Контактный телефон
7 (8182) 204  222
7 (8182) 65 25 25

Новости

11 марта 2014 г.

ПРАВИЛА ВНУТРЕННЕГО КОНТРОЛЯ

«УТВЕРЖДАЮ»
Руководитель
ООО «Агентство недвижимости Северная Двина»
Григорьев Евгений Львович

_______________________

от «20» сентября 2012 г.
(дата утверждения правил внутреннего контроля)




ПРАВИЛА ВНУТРЕННЕГО КОНТРОЛЯ
В ЦЕЛЯХ ПРИНЯТИЯ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ


ООО «Агентство недвижимости Северная Двина»
(наименование организации)


Город Архангельск




1. Общие положения

Настоящие Правила внутреннего контроля (далее - Правила) разработаны с учетом тре¬бований законодательства Российской Федерации:
- Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.)
- Федеральный закон от 19 декабря 2005 г. №160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последними изменениями от 21 июля 2011 г.)
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (с последними изменениями от 21 июня 2012 г.)
- Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи"
- Федеральный закон от 7 мая 2013 г. № 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных"
- Постановление Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- с 1 июля 2011 года полностью вступил в силу (начинают действовать санкции за неисполнение требований) Федеральный закон от 27.07.2006 года номер 152-ФЗ «О персональных данных». Основная цель закона - защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну: защита конфиденциальной информации является одной из приоритетных задач современного законодательства. Организации, обрабатывающие ПД граждан Российской Федерации - обязаны обеспечить защиту этих данных.
За несоблюдение положений закона 152 ФЗ "О персональных данных" предусматривается гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. В определенных случаях может быть приостановлена деятельность организации или отзыв лицензии. Именно поэтому защита персональных данных приобретает особенную значимость для предприятий любого масштаба.
Контроль над выполнением требований в сфере защиты персональных данных выполняют ФСБ РФ, ФСТЭК России и РОСКОМНАДЗОР, который вправе проводить плановые и внеплановые проверки организаций, обрабатывающих персональные данные. Защита конфиденциальной информации приобрела важность на государственном уровне. 
 
2. Меры по защите персональных данных: 
 
• В организации применяется неавтоматизированная система хранения персональных данных. Типовые формы договоров содержат заявление клиентов на обработку их персональных данных.
• Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
• Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
• Хранение ПД производится в течении 5 (Пяти) лет (за исключением персональных данных сотрудников, касающихся трудовых отношений с организацией, срок хранения которых составляет 75 лет), после чего данные уничтожаются с составлением акта об уничтожении. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, устанавливаются ответственным лицом.
• Оператор обязан ознакомить персонал с настоящими Правилами, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
2.1. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Цели, задачи и основные требования внутреннего контроля.

Внутренний контроль осуществляется в целях обеспечения выполнения требований законодательных и иных нормативных правовых актов Российской Федерации и направлен на выявление и управление рисками, связанными с информационной безопасностью по Защите персональных данных.
3.1. Задачами внутреннего контроля являются:
Подготовка всех необходимых документов в организации и осуществление контроля за соблюдением требований законодательства РФ.
3.2. Внутренние документы организации:
- общий документ (правила внутреннего контроля), определяющий политику в отношении обработки персональных данных;
- приказ о назначении должностного лица ответственного за соблюдения данных правил;
-приказ с актом о мерах необходимых для защиты ПД клиентов
- перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных.;
- организационно – штатная структурная схема юридического лица
- журнал учета проверок юридического лица, проводимых органами государственного контроля, - уведомление об обработке персональных данных;
- письмо о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения);
- письменное согласие субъектов персональных данных на обработку их персональных данных, составленное в соответствии с требованиями ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «Об обработке персональных данных»;
- подпись сотрудников, допущенных к обработке персональных данных без использования средств автоматизации, (п.6 Постановления Правительства РФ № 687 от 15.09.2008г.);
- локальные акты, устанавливающие порядок уничтожения, а также подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (например, акты об уничтожении материальных носителей персональных данных);
- договоры оператора с третьими лицами, в случае, если оператор на основании такого договора поручает им обработку персональных данных
- документы, подтверждающие выполнение оператором при обработке персональных данных необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним;
- типовые формы документов, предполагающие или допускающие содержание персональных данных (заявления, анкеты и др.);
- локальные акты оператора, регламентирующие порядок хранения материальных носителей персональных данных;
- Обеспечение соблюдения всеми сотрудниками организации настоящих правил внутреннего контроля с учетом следующих требований:
1) участие в процессе осуществления внутреннего контроля всех работников независимо от занимаемой должности в рамках их компетенции;
2) сохранение конфиденциальности информации, получаемой в процессе осуществления внутреннего контроля ,
3) сохранение конфиденциальности сведений о внутренних документах организации,
Обеспечение полноты и своевременности представления в уполномоченный орган сведений, предусмотренных Федеральным законом.
3.3. В целях идентификации физических лиц ООО «Агентство недвижимости Северная Двина» устанавливаются и фиксируются в анкете клиента.
3.4. При проведении идентификации клиента, представителя клиента, выгодоприобретателя, обновлении информации о них, ООО «Агентство недвижимости Северная Двина» вправе требовать представления клиентом, представителем клиента и получать от клиента, представителя клиента документы, удостоверяющие личность.
3.5. ООО «Агентство недвижимости Северная Двина» осуществляет идентификацию на основании действительных на дату предъявления документов, содержащих сведения, позволяющие идентифицировать клиента, представителя клиента и выгодоприобретателя.
3.6. Анкета клиента составляется на бумажном носителе.
3.7. ООО «Агентство недвижимости Северная Двина» обновляет сведения о клиенте не реже одного раза в год при установлении отношений длящегося характера, либо при повторном обращении клиента, совершавшим «разовые операции», а также если у ООО «Агентство недвижимости Северная Двина» возникли сомнения в достоверности сведений, полученных ранее.
3.8. При получении от клиента информации (документов), подтверждающей (подтверждающих) изменение сведений, устанавливаемых в целях идентификации, ООО «Агентство недвижимости Северная Двина» в день их получения вносит соответствующие изменения в анкету клиента. 
 
4. ООО «Агентство недвижимости Северная Двина», представляет информацию
Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Архангельской области: Уведомление об обработке (о намерении осуществлять обработку) персональных данных.

5. Программа подготовки и обучения сотрудников организации в сфере защиты персональных данных клиентов (далее - программа подготовки и обучения сотрудников организации).

Целью программы подготовки и обучения сотрудников организации является получение сотрудниками организации знаний в области защиты персональных данных клиентов, а также правил внутреннего контроля организации, программ его осуществления и иных организационно-распорядительных документов организации, принятых в целях организации и осуществления внутреннего контроля.
Программа обучения предусматривает:
а) изучение нормативных правовых актов Российской Федерации в области защиты персональных данных клиентов
б) изучение правил и программ осуществления внутреннего контроля в организации при исполнении сотрудником должностных обязанностей, а также мер ответственности, которые могут быть применены к сотруднику организации за неисполнение требований нормативных правовых актов Российской Федерации в области защиты персональных данных клиентов и иных организационно-распорядительных документов организации, принятых в целях организации и осуществления внутреннего контроля;
Руководитель ООО «Агентство недвижимости Северная Двина» утверждает перечень сотрудников, которые должны быть ознакомлены со всей документацией по защите персональных данных клиентов.
В перечень включаются следующие сотрудники:
а) руководитель организации;
в) заместитель руководителя организации;
г) специальное должностное лицо организации (филиала), ответственное за соблюдение правил внутреннего контроля (далее - специальное должностное лицо);
д) главный бухгалтер (бухгалтер) организации (филиала), при наличии должности в штате организации или филиала, либо сотрудник, осуществляющий функции по ведению бухгалтерского учета;
е) руководитель юридического подразделения организации (филиала) либо юрист организации (при наличии);
ж) сотрудники службы внутреннего контроля организации (филиала), при наличии;
з) иные сотрудники организации (филиала) по усмотрению руководителя организации и с учетом особенностей деятельности организации (филиала) и ее клиентов.

6.Формы, периодичность и сроки обучения.

Обучение проводится в следующих формах:
а) вводный инструктаж;
б) целевой инструктаж (получение работниками организаций базовых знаний, необходимых для соблюдения ими законодательства Российской Федерации, а также формирования и совершенствования системы внутреннего контроля организаций, программ ее осуществления и иных организационно-распорядительных документов, принятых в этих целях);
г) повышение уровня знаний в сфере защиты персональных данных
Вводный инструктаж в организации проводится специальным должностным лицом при приеме на работу, и при переводе (временном переводе) на должности .
Дополнительный инструктаж проводится специальным должностным лицом в следующих случаях:
при изменении действующих и вступлении в силу новых нормативных правовых актов Российской Федерации;
при утверждении организацией новых или изменении действующих правил внутреннего контроля;
при переводе сотрудника организации на другую постоянную работу (временную работу) в рамках организации;
при поручении сотруднику организации работы, не обусловленной заключенным с ним трудовым договором, когда выполнение такой работы не влечет изменения условий заключенного с сотрудником трудового договора.
Обучение в форме целевого инструктажа лицо, планирующее осуществлять функции специального должностного лица, проходит однократно до начала осуществления таких функций.
Однократное обучение в форме целевого инструктажа также должны пройти:
а) руководитель организации (филиала);
б) главный бухгалтер (бухгалтер) организации (филиала либо сотрудник, осуществляющий функции по ведению бухгалтерского учета;
в) руководитель юридического подразделения организации (филиала) либо юрист организации;
Повышение уровня знаний осуществляется в форме участия в конференциях, семинарах и иных обучающих мероприятиях.
Повышение уровня знаний сотрудники организаций проходят соответственно в тех организациях, в которых предусмотрено прохождение целевого инструктажа, по программам обучения, разрабатываемым такими организациями самостоятельно.
Порядок учета прохождения сотрудниками ООО «Агентство недвижимости Северная Двина» обучения устанавливается руководителем организации.

7. Программа хранения информации и документов, полученных в результате реализации программ осуществления внутреннего контроля в целях защиты персональных данных (далее - программа хранения информации).

ООО «Агентство недвижимости Северная Двина» обеспечивает хранение в течение не более 5 лет со дня прекращения отношений с клиентом:
а) документов, содержащих персональные даны клиентов;
б) документов, касающихся соответствующих операций (сделок) клиентов и сообщений об операциях (сделках);
в) иных документов, полученных в результате реализации правил внутреннего контроля и программ его осуществления.
ООО «Агентство недвижимости Северная Двина» хранит информацию и документы таким образом, чтобы они могли быть своевременно доступны органам государственной власти в соответствии с их компетенцией в случаях, установленных законодательством Российской Федерации.
Учет и хранение информации и документов, полученных в результате реализации правил внутреннего контроля и программ его осуществления, осуществляет специальное должностное лицо.

8. Программа обеспечения конфиденциальности информации.
ООО «Агентство недвижимости Северная Двина» обеспечивает конфиденциальность информации, полученной в результате применения правил внутреннего контроля и реализации программ его осуществления, а также мер, принимаемых организацией при реализации таких программ.

9. Функции, полномочия, обязанности, возлагаемые на Специальное должностное лицо ООО «Агентство недвижимости Северная Двина», ответственное за соблюдение правил внутреннего контроля и программ его осуществления.
К специальному должностному лицу ООО «Агентство недвижимости Северная Двина», ответственному за соблюдение правил внутреннего контроля и программ его осуществления, предъявляются следующие квалификационные требования:
а) наличие высшего профессионального образования
б) прохождение обучения в целях защиты персональных данных, в соответствии с требованиями, устанавливаемыми согласно настоящему Постановлению.
в) Организация и осуществление уведомлений в соответствии с Федеральным законом
г) Обеспечение конфиденциальности информации, полученной при осуществлении возложенных на него функций.
Д) Обеспечение соответствующего режима защиты и хранения фиксируемой информации.
Е). Иные функции в соответствии с настоящими рекомендациями и документами организации о внутреннем контроле.
Для выполнения указанных функций ответственному лицу предоставляется право:
1. Получать от руководителей и сотрудников подразделений организации необходимую информацию и документы, в том числе организационно-распорядительные документы организации, бухгалтерские и денежно-расчетные документы в установленном в организации порядке.
2. Снимать копии с полученных документов, в том числе получать и хранить копии файлов, копии любых записей, хранящихся в локальных информационных сетях и автономных компьютерных системах организации в установленном в организации порядке.
3. Получать объяснения от сотрудников, касающиеся реализации правил и программ внутреннего контроля.
4. Осуществлять иные права в соответствии с документами организации о внутреннем контроле.
Приложение № 1 к правилам внутреннего контроля ООО «Агентство недвижимости Северная Двина»

Сведения, устанавливаемые в целях идентификации физического лица и фиксируемые в анкете клиента

1. ООО «Агентство недвижимости Северная Двина» устанавливает и фиксирует следующие сведения в отношении физических лиц:
1.1. Фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая).
1.2. Гражданство.
1.3. Дата рождения.
1.4. Реквизиты документа, удостоверяющего личность: наименование, серия и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (если имеется).
1.5. Данные миграционной карты: серия, номер карты, дата начала срока пребывания и дата окончания срока пребывания.
1.6. Данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации: серия (если имеется) и номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания).
1.7. Идентификационный номер налогоплательщика (при его наличии).
1.8. Сведения (адрес) о регистрации по месту жительства и о фактическом месте жительства (месте пребывания).
1.9. Место рождения (при наличии согласия физического лица).
2. Дата начала отношений с клиентом (дата заключения первого договора на проведение операции с денежными средствами или иным имуществом).
3. Дата заполнения анкеты.
4. Дата обновления анкеты.
6. Подпись лица, заполнившего анкету клиента на бумажном носителе (с указанием фамилии, имени, а также отчества (если иное не вытекает из закона или национального обычая), должности) или фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая), должность лица, заполнившего анкету клиента в форме электронного документа.
11. Иные сведения.
ОЗНАКОМЛЕНЫ СОТРУДНИКИ:
Назад к списку новостей