5.1.5.6. В иных случаях, предусмотренных законом.

5.1.6. Организация не имеет права получать и обрабатывать персональные данные Потребителя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Потребителей могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Потребителя и подписавшие Соглашение о неразглашении персональных данных Потребителя.

5.2.3. Право доступа к персональным данным Потребителя в Организации имеют:

•Руководитель Организации;

•Работники, ответственные за ведение операционной работы.

•Работники юридической службы.

•Работники ИТ.

•Работники службы документационного обеспечения.

•Потребитель, как субъект персональных данных.

5.2.3.1. Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Потребителей, определяется приказом Руководителя Организации.

5.2.4. Обработка персональных данных Потребителя может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.5. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами;

5.3.1. Под защитой персональных данных Потребителя понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Потребителя осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.

5.3.3. Организация при защите персональных данных Потребителей принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

•Антивирусная защита.

•Анализ защищённости.

•Обнаружение и предотвращение вторжений.

•Управления доступом.

•Регистрация и учет.

•Обеспечение целостности.

•Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.

5.3.4. Общую организацию защиты персональных данных Потребителей осуществляет Руководитель Организации.

5.3.5. Доступ к персональным данным Потребителя имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Процедура оформления доступа к персональным данным Потребителя включает в себя:

•Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Потребителя, с данными актами также производится ознакомление под роспись.

•Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных Потребителей и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

5.3.7. Сотрудник Организации, имеющий доступ к персональным данным Потребителей в связи с исполнением трудовых обязанностей:

•Обеспечивает хранение информации, содержащей персональные данные Потребителя, исключающее доступ к ним третьих лиц.

•В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Потребителей.

•При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Потребителей лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

•В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Потребителей, передаются другому сотруднику, имеющему доступ к персональным данным Потребителей по указанию руководителя Организации.

•При увольнении сотрудника, имеющего доступ к персональным данным Потребителей, документы и иные носители, содержащие персональные данные Потребителей, передаются другому сотруднику, имеющему доступ к персональным данным Потребителей по указанию руководителя Организации.

•В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Организации, доступ к персональным данным Потребителя может быть предоставлен иному сотруднику. Допуск к персональным данным Потребителя других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

5.3.9. Менеджер по кадровой работе обеспечивает:

•Ознакомление сотрудников под роспись с настоящим Положением.

•Истребование с сотрудников письменного обязательства (соглашение) о соблюдении конфиденциальности персональных данных Потребителя и соблюдении правил их обработки.

•Общий контроль за соблюдением сотрудниками мер по защите персональных данных Потребителя.

5.3.10. Защита персональных данных Потребителей, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

5.4. Защита персональных данных:

5.4.1. Персональные данные Потребителей в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах руководителя Организации и сотрудников, допущенных к обработке персональных данных Потребителей.

5.4.2. Документы, содержащие персональные данные Потребителей на бумажных носителях, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Потребителей, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

5.4.3. Защита доступа к электронным базам данных, содержащим персональные данные Потребителей, обеспечивается:

•Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.

•Разграничением прав доступа с использованием учетной записи.

•Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Потребителей.

5.4.3.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Потребителей, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.