ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ АБОНЕНТОВ

Приложение к Приказу № 1/1 от 07.08.2014г.

Статья 1. Общие положения

Настоящим Положением устанавливается порядок обработки персональных данных Абонентов, для которых Общество с ограниченной ответственностью «Нео – Телеком» (далее по тексту – Оператор) осуществляет оказание услуг связи.

2. Абонентами Оператора являются:

  • физические и юридические лица (субъекты персональных данных), заключившие с Оператором письменный договор на оказание услуг связи, который формируется Оператором;

2.1. Оператор – организация связи, действующая на основании выданных Федеральной службой по надзору в сфере связи лицензий и оказывающая услуги связи по договорам с Абонентами.

3. Цель данного Положения – обеспечение требований защиты прав граждан при обработке персональных данных.

4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и наказывается в соответствии с законодательством.

5. Настоящее Положение и изменения к нему утверждаются генеральным директором Оператора и вводятся приказом по основной деятельности Оператора. Все сотрудники Оператора должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Абонента.

Статья 2. Понятие и состав персональных данных Абонентов

1. Под персональными данными Абонентов понимается информация, необходимая Оператору в связи с исполнением им договорных обязательств.

2. Состав персональных данных Абонента, обработка которых осуществляется Оператором на бумажном носителе:

  • фактический адрес места жительства;
  • фактический адрес места жительства;
  • номер паспорта, удостоверяющего личность гражданина Российской Федерации, сведения о дате выдачи и выдавшем паспорт органе;
  • контактный телефон Абонента;
  • реквизиты договора на предоставление услуг связи
  • тарифный план

2. Состав персональных данных Абонента, обработка которых осуществляется Оператором на электронном носителе:

  • фамилия, имя, отчество;
  • адрес подключения Абонента к сети связи Оператора;
  • контактный телефон Абонента
  • расчеты по договору
  • информация об оказанных услугах связи по договору
  • тарифный план.

Статья 3. Конфиденциальность персональных данных

1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Абонентов, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Абонентов, либо наличия иного законного основания.

2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Абонента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Абонента на то, что его персональные данные являются общедоступными персональными данными.

Статья 4. Права и обязанности Оператора

1. Оператор имеет право без согласия Абонента осуществлять обработку его персональных данных в следующих случаях:

1) если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных – Абонент (пп.5 п.1 ст.6 Федерального закона РФ «О персональных данных»);

2) когда обработка персональных данных Абонента осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных (пп.9 п.1 ст.6. Закона «О персональных данных»);

3) если обработка персональных данных Абонента необходима для защиты жизни, здоровья или иных жизненно важных интересов Абонента, если получение его согласия невозможно (пп.6 п.1 ст.6. Закона «О персональных данных»).

2. В целях обеспечения прав и свобод человека Оператор и его представители при обработке персональных данных Абонента обязаны соблюдать следующие общие требования:

2.1. При определении объема и содержания персональных данных Абонента, подлежащих обработке, Оператор должен руководствоваться Федеральным законом «О персональных данных», Федеральным законом «О связи», договорными обязательствами, взятыми на себя сторонами по договору между Абонентом и Оператором. Оператор получает персональные данные Абонентов только в объеме, необходимом для достижения целей, указанных в договоре с Абонентом.

2.2. Оператор не имеет права получать и обрабатывать персональные данные Абонента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

2.3. Оператор не имеет права получать и обрабатывать персональные данные Абонента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

2.4. Оператор не должен запрашивать информацию о состоянии здоровья Абонента.

3. Оператор должен обеспечить защиту персональных данных Абонента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

Статья 5. Права и обязанности Абонента

1. Абонент обязан передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между Абонентом - Оператором.

2. Абонент должен без неоправданной задержки сообщать Оператору об изменении своих персональных данных.

3. Абонент имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к Абоненту, а также на ознакомление с такими персональными данными. Абонент вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.1. Сведения о наличии персональных данных должны быть предоставлены Абоненту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3.2. Доступ к своим персональным данным предоставляется Абоненту или его законному представителю Оператором при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Абонента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Абонента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Абонент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые Оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для Абонента может повлечь за собой обработка его персональных данных.

5. Абонент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6. Абонент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. Абонент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Статья 6. Порядок получения персональных данных

1. Оператор получает персональные данные Абонента непосредственно от субъекта персональных данных – Абонента, на основании заключения с Абонентом письменного договора об оказании услуг связи.

Статья 7. Обработка персональных данных

1. Обработка персональных данных Абонента осуществляется Оператором исключительно для достижения целей, определенных письменным договором между Абонентом и Оператором, в частности для оказания услуг связи Абоненту.

2. Обработка персональных данных Оператором в интересах Абонента заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передаче (предоставление, доступ), обезличивании, блокировании, удалении, уничтожении персональных данных и в защите от несанкционированного доступа к персональным данным Абонентов третьих лиц.

3. Обработка персональных данных Абонентов ведется методом смешанный (в том числе автоматизированной) обработки.

4. К обработке персональных данных Абонента могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Абонента.

5. В случае отзыва Абонентом согласия на обработку своих персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии основании указанных в пунктах 2-11 настоящего Положения, руководствуясь частью 1 статьи 6 Федерального закона «О персональных данных».

Статья 8. Передача персональных данных

1. Передача Оператором персональных данных Абонента третьим лицам,может осуществляется только с письменного согласия абонента на ознакомление, получение, принятие, обработку, хранение и передачу персональных данных.

2. Исполнение условий п.1. настоящей статьи необязательно, если Абонент предоставил Оператору письменное согласие на то, чтобы на период действия договора об оказании услуг связи считать его персональные данные – общедоступными персональными данными.

Статья 9. Хранение персональных данных

1. Персональные данные Абонентов могут храниться, как на бумажных носителях, так и в электронном виде.

2. Персональные данные Абонентов содержатся в следующих группах документов:

  • письменные заявки на заключение договора;
  • письменные договоры с Абонентами на оказание услуг связи;
  • приложения к письменным договорам на оказание услуг связи;
  • письменные претензии Абонентов по качеству предоставленных услуг связи;
  • письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т. п.), связанные с ведением судебного делопроизводства по искам Абонентов против Оператора либо Оператора против Абонента.

3. Персональные данные Абонентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенном месте для хранения таких документов. Допуск к таким персональным данным Абонентов, имеют представители Оператора, допущенные к обработке персональных данных Абонентов приказом генерального директора Оператора.

4. Персональные данные Абонентов также хранятся в электронном виде: в локальной компьютерной сети Оператора на сервере.

5. Персональные данные, содержащиеся на электронных носителях информации, уничтожаются в течение трех рабочих дней со дня окончания срока исковой давности по договору об оказании услуг связи.

6. Персональные данные Абонентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:

  • хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой давности по договору об оказании услуг связи;
  • хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

7. Об уничтожении персональных данных Оператор обязан уведомить Абонента, если иное не установлено законодательством РФ либо договором с Абонентом.

Статья 10. Доступ к персональным данным Абонента

1. Право доступа к персональным данным Абонента у Оператора имеют:

  • генеральный директор Оператора;
  • сотрудники Оператора, осуществляющие непосредственную работу с Абонентами;
  • другие сотрудники Оператора при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Генерального директора;
  • системный администратор Оператора, либо другое должностное лицо, исполняющее данные функции;
  • Абонент, как субъект персональных данных.

2. Перечень сотрудников Оператора, имеющих доступ к персональным данным Абонентов, определяется приказом Генерального директора Оператора.

3. Доступ Абонента к своим персональным данным предоставляется при обращении либо при получении запроса Абонента. Оператор обязан сообщить Абоненту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

4. При передаче персональных данных Абонента Оператор должен соблюдать следующие требования:

  • не сообщать персональные данные Абонента третьей стороне без письменного согласия Абонента, за исключением случаев, установленных федеральным законом;
  • не сообщать персональные данные Абонента в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные Абонента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным Абонентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Абонентов, которые необходимы для выполнения конкретных функций.

5. Согласия Абонента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Абонента, и когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

6. Оператор обеспечивает ведение журнала учета выданных персональных данных Абонентов, в котором фиксируются сведения о лице, которому передавались персональные данные Абонентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

Статья 11. Защита персональных данных Абонентов

1. Защите подлежат следующие персональные данные Абонентов, если только с них на законном основании не снят режим конфиденциальности:

  • документы, содержащие персональные данные Абонента, перечисленные в п.2. ст.9. настоящего Положения;
  • информация, содержащая персональные данные Абонентов, размещенная на электронных носителях.

2. Оператор обязан при обработке персональных данных Абонентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3. Общую организацию защиты персональных данных Абонентов осуществляет Генеральный директор Оператора. Генеральный директор Оператора, обеспечивает:

  • ознакомление сотрудников под роспись с настоящим Положением;
  • истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Абонента и соблюдении правил их обработки;
  • общий контроль за соблюдением сотрудниками Оператора мер по защите персональных данных Абонента.

4. Защита персональных данных Абонентов, хранящихся в электронных базах данных Оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором либо иным должностным лицом Оператора, исполняющим данные функции.

5. Доступ к персональным данным Абонента имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.

6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Абонентов, обязаны подписать обязательство о неразглашении персональных данных Абонентов (Приложение 3).

7. Процедура оформления доступа к персональным данным Абонента включает в себя:

  • ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т. п.), регулирующих обработку и защиту персональных данных Абонента, с данными актами также производится ознакомление под роспись.
  • истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Абонентов и соблюдении правил их обработки, подготовленного по установленной форме.

8. Сотрудник Оператора, имеющий доступ к персональным данным Абонентов в связи с исполнением трудовых обязанностей:

  • обеспечивает хранение информации, содержащей персональные данные Абонента, исключающее доступ к ним третьих лиц;
  • в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Абонентов;
  • при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Абонентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию Генерального директора Оператора.

8.1. При увольнении сотрудника, имеющего доступ к персональным данным Абонентов, документы и иные носители, содержащие персональные данные Абонентов, передаются другому сотруднику, имеющему доступ к персональным данным Абонентов по указанию Генерального директора.

9. Допуск к персональным данным Абонента других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.

10. Документы, содержащие персональные данные Абонентов, хранятся в специальных шкафах, обеспечивающих защиту от несанкционированного доступа.

11. Защита доступа к электронным базам данных, содержащим персональные данные Абонентов, обеспечивается:

  • использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Оператора;
  • разграничением прав доступа с использованием учетной записи;
  • установкой логина и пароля на уровне баз данных. Логин и пароли устанавливаются системным администратором Оператора или иным должностным лицом Оператора, исполняющим данные функции, и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Абонентов.

11.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Абонентов, блокируется паролем.

11.2. Все электронные папки и файлы, содержащие персональные данные Абонентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Оператора и сообщается Системному администратору или иному должностному лицу Оператора, исполняющим данные функции.

11.3. Изменение паролей осуществляется не реже 1 раза в 3 месяца.

12. Копировать и делать выписки персональных данных Абонента разрешается исключительно в служебных целях с письменного разрешения Генерального директора.

13. Ответы на письменные запросы других организаций и учреждений о персональных данных Абонентов даются только с письменного согласия самого Абонента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных Абонента.

Статья 12. Уведомление об обработке персональных данных Абонентов

1. В связи с тем, что:

1) Оператор осуществляет обработку персональных данных Абонентов, полученных Оператором в связи с заключением договора с Абонентом, персональные данные Абонентов предоставляются третьим лицам только с согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

2)Оператор осуществляет обработку персональных данных Абонентов, которые с письменного согласия Абонента являются общедоступными персональными данными;

Оператор вправе осуществлять обработку персональных данных Абонентов без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Статья 13. Уведомление об обработке персональных данных Абонентов

  1. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Абонента. Оператор закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
  2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Абонента, несет персональную ответственность за данное разрешение.
  3. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные Абонента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
  4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Абонента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
  5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Абонентов Оператор вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
  6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Абонентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
  1. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Настоящее Положение разработано в соответствии:

  • с Конституцией Российской Федерации,
  • Федеральным законом РФ «Об информации, информационных технологиях и о защите информации»,
  • Федеральным законом РФ «О персональных данных»,
  • Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера».

Технический директор ООО «Нео-Телеком» А.Е. Мединский