УТВЕРЖДАЮ:
Директор ООО «МегаЛинк»
_______________ П.А. Фёдоров
«__» ________20__ г.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящим Положением устанавливается порядок обработки персональных данных абонентов, для которых Общество с ограниченной ответственностью «МегаЛинк» (далее по тексту — Общество) оказывает услуги связи.
1.2. Абонентами Общества являются:
— физические лица (субъекты персональных данных), заключившие с Обществом письменный договор на оказание услуг связи, в состав которых входят: услуги связи по передаче данных, за исключением услуг по передаче данных для целей передачи голосовой информации, телематические услуги связи;
— юридические лица (субъекты персональных данных), заключившие с Обществом письменный договор на оказание услуг связи, в состав которых входят: услуги связи по передаче данных, за исключением услуг по передаче данных для целей передачи голосовой информации, телематические услуги связи.
1.3. Цель данного Положения — обеспечение требований защиты прав граждан при обработке персональных данных.
1.4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.
1.5. Настоящее Положение и изменения к нему утверждаются Директором Общества и вводятся приказом по основной деятельности ООО «МегаЛинк». Все сотрудники Общества должны быть ознакомлены под роспись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным Абонентов.
2. Понятие и состав персональных данных Абонентов
2.1. Под персональными данными Абонентов понимается информация, необходимая Обществу в связи с исполнением им договорных обязательств.
2.2. Состав персональных данных Абонента, обработка которых осуществляется Обществом:
а) для физического лица:
— фамилия, имя, отчество;
— адрес регистрации по месту жительства;
— адрес установки пользовательского оборудования;
— номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
— номер заграничного паспорта и срок его действия (в случае отсутствия паспорта гражданина Российской Федерации);
— фамилия и имя, как они указаны в загранпаспорте (в случае отсутствия паспорта гражданина Российской Федерации);
— номер домашнего и (или) мобильного телефонов;
— адрес доставки счёта за оказание услуг связи.
б) для юридического лица:
— наименование и адрес юридического лица;
— адрес установки пользовательского (оконечного) оборудования;
— фамилия, имя, отчество руководителя организации или индивидуального предпринимателя;
— номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе руководителя организации или индивидуального предпринимателя;
— банковские реквизиты юридического лица;
— номер служебного телефона юридического лица;
— адрес и способ доставки счёта за оказание услуг связи.
2.3. При необходимости, в интересах Абонента, состав персональных данных, указанный в п.2. настоящего раздела, может быть дополнен сведениями, которые необходимы для реализации условий договора на оказание услуг связи.
3. Конфиденциальность сведений
3.1. Сведения, перечисленные в статье 2 Положения, содержащие сведения о персональных данных Абонентов, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия Абонентов, либо наличия иного законного основания.
3.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Абонента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Абонента на то, что его персональные данные являются общедоступными персональными данными.
4. Права и обязанности Общества
4.1. Общество имеет право без согласия Абонента осуществлять обработку его персональных данных в следующих случаях:
а) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных — Абонент (см.пп.2.п.2.ст.6. Федерального закона РФ № 152-ФЗ от 27.07.2006 года «О персональных данных» — далее по тексту Закон «О персональных данных»);
б) когда обработка персональных данных Абонента осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных (см.пп.3.п.2.ст.6. Закона «О персональных данных»);
в) если обработка персональных данных Абонента необходима для защиты жизни, здоровья или иных жизненно важных интересов Абонента, если получение его согласия невозможно (см.пп.4.п.2.ст.6. Закона «О персональных данных»).
4.2. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных Абонента обязаны соблюдать следующие общие требования:
а) При определении объема и содержания персональных данных Абонента, подлежащих обработке, Общество должно руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Постановлением Правительства от 22 декабря 2006 г. № 785 «Об утверждении правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания», договорными обязательствами, взятыми на себя сторонами по договору между Абонентом и Обществом. Общество получает персональные данные Абонентов только в объеме, необходимом для достижения целей, указанных в договоре с Абонентом.
б) Общество не имеет права получать и обрабатывать персональные данные Абонента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
в) Общество не имеет права получать и обрабатывать персональные данные Абонента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
г) Общество не должен запрашивать информацию о состоянии здоровья Абонента, за исключением тех сведений, которые относятся к вопросу предоставления льготных условий договора для Абонента.
4.3. Общество должно обеспечить защиту персональных данных Абонента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
5. Права и обязанности Абонента
5.1. Абонент обязан передавать Обществу или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Абонентом — Обществом.
5.2. Абонент должен без неоправданной задержки сообщать Обществу об изменении своих персональных данных.
5.3. Абонент имеет право на получение сведений об Обществе, о месте их нахождения, о наличии у Общества персональных данных, относящихся к Абоненту, а также на ознакомление с такими персональными данными. Абонент вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
а) Сведения о наличии персональных данных должны быть предоставлены Абоненту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
б) Доступ к своим персональным данным предоставляется Абоненту или его законному представителю Обществом при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Абонента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Абонента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
5.4. Абонент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Обществом, а также цель такой обработки;
— способы обработки персональных данных, применяемые Обществом;
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— перечень обрабатываемых персональных данных и источник их получения;
— сроки обработки персональных данных, в том числе сроки их хранения;
— сведения о том, какие юридические последствия для Абонента может повлечь за собой обработка его персональных данных.
5.5. Абонент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
5.6. Абонент вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.7. Абонент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
6. Порядок получения персональных данных
6.1. Общество получает персональные данные Абонента непосредственно от субъекта персональных данных — Абонента, на основании заключения с Абонентом письменного договора на оказание услуг связи.
6.2. Общество до начала обработки персональных данных обязано предоставить Абоненту информацию о правовом основании и цели обработки Обществом персональных данных Абонента, о предполагаемых пользователях персональных данных и установленных настоящим Законом «О персональных данных» правах Абонента.
7. Обработка персональных данных
7.1. Обработка персональных данных Абонента осуществляется Обществом исключительно для достижения целей, определенных письменным договором между Абонентом — Обществом.
7.2. Обработка персональных данных Обществом в интересах Абонента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Абонента.
7.3. Обработка персональных данных Абонентов ведется методом смешанной (в том числе автоматизированной) обработки.
7.4. К обработке персональных данных Абонента могут иметь доступ только сотрудники Общества, допущенные к работе с персональными данными Абонента.
7.5. В случае отзыва Абонентом согласия на обработку своих персональных данных Общество незамедлительно прекращает обработку персональных данных Абонента. Общество уничтожает персональные данные Абонента в следующие сроки:
— хранящиеся на электронных носителях в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент-Общество;
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент-Общество;
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
8. Передача персональных данных
8.1. Передача персональных данных Абонента осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Абонентом и Обществом.
8.2. Передача персональных данных Абонента третьим лицам осуществляется Обществом только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Абонента и безопасности персональных данных при их обработке.
Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
8.3. Передача персональных данных третьим лицам осуществляется на бумажных носителях.
9. Хранение персональных данных
9.1. Персональные данные Абонентов могут храниться, как на бумажных носителях, так и в электронном виде.
9.2. Персональные данные Абонентов содержатся в следующих группах документов:
— письменные заявления Абонентов на оказание услуг связи;
— письменные заявления Абонентов на временное приостановление подачи сигнала на абонентскую распределительную систему Абонента;
— письменные заявления Абонентов о расторжение договора на оказание услуг связи;
— письменные заявления Абонентов на возобновление подачи сигнала на абонентскую распределительную систему Абонента;
— письменные договора с Абонентами на оказание услуг связи;
— письменные претензии Абонентов по качеству предоставленных услуг связи;
— письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам Абонентов против Общества.
9.3 Персональные данные Абонентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах.
9.4. Персональные данные Абонентов также хранятся в электронном виде: в локальной компьютерной сети Общества, в электронных папках и файлах в ПК менеджеров, допущенных к обработке персональных данных Абонентов.
9.5 Персональные данные, содержащиеся на электронных носителях информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент — Общество.
9.6. Персональные данные Абонентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору Абонент-Общество;
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
10. Доступ к персональным данным Абонента
10.1. Право доступа к персональным данным Абонентов у Общества имеют:
— Директор;
— Заместитель директора;
— Технический директор;
— Офис-менеджер.
— Абонент, как субъект персональных данных.
10.2. Перечень сотрудников Общества, имеющих доступ к персональным данным Абонентов, определяется приказом директора Общества.
10.3. Доступ Абонента к своим персональным данным предоставляется при обращении либо при получении запроса Абонента. Общество обязано сообщить Абоненту информацию о наличии персональных данных о нем.
10.4. При передаче персональных данных Абонента Общество должно соблюдать следующие требования:
— не сообщать персональные данные Абонента третьей стороне без письменного согласия Абонента, за исключением случаев, установленных федеральным законом;
— не сообщать персональные данные Абонента в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные Абонента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным Абонентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Абонентов, которые необходимы для выполнения конкретных функций.
10.5. Согласия Абонента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Абонента, и когда третьи лица оказывают услуги Обществу на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
10.6. Общество обеспечивает ведение журнала учета выданных персональных данных Абонентов, в котором фиксируются сведения о лице, которому передавались персональные данные Абонентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
11. Защита персональных данных Абонентов
11.1. Защите подлежат следующие персональные данные Абонентов, если только с них на законном основании не снят режим конфиденциальности:
— документы, содержащие персональные данные Абонента, перечисленные в п.2.ч.9. настоящего Положения;
— информация, содержащая персональные данные Абонентов, размещенная на электронных носителях.
11.2. Общество обязано при обработке персональных данных Абонентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
11.3. Общую организацию защиты персональных данных Абонентов осуществляет директор Общества.
11.4. Заместитель директора обеспечивает:
— ознакомление сотрудников под роспись с настоящим Положением;
— истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Абонентов и соблюдении правил их обработки.
11.5. Директор ООО «МегаЛинк» обеспечивает:
— Общий контроль за соблюдением сотрудниками мер по защите персональных данных Абонентов.
11.6. Технический директор обеспечивает:
— Защиту персональных данных Абонентов, хранящихся в электронных базах данных Общества, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий.
11.7. Доступ к персональным данным Абонента имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
11.8. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Абонентов, обязаны подписать обязательство о неразглашении персональных данных Абонентов.
Процедура оформления доступа к персональным данным Абонентов включает в себя:
— ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Абонента, с данными актами также производится ознакомление под роспись;
— истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных Абонентов.
11.9. Сотрудник Общества, имеющий доступ к персональным данным Абонентов в связи с исполнением трудовых обязанностей:
— Обеспечивает хранение информации, содержащей персональные данные Абонента, исключающее доступ к ним третьих лиц.
— В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Абонентов.
— При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Абонентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию директора Общества.
При увольнении сотрудника, имеющего доступ к персональным данным Абонентов, документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию директора.
11.10. Допуск к персональным данным Абонента других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
11.11. Защита доступа к электронным базам данных, содержащим персональные данные Абонентов, обеспечивается:
— Использованием лицензированных антивирусных программ.
— Разграничением прав доступ.
— Системой паролей на уровне локальной компьютерной сети.
а) Несанкционированный вход в ПК, в которых содержатся персональные данные Абонентов, блокируется паролем, который устанавливается Техническим директором (Главным инженером) или Администратором сети.
б) Все электронные папки и файлы, содержащие персональные данные Абонентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Общества и сообщаются Техническому директору (Главному инженеру) или Администратору сети.
в) Изменение паролей Администратором осуществляется не реже 1 раза в 3 месяца.
11.13. Копировать и делать выписки персональных данных Абонента разрешается исключительно в служебных целях с письменного разрешения директора.
11.14. Ответы на письменные запросы других организаций и учреждений о персональных данных Абонентов даются только с письменного согласия самого Абонента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем персональных данных Абонента.
12. Уведомление об обработке персональных данных Абонентов
12.1. В связи с тем, что:
Общество осуществляет обработку персональных данных Абонентов, полученных Обществом в связи с заключением договора с Абонентом, персональные данные Абонентов распространяются и предоставляются третьим лицам с согласия субъекта персональных данных и используются Обществом исключительно для исполнения указанного договора;
12.2. Оператор имеет право использовать персональные данные Абонента без его согласия, в случаях предусмотренных законодательством РФ.
13. Ответственность за разглашение информации, содержащей персональные данные Абонента
13.1 Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Абонента. Общество закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
13.2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Абонента, несет персональную ответственность за данное разрешение.
13.3. Каждый сотрудник Общества, получающий для работы документ, содержащий персональные данные Абонента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
13.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Абонента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
13.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Абонентов Общество вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
13.6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Абонентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
13.7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
Настоящее Положение разработано в соответствии с документами:
— Конституция РФ;
— Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон РФ от 27.07.2007 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Постановление Правительства РФ от 17.01.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности РФ (ФСБ России) Министерства информационных технологий и связи РФ (Мининформсвязи России) от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
— Указ Президента РФ №188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».
14. Заключительные положения
14.1. ООО «МегаЛинк» зарегистрировано в качестве Оператора персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
14.2. Иные права и обязанности ООО «МегаЛинк», как Оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.