фирмы) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Об уничтожении персональных данных Фирма обязана уведомить Субъекта, если иное не установлено законодательством РФ либо договором с Субъектом.

Статья 8. Передача персональных данных

1. Передача персональных данных Субъекта осуществляется Фирмой исключительно для достижения целей, определенных письменным договором Фирма – Клиент, в частности для формирования туристского продукта, заказанного Клиентом.

2. Передача персональных данных Субъекта третьим лицам осуществляется Фирмой только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Субъекта и безопасности персональных данных при их обработке.

Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

3. Передача персональных данных третьим лицам осуществляется с использованием сети общего пользования Интернет и на бумажных носителях.

4. Фирма осуществляет трансграничную передачу персональных данных Субъекта, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только в исполнение договора Фирма – Субъект, либо при наличии соответствующего письменного согласия Субъекта.

Статья 9. Хранение персональных данных

1. Персональные данные Субъекта могут храниться как на бумажных носителях, так и в электронном виде.

2. Персональные данные Субъекта на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных запирающихся шкафах (сейфах).

2.1. Ключи от запирающихся шкафов хранятся лично у менеджеров, допущенных к обработке персональных данных Субъекта, а их копии – у Генерального директора Фирмы.

3. Персональные данные Субъекта также хранятся в электронном виде: в локальной компьютерной сети Фирмы, в электронных папках и файлах в АРМ (автоматизированном рабочем месте) Генерального директора и менеджеров, допущенных к обработке персональных данных Субъекта.

4. Персональные данные, содержащиеся на электронных носителях информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору.

5. Персональные данные Субъекта, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:

    • хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Фирма – Клиент;
    • хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

6. Об уничтожении персональных данных Фирма обязана уведомить Субъекта, если иное не установлено законодательством РФ либо договором с Субъектом.

Статья 10. Доступ к персональным данным Клиента

1. Право доступа к персональным данным Субъекта у Фирмы имеют:

    • Генеральный директор Фирмы;
    • Менеджеры Фирмы, осуществляющие непосредственную работу с Клиентами.
    • Другие сотрудники Фирмы, при выполнении своих служебных обязанностей, при наличии соответствующего распоряжения Генерального директора;
    • Системный администратор Фирмы;
    • Субъект персональных данных.

2. Перечень сотрудников Фирмы, имеющих доступ к персональным данным Субъекта, определяется приказом Генерального директора Фирмы.

3. Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. Фирма обязана сообщить информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними в течение тридцати рабочих дней с момента обращения.

4. При передаче персональных данных Субъекта, Фирма должна соблюдать следующие требования:

  • не передавать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, установленных федеральным законом;
  • не передавать персональные данные Субъекта в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные Субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным Субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Субъекта, которые необходимы для выполнения конкретных функций.

5. Согласия Субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, и когда третьи лица оказывают услуги Фирме на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

6. Фирма обеспечивает ведение журнала учета выданных персональных данных Субъекта, в котором фиксируются сведения о лице, которому передавались персональные данные Субъекта, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

Статья 11. Защита персональных данных Субъектов

1. Защите подлежат персональные данные Субъекта, если только с них на законном основании не снят режим конфиденциальности.

2. Фирма обязана при обработке персональных данных Субъекта принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3. Общую организацию защиты персональных данных Субъектов осуществляет Генеральный директор Фирмы.

4. Менеджер по кадровой работе обеспечивает:

  • ознакомление Сотрудников под роспись с настоящим Положением.
  • требование с Сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Субъекта и соблюдении правил их обработки.
  • общий контроль за соблюдением Сотрудниками мер по защите персональных данных Субъектов.

5. Защита персональных данных Субъекта, хранящихся в электронных базах данных Фирмы, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается администратором ИСПДн и безопасности.

6. Доступ к персональным данным Субъекта имеют сотрудники Фирмы, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню сотрудников, допущенных к обработке персональных данных.

7. Все Сотрудники, трудовые обязанности которых связаны с получением, обработкой и защитой персональных данных Субъекта, обязаны подписать соглашение о неразглашении персональных данных.

8. Сотрудник Фирмы, имеющий доступ к персональным данным Субъекта в связи с исполнением трудовых обязанностей:

  • обеспечивает хранение информации, содержащей персональные данные Субъекта, исключающее доступ к ним третьих лиц.
  • в отсутствие Сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Субъекта.
  • при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия Сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Субъекта лицу, на которое локальным актом Фирмы (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Субъекта, передаются другому Сотруднику, имеющему доступ к персональным данным Субъекта по указанию Генерального директора Фирмы.

8.1. При увольнении Сотрудника, имеющего доступ к персональным данным Субъекта, документы и иные носители, содержащие персональные данные, передаются другому Сотруднику, имеющему доступ к персональным данным Субъекта по указанию Генерального директора Фирмы.

9. Допуск к персональным данным Субъектов других Сотрудников Фирмы, не имеющих надлежащим образом оформленного доступа, запрещается.

10. Документы, содержащие персональные данные Субъекта, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

В конце рабочего дня все документы, содержащие персональные данные Субъекта, помещаются в шкафы (сейфы), помещения, где хранятся документы, содержащие персональные данные Субъекта закрываются на замок и опечатываются, что обеспечивает защиту от несанкционированного доступа.

11. Защита доступа к электронным базам данных, содержащим персональные данные Субъекта, обеспечивается:

  • использованием лицензированных антивирусных и программ защиты от несанкционированного доступа, не допускающих несанкционированный вход в локальную сеть Фирмы;
  • разграничением прав доступа с использованием учетной записи;
  • двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются администратором ИСПДн и безопасности Фирмы и сообщаются индивидуально Сотрудникам, имеющим доступ к персональным данным.

11.1. Несанкционированный вход в АРМ, в которых содержатся персональные данные Субъекта, блокируется паролем, который устанавливается администратором ИСПДн и безопасности.

11.2. Все электронные папки и файлы, содержащие персональные данные Субъекта, защищаются паролем, который устанавливается ответственным за АРМ сотрудником Фирмы и сообщается администратору ИСПДн и безопасности.

11.3. Изменение паролей администратором ИСПДн и безопасности осуществляется не реже 1 раза в 3 месяца.

12. Копировать и делать выписки персональных данных Субъекта разрешается исключительно в служебных целях с письменного разрешения Генерального директора Фирмы.

13. Ответы на письменные запросы других организаций и учреждений о персональных данных Субъекта даются только с письменного согласия самого Субъекта, если иное не установлено законодательством РФ. Ответы оформляются в письменном виде, на бланке Фирмы, и в том объеме, который позволяет не разглашать излишний объем персональных данных Субъекта.

Статья 12. Ответственность за разглашение информации, содержащей персональные данные Субъекта

1. Фирма несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства РФ норм, регламентирующих получение, обработку и защиту персональных данных Субъекта. Фирма закрепляет персональную ответственность Сотрудников за соблюдением установленного в организации режима конфиденциальности.

2. Руководитель, разрешающий доступ Сотрудника к документам, содержащим персональные данные Субъекта, несет персональную ответственность за данное разрешение.

3. Каждый Сотрудник Фирмы, получающий для работы документ, содержащий персональные данные Субъекта, несет персональную ответственность за сохранность носителя и конфиденциальность информации.

4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, несут дисциплинарную, административную, гражданско–правовую или уголовную ответственность в соответствии с законодательством РФ.

5. За неисполнение или ненадлежащее исполнение Сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Субъекта, Фирма вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

6. Неправомерный отказ в представлении собранных в установленном порядке документов, содержащих персональные данные Субъекта, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом РФ об административных правонарушениях.

7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Нормативно-методическая документация

Нормативная и методическая документация, которой необходимо руководствоваться по определению порядка обработки персональных данных в ООО «СОДИС-АВИА»:

  • Конституция Российской Федерации;
  • Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • Федеральный закон Российской Федерации от 22 октября 2004 г. №125- ФЗ «Об архивном деле в Российской Федерации»;
  • Указ президента от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Кодекс Российской Федерации об Административных Правонарушениях;
  • Уголовный кодекс РФ.