Положение об обработке персональных данных

УТВЕРЖДАЮ

На основании приказа № 8 от 14 августа 2019 г.

Индивидуальный предприниматель

___________________ ТОО «Финансовый консультант»

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие сведения

Положение об обработке и защите персональных данных ТОО «Финансовый консультант» (далее по тексту - ТОО) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Республики Казахстан в области персональных данных ТОО.

Настоящее Положение определяет политику ТОО, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

Настоящее Положение об обработке персональных данных ТОО (далее по тексту просто Положение) разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ152), Трудовым кодексом КЗ (далее по тексту – ТК КЗ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента КЗ от 06.03.1997№188.

Рассматриваемое Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых ТОО (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.

Обработка персональных данных ТОО осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Республики Казахстан в области персональных данных.

В данном Положении предусмотрены следующие понятия:

Пользователь - лицо, с которым заключено договор об оказании услуг;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

ТОО – Индивидуальный предприниматель (ТОО «Финансовый консультант»);

Персональные данные (ПДн) –любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных;

определенному лицу или определенному кругу лиц;

Работник – физическое лицо, вступившее в трудовые отношения с ТОО «Финансовый консультант»

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных (Субъект ПДн)– физическое лицо, к которому относятся соответствующие персональные данные;

Уничтожение персональных данных - действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1. Цели обработки персональных данных

• Персональные данные ТОО обрабатываются в целях:

Персональные данные кандидатов на вакантные должности -в целях обеспечения соблюдения законов Республики Казахстан и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств.

Обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения соблюдения законодательства Республики Казахстан, содействия в трудоустройстве.

• Персональные данные лиц, принятых для прохождения практики, в целях обеспечения

соблюдения законов Республики Казахстан и иных нормативных правовых актов, содействия в обучении и трудоустройстве.

•  Персональные данные уволенных работников -в целях обеспечения соблюдения законов

Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов.

• Персональные данные родственников работников –в целях обеспечения соблюдения законов

Российской Федерации и иных нормативных правовых актов,

предоставления гарантий и компенсаций работникам ТОО, установленных

действующим законодательством и локальными нормативными актами ТОО;

• Персональные данные Пользователей -в целях исполнения договоров об оказании

услуг связи, заключенных между ТОО и Пользователем. Персональные данные

лиц, желающих заключить договор на оказание услуг с ТОО -в целях заключения договора об оказании услуг между ТОО и потенциальным Пользователем.

• Персональные данные представителей субъектов персональных данных –

в целях обеспечения соблюдения прав и законных интересов субъекта персональных

данных, уполномочившего представителя на представление его интересов во

взаимоотношениях с ТОО.

• Персональные данные представителей контрагентов ТОО, включая контактных лиц

контрагентов, -в целях исполнения заключенных договоров.

1. Условия и порядок обработки персональных данных работников ТОО «Финансовый консультант»

Персональные данные работников ТОО, граждан, претендующих на должность у ТОО, обрабатываются в целях обеспечения кадровой работы.

У ТОО осуществляется обработка ПДн следующих категорий работников:

• Работников ТОО;

• Уволенных работников;

• Кандидатов на вакантные должности;

• Лиц, принятых для прохождения практики;

  • Родственников работников;

  • Лиц, с которыми заключены договоры гражданско-правового характера.

В целях, настоящего Положения, обрабатываются следующие категории персональных данных работников ТОО, а также граждан, претендующих на должность:

• Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

• Число, месяц, год рождения;

• Место рождения;

• Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

• Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

• Номер контактного телефона или сведения о других способах связи;

• Реквизиты страхового свидетельства государственного пенсионного страхования;

• Адрес места жительства (адрес регистрации, фактического проживания);

• Идентификационный номер налогоплательщика;

• Семейное положение, состав семьи;

• Реквизиты страхового медицинского полиса обязательного медицинского страхования;

• Реквизиты свидетельства государственной регистрации актов гражданского состояния;

• Сведения о воинском учете и реквизиты документов воинского учета;

• Сведения о трудовой деятельности;

• Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

• Фотография;

• Сведения об ученой степени;

• Информация о владении иностранными языками, степень владения;

• Сведения о прохождении государственной гражданской службы;

• Сведения о профессиональной переподготовке и (или) повышении квалификации;

• Номер банковской карты;

• Сведения о доходах,

• Номер расчетного счета;

• Иные персональные данные, необходимые для достижения целей, предусмотренных настоящим Положением;

Обработка персональных данных работников ТОО, граждан, претендующих на должность у ТОО осуществляется при условии получения согласия указанных лиц в следующих случаях:

• При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

• При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Республики Казахстан;

Обработка персональных данных работников ТОО, граждан, претендующих на должность работников ТОО, осуществляется индивидуальным предпринимателем и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В случаях, предусмотренных настоящим Положением, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников ТОО, граждан, претендующих на замещение должностей работников ТОО, осуществляется путем:

• Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые ТОО;

• Копирования оригиналов документов;

•  Формирования персональных данных в ходе кадровой работы;

• Внесения сведений в учетные формы (на бумажных и электронных носителях);

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников ТОО, граждан, претендующих на замещение должностей ТОО.

Передача (распространение, предоставление) и использование персональных данных работников ТОО, граждан, претендующих на замещение должностей в ТОО, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

Запрещается получать, обрабатывать следующие данные работников ТОО и граждан, претендующих на замещение должностей в ТОО: данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

1. Условия и порядок обработки персональных данных субъектов:

     В ТОО обработка персональных данных физических лиц осуществляется в целях предоставления услуг.  

У ТОО осуществляется обработка ПДн следующих категорий Субъектов:

• Пользователей и лиц, желающих заключить договор на услуги с ТОО;

• Представителей субъектов персональных данных, уполномоченных на представление их интересов.

• Представителей контрагентов ТОО, включая контактных лиц контрагентов;

 В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:

• Фамилия, имя, отчество (последнее при наличии);

• Указанный в анкете контактный телефон;

• Почтовый адрес;

• Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

• Адрес электронной почты;

• Иные персональные данные, указанные Пользователем в анкете, а также ставшие известными в ходе общения с Оператором или в процессе рассмотрения поступившего обращения.

1. Порядок обработки персональных данных субъектов персональных данных в информационных системах

Обработка персональных данных осуществляется на автоматизированных рабочих местах сотрудников ТОО.

Информационная система персональных данных ТОО содержит персональные данные сотрудников ТОО и субъектов (Пользователей).

Информация может вноситься как в автоматическом режиме, при получении персональных данных с сайта ТОО, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

Классификация информационных систем персональных данных, указанных в Положении, осуществляется в порядке, установленном законодательством Республики Казахстан. Работникам, имеющим право осуществлять обработку Персональных данных в информационных системах, предоставляется доступ к прикладным программным подсистемам.

Обеспечение безопасности персональных данных, обрабатываемых ТОО, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Республики Казахстан уровни защищенности персональных данных;

• Определение угроз безопасности персональных данных при их обработке;

• Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

• Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Индивидуального предпринимателя;

• Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

• Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• Постоянный контроль за обеспечением уровня защищенности персональных данных;

• Учет применяемых средств защиты информации, эксплуатационной и технической эксплуатационной и технической документацией;

• Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

• При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

1. Права Субъектов персональных данных

Субъекты, ПДн которых обрабатываются ТОО, имеют право получить информацию относительно ПДн, обрабатываемых ТОО, в объеме, предусмотренном ФЗ КЗ «О персональных данных»

Требовать извещения ТОО всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия ТОО при

обработке и защите его ПДн.

Требовать от ТОО уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1. Конфиденциальность ПДн

ИП и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев,

предусмотренных действующим законодательством.

1. Передача персональных данных

Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.

Передача (распространение, предоставление) и использование персональных данных Пользователей (субъектов персональных данных) осуществляется только в случаях и в порядке, предусмотренных федеральными законами.

Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.

ИП в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства КЗ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.

1. Сроки обработки и хранения персональных данных.

Срок обработки ПДн, обрабатываемых ТОО, определяется организационно -распорядительными документами ТОО в соответствии с положениями ФЗ КЗ «О персональных данных».

Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры КЗ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством КЗ и организационно-распорядительными документами ТОО.

1. Уничтожение (обезличивание) персональных данных

Уничтожение (обезличивание) ПДн Субъекта производится в следующих случаях:

• По достижении целей их обработки или в случае утраты необходимости в их достижении в

срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ТООм и Субъектом ПДн либо если ТОО не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях,

предусмотренных федеральными законами КЗ;

• В случае отзыва Субъектом ПДн согласия на Обработку его ПДн, если сохранение ПДн

более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено

договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ТОО и Субъектом ПДн либо если ТОО не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами КЗ;

• В случае выявления неправомерной обработки ПДн ТОО в срок, не превышающий десяти

рабочих дней с момента выявления неправомерной обработки ПДн;

• В случае предписания уполномоченного органа по защите прав субъектов ПДн,

Прокуратуры России или решения суда.

• В случае истечения срока хранения ПДн, определяемого в соответствии

законодательством КЗ и организационно-распорядительными документами ТОО;

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

10. Ответственность за нарушение норм, регулирующих обработку персональных данных.

ИП и/или Работники ТОО, виновные в нарушении требований законодательства КЗ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Республики Казахстан ответственность.

1. Заключительные положения

Права и обязанности работников Оператора, не указанные в Положении, представленном выше, определяются Инструкцией пользователя информационных систем персональных данных.

Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК КЗ). Работники Операторы, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса КЗ.

Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты, возникшие в сфере информационной безопасности. 

Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ. Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение.