1. Общие положения
    2. 1.1 Настоящая Политика организации мер информационной безопасности в области защиты персональных данных (далее – Политика) является основным регламентирующим локальным актом Индивидуальный предприниматель Басистая Анна Константиновна (далее – ИП Басистая А.К.), определяющим главные направления его деятельности в области обработки и защиты персональных данных, оператором которых является  ИП Басистая А.К.
    1.2 Настоящая Политика разработана в соответствии с требованиями:
    • Конституции Российской Федерации;
    • Трудового кодекса Российской Федерации;
    • Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
    1.3. Политика разработана во исполнение требований действующего законодательства Российской Федерации, регулирующего действия оператора в области обработки и защиты персональных данных, информационной безопасности персональных данных и направлена на создание организационных мер, создание локальных документов и надлежащего уровня надежности для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Основания обработки и состав персональных данных, обрабатываемых у ИП Басистая А.К.
    3. 2.1. Обработка персональных данных осуществляется в связи с уставной деятельностью ИП Басистая А.К., хозяйственной деятельностью, а также в ходе трудовых и иных, связанных с ними отношений, в которых ООО «Снежная Сова» выступает в качестве работодателя (гл. 14 Трудового кодекса РФ).
    2.2. В рамках осуществления уставной деятельности обрабатываются персональные данные в случаях:
    1) заключения клиентских договоров:
    • заключение договоров на оказание гостиничных услуг, договоров на размещение, агентских договоров с клиентами и выгодоприобретателями (агентами, заказчиками);
    • заключение договоров на оказание услуг общественного питания с клиентами и выгодоприобретателями;
    • заключение договоров на пользование конференц-залом.
    2) осуществления административно-хозяйственной деятельности ИП Басистая А.К.»:
    • в ходе процедуры заключения, изменения, расторжения договоров с партнерами;
    • в ходе исполнения гражданско-правовых договоров.
    При этом обрабатываются персональные данные как физических лиц (их представителей), осуществляющих подписание гражданско-правовых договоров и лиц, ответственных за их исполнение, так и членов единоличных и (или) коллегиальных органов управления контрагента, бенефициариев и иных данных.
    3) трудовых отношений и иных непосредственно связанных с ними отношений, в которых ИП Басистая А.К. выступает в качестве работодателя. При этом обрабатываются персональные данные лиц, претендующих на трудоустройство в ИП Басистая А.К., работников ИП Басистая А.К. (далее – Работники) и граждан, ранее работавших в ИП Басистая А.К..
     2.3. В связи с возникновением прав и обязанностей, ИП Басистая А.К. обрабатываются персональные данные физических лиц для осуществления пропускного режима на объектах недвижимости, занимаемых ИП Басистая А.К., а также граждан, письменно обратившихся в ИП Басистая А.К. по вопросам его деятельности (за исключением лиц, определенных в п. 2.2. настоящей Политики).
     2.4. Специальные категории персональных данных, а также биометрические персональные данные могут подвергаться обработке ИП Басистая А.К. при возникновении необходимости для осуществления уставной деятельности, а также в трудовых и гражданско-правовых отношениях, при наличии согласия лица, персональные данные которого могут быть подвержены обработке.
    2.5. Персональные данные принимаются и обрабатываются ИП Басистая А.К. на основании законодательных актов и нормативно-правовых актов РФ, определенных в п. 1.2 настоящей Политики, а в необходимых случаях – при наличии письменного согласия субъекта персональных данных.
    2.6. ИП Басистая А.К. в установленном законодательными и иными нормативно-правовыми актами порядке предоставляет обрабатываемые персональные данные компетентным органам и организациям, государственным органам и учреждениям, имеющим право на их получение. ИП Басистая А.К. не осуществляет обработку персональных данных не совместимых с целями их сбора.
     2.7. Если иное не предусмотрено законодательными и (или) нормативно-правовыми актами РФ, по окончании обработки персональных данных, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, ИП Басистая А.К. подвергает обезличиванию персональные данные или их уничтожению. При установлении сроков хранения для носителей, содержащих персональные данные, они подлежат уничтожению по его истечению.
    2.8. Требования настоящей Политики обязательны для всех Работников, представителей контрольно-надзорных органов, допущенных к защищаемой информации на законных основаниях, а также индивидуальных лиц и работников иных организаций, допущенных к защищаемой информации для проведения работ по гражданско-правовым договорам.
  3. Обеспечение безопасности персональных данных
    4. 3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в ИП Басистая А.К. является принятие всевозможных мер по предотвращению несанкционированного, в том числе случайного, доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий и атак с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки, результатом которых может стать уничтожение, изменение, блокирование, копирование, распространение защищаемой информации, а также иных несанкционированных действий.
    3.2. Обеспечение безопасности персональных данных осуществляется в рамках установления в ИП Басистая А.К. режима безопасности информации, доступ к которой ограничен.
    3.3. Защита персональных данных при обработке персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями действующих нормативно-правовых актов РФ, а также локальных нормативных актов, регулирующих вопросы с материальными носителями информации в ИП Басистая А.К.
  4. Доступ к обрабатываемым персональным данным
    5. 4.1. Доступ к обрабатываемым персональным данным в ИП Басистая А.К. имеют Работники, в чьи должностные обязанности входит работа с ресурсами, содержащими персональные данные, только в том объеме, который необходим для выполнения должностных обязанностей. Допуск к персональным данным, объем доступа для Работников открывается на основании заявки, согласованной лицом, ответственным за организацию обработки персональных данных в ИП Басистая А.К.
    4.2. Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных актов ИП Басистая А.К.. Допущенные к обработке персональных данных Работники под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами ИП Басистая А.К., устанавливающими порядок обработки персональных данных, и иными локальными актами, разработанными и утвержденными в ИП Басистая А.К. по вопросам обработки персональных данных.
    4.3. Факты получения доступа к информационной системе персональных данных, а также факты обработки персональных данных фиксируются, в том числе, с использованием средств обеспечения информационной безопасности. Информация о фактах обработки персональных данных хранится в ИП Басистая А.К. в течение срока, определенного действующим законодательством для хранения подобного рода документации.
    4.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым ИП Басистая А.К., осуществляется в соответствии с Федеральным законом «О персональных данных» и определяется локальными актами ИП Басистая А.К.
       5. Реализация настоящей Политики
    5.1. ИП Басистая А.К. принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
    5.2. Ответственность за организацию обработки персональных данных в ИП Басистая А.К. возложена на лицо, назначенное приказом директора. Ответственное лицо за организацию обработки персональных данных в ИП Басистая А.К. обязано:
    1) осуществлять внутренний контроль за соблюдением в ИП Басистая А.К. требований законодательных, нормативно-правовых актов РФ и локальных актов ИП Басистая А.К.;
    2) доводить до сведения работников положения законодательных, нормативно-правовых актов РФ и локальных актов ИП Басистая А.К. в области обработки и защиты персональных данных;
    3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
    4) курировать и контролировать иные вопросы, связанные с обработкой персональных данных, возникающие в процессе хозяйственной деятельности ИП Басистая А.К..
    5.3. ИП Басистая А.К. осуществляет обработку персональных данных как без использования средств автоматизации, так и с использованием средств автоматизации. Порядок и особенности осуществления обработки персональных данных с использованием и (или) без использования средств автоматизации определены в соответствующих локальных актах ИП Басистая А.К..
    5.4. Для обеспечения управления информационной безопасностью персональных данных в ИП Басистая А.К. создается система защиты персональных данных. Объектами защиты системы защиты персональных данных являются информация, которая содержит персональные данные и подвергается обработке ИП Басистая А.К., а также непосредственно носители, содержащие в себе такую информацию.
    5.5. Система защиты персональных данных в ИП Басистая А.К. реализуется комплексом правовых, режимных, организационных и программно-технических мер, путем издания и утверждения регламентирующих локальных актов, информирования работников, установления необходимого программного обеспечения и иных мер, позволяющих в достаточной мере в соответствии с действующим законодательством РФ обеспечить безопасную обработку персональных данных.
  1. Основные мероприятия по обеспечению безопасности персональных данных
    2. 6.1. Мероприятия по защите персональных данных реализуются в ИП Басистая А.К. в следующих направлениях:
    1) предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;
    2) предотвращение несанкционированного доступа к содержащей персональные данные информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
    3) защита от вредоносных программ;
    4) обеспечение безопасного межсетевого взаимодействия;
    5) обеспечение безопасного доступа к сетям международного информационного обмена;
    6) анализ защищенности информационной системы персональных данных;
    7) организация технических средств обнаружения вторжений и компьютерных атак;
    8) обеспечения контроля за реализацией системы защиты персональных данных.
    6.2. С целью обеспечения непрерывного контроля за соответствием состояния защиты персональных данных на надлежащем уровне в  ИП Басистая А.К. осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям. Внутренний контроль включает:
    1) мониторинг состояния технических и программных средств, входящих в состав системы защиты персональных данных;
    2) контроль соблюдения требований по обеспечению безопасности персональных данных (требований законодательных и нормативно-правовых актов Российской Федерации и локальных актов ООО «Снежная Сова» в области обработки и защиты персональных данных).
  2. Ответственность за соблюдение положений настоящей Политики
    3. 7.1. Осуществление общего контроля за обеспечением информационной безопасности ИП Басистая А.К. осуществляет директор или лицо его замещающее.
    7.2. Ответственным за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы менеджмента информационной безопасности ИП Басистая А.К. является лицо, назначенное приказом директора.
    7.3. Нарушение требований, установленных локальными нормативными актами ИП Басистая А.К. по обеспечению информационной безопасности, является событием чрезвычайного характера и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами, договорами, заключенными между ИП Басистая А.К.
     и Работниками, а также хозяйственными договорами, заключенными между ИП Басистая А.К. и контрагентами.
    7.4. Степень ответственности за нарушение требований локальных нормативных актов в области информационной безопасности определяется исходя из размера ущерба, причиненного ИП Басистая А.К.
    7.5. Руководители структурных подразделений ИП Басистая А.К. несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях.
    7.6. Каждый работник ИП Басистая А.К. несет персональную ответственность за обеспечение информационной безопасности на своем рабочем месте.
    7.7. Виды ответственности, предусмотренные отдельными федеральными законами об обращении с информацией, доступ к которой ограничен: - гражданско-правовая ответственность; - дисциплинарная ответственность; - уголовная ответственность; - административная ответственность.
  3. Порядок действия и изменения настоящей Политики
    4. 8.1. Настоящая Политика вступает в силу с момента ее утверждения директором и действует бессрочно до замены ее новой Политикой.
    8.2. Все изменения и дополнения в настоящую Политику вносятся по инициативе лица, ответственного за обеспечение информационной безопасности в области защиты персональных данных, его заместителей, и утверждаются приказом директора ИП Басистая А.К.
    8.3. Требования настоящей Политики могут расширяться другими локальными актами ИП Басистая А.К., которые дополняют и уточняют ее.
    8.4. В случае изменения действующего законодательства и иных нормативных актов, а также учредительных документов ИП Басистая А.К., настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также учредительным документам ИП Басистая А.К.. При наступлении указанных выше обстоятельств лицо, ответственное за организацию обработки персональных данных, обязано инициировать внесение соответствующих изменений в Политику.

Скачать документ Политика в области защиты персональных данных