П О Л О Ж Е Н И Е
advertisement
Приложение № 1 К Приказу директора ОАО СК «Траст» № 11 от 14 июня 2010 года ПОЛОЖЕНИЕ об обработке персональных данных, осуществляемых без использования средств автоматизации в ОАО « Страховая компания ТРАСТ» 1. Общие положения Настоящее положение в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - Постановление Правительства), в целях реализации Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», определяет порядок осуществления обработки, использования, уточнения, распространения, уничтожения персональных данных каждого из субъектов персональных данных, содержащихся в неавтоматизированной информационной системе персональных данных, либо извлеченных из такой системы (далее - персональные данные), обрабатываемых непосредственно сотрудниками ОАО «Страховая компания ТРАСТ» (далее - Компания). Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержаться в информационной системе персональных данных либо были извлечены из нее. Положение устанавливает, общие правила обработки персональных данных без использования средств автоматизации, установленных нормативными правовыми актами федеральных органов исполнительной власти, органами исполнительной власти субъектов РФ, а так же внутренними распорядительными документами Компании, регламентирующими порядок обработки персональных данных, ведения конфиденциального делопроизводства и документооборота с учетом требований Постановления Правительства. 1.1. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В Положении используются следующие основные понятия: - персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; - обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; - информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, позволяющих осуществить обработку персональных данных без использования средств автоматизации; - материальный носитель – документ ( бланк, форма, журнал, реестр, книга) в котором отражаются персональные данные; - конфиденциальная информация – любая информация, находящаяся в Компании, которая имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой Компания принимает меры к охране ее конфиденциальности; -конфиденциальные документы- документированная конфиденциальная информация ограниченного доступа; 2. Обработка персональных данных 2.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов: а) законности целей и способов обработки персональных данных и добросовестности; б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании; в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных; г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 2.1.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации сотрудниками Компании, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее материальные носители), в специальных разделах или на полях форм (бланков). 2.1.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель. 2.1.3. Сотрудники Компании, осуществляющие обработку персональных данных, или лица, осуществляющие такую обработку по договору с Компанией, должны быть ознакомлены под роспись о факте обработки ими персональных данных и правилами обработки персональных данных без использования средств автоматизации, изложенными в настоящем Положении. 2.2. Порядок обработки персональных данных без использования средств автоматизации (далее – персональные данные): 2.2.1. Обработка персональных данных может осуществляться сотрудником Компании только с согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2, ст. 6 Федерального закона «О персональных данных» № 152-ФЗ от 27.06.2006 года. 2.2.2. Сотрудник компании при получении согласия субъекта персональных данных (далее – клиента Компании) на обработку его персональных данных заполняет форму заявления на страхование, в котором должны соблюдаться следующие условия: - заявление должно содержать сведения о цели обработки персональных данных, наименование и адрес Компании, фамилию, имя, отчество и адрес клиента Компании, сведения о документе, удостоверяющем его личность, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Компанией способов обработки данных; - заявление должно предусматривать поле, в котором клиент Компании может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных; - заявление должно быть составлено таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; - форма заявления должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых, заведомо не совместимы. 2.2.3. Заполненное заявление с заключенным договором (полисом) страхования работником, заключившим договор страхования, сдается на хранение в архив компании ответственному за хранение лицу, о чем делается запись в журнале хранения договоров. 2.2.4. Все, представленные клиентом компании на страхование копии документов, а также документы страхования относятся к разряду конфиденциальных и дальнейшее их использование строго регламентируется инструкцией о порядке работы с персональными данными.. 2.3. При необходимости ведения журналов (реестров, книг), содержащих персональные данные, должны соблюдаться следующие условия: - необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена распорядительным документом директора Компании, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных; - копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается. 2.4. При несовместимости целей обработки персональных данных, зафиксированном на одном материальном носителе, если материальный носитель не позволяет осуществить обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: - при необходимости использования или распространения определенных персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; - при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 2.6. Правила, предусмотренные пунктами 2.4. и 2.5. настоящего Положения применяются так же в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. 2.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя,- путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 3. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации 3.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 3.2. Персональные данные (материальные носители), обработка которых осуществляется в различных целях, хранятся раздельно. 3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий установлен инструкцией о порядке работы с персональными данными, а так же Положением о конфиденциальном делопроизводстве и документообороте ОАО «Страховая компания ТРАСТ».
