ПОЛОЖЕНИЕ О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Приложение №1 к приказу № 31
"01" мая 2025 г.
в Индивидуальный предприниматель Шонематов Искандар Тимурович
1.2. Область действия. Порядок утверждения и внесения изменений:
1.2.1. Настоящее Положение распространяет свое действие на всех работников (в том числе на работников, принятых по Договору гражданско-правового характера) Общества и является обязательным к применению.
1.2.2. Настоящее Положение утверждается и вводится в действие Приказом Генерального директора Общества. Настоящее Положение может быть изменено и признано утратившим силу на основании Приказа Генерального директора Общества.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДН) - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств
Конфиденциальность персональных данных - обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Несанкционированный доступ (несанкционированные действия) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных
средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Работодатель – оИндивидуальный предприниматель Шонематов Искандар Тимурович, вступившее в правовые отношения с Работником и правовые отношения с соискателем на вакантную должность.
Работник - физическое лицо, вступившее в трудовые отношения с Обществом Соискатель - физическое лицо, вступившее в правовые отношения с Обществом с целью устройства на вакантную должность в Общество.
3.2. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
4.1.1. В отношении персональных данных субъектов вводится режим ограничения доступа. Доступ к персональным данным субъекта должны иметь только те работники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей и только в необходимом объеме.
4.1.2. Список структурных подразделений Общества и ответственных лиц, допущенных к обработке персональных данных (далее - Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается Генеральным директором Общества.
4.1.3. Доступ к персональным данным субъектов работникам Общества, не включенным в Список, может быть предоставлен в целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора Общества. Служебная записка должна содержать объем и срок предоставления доступа.
4.1.4. В случае если Общество оказывает услуги юридическим и физическим лицам на основании заключенных договоров, в силу которых им может быть предоставлен доступ к конфиденциальной информации (в т.ч. к персональным данным субъектов), то до начала работ должно быть подписано соглашение о неразглашении конфиденциальной информации между Обществом и указанными физическими или юридическими лицами, либо положения о неразглашении конфиденциальной информации должны быть включены в текст соответствующих договоров с указанными физическими и юридическими лицами, а также должна быть предусмотрена процедура предварительного письменного согласия субъекта персональных данных на передачу его персональных данных третьим лицам.
4.1.5. Процедура оформления допуска к персональным данным включает в себя:
4.1.6. Доступ к персональным данным субъектов без специального разрешения (без включения в Список в соответствии с п. 4.1.2) имеют работники, занимающие в Обществе следующие должности:
Менеджер по продажам
Маркетолог
Директор
Менеджер Отдела контроля качества
4.1.7. Доступ к персональным данным субъектов других работников Общества, не имеющих надлежащим образом оформленного допуска, запрещается.
4.2. Общество и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без письменного согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ.
4.3. Лица, получившие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать Генерального директора Общества об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.
4.4. Работники Общества, участвующие в обработке персональных данных, должны быть ознакомлены под подпись с документами Общества, устанавливающими порядок обработки персональных данных субъектов ПДн, а также об их правах и обязанностях в этой области.
4.5. Лица, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных (Приложение № 1).
4.6. При увольнении работника, имеющего доступ к персональным данным субъекта ПДн,документы и иные съемные носители, содержащие указанные персональные данные, сдаются Руководителю структурного подразделения. Персональный компьютер работника передается в Руководителю структурного подразделения.
-получение (сбор);
-запись;
-уточнение (обновление и изменение);
-систематизация и накопление;
-извлечение и использование;
-передача (распространение, предоставление, доступ);
-хранение;
-блокирование, удаление и уничтожение.
5.2. В подпроцессах сбора и уточнения персональных данных Работники обязаны: -контролировать своевременность получения сведений о субъектах; -контролировать полноту и достоверность полученных сведений; -обеспечить безопасное хранение полученных данных.
5.3. В подпроцессах систематизации и накопления персональных данных Работники обязаны обеспечить полноту и достоверность обрабатываемых данных.
5.4. В подпроцессах использования персональных данных Работники обязаны: -обеспечить полноту и достоверность обрабатываемых данных; -обеспечить безопасное хранение полученных данных.
5.5. Обработка персональных данных осуществляется с письменного согласия субъектов персональных данных (Приложение № 3), за исключением случаев, предусмотренных законодательством РФ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 63-ФЗ электронной подписью.
5.6. Цели, источники, способы и прочие условия, при которых осуществляется обработка персональных данных в Обществе определены в действующей редакции документа «Положение о защите и обработке персональных данных в Индивидуальный предприниматель Шонематов Искандар Тимурович.
5.7. Учет и хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. При обработке персональных данных обеспечивается конфиденциальность, т.е. созданы условия, не допускающие их распространения без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ.
5.9. Если Общество на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность этого лица соблюдать принципы и правила обработки персональных данных, предусмотренные законом. В поручении Общества должны быть определены перечень действий (операций)
-подтверждение факта обработки персональных данных Обществом;
-правовые основания и цели обработки персональных данных;
-цели и применяемые Обществом способы обработки персональных данных;
-наименование и место нахождения Общества, сведения о лицах (за исключением
работников Общества), которые имеют доступ к персональным данным или которым могут
быть раскрыты персональные данные на основании договора с Обществом или на
основании федерального закона;
-обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
-сроки обработки персональных данных, в том числе сроки их хранения;
-порядок осуществления субъектом персональных данных прав, предусмотренных
Федеральным законом № 152-ФЗ;
-информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Общества, если обработка поручена или будет
поручена такому лицу;
-иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими
федеральными законами.
6.2. Сведения, указанные в гг 6.1 настоящего Порядка, предоставляются субъекту ПДн или его представителю Обществом при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. В случае, если сведения, указанные в п. 6.1 настоящего Порядка, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект Пдн вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных в п. 6.1 настоящего Порядка, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
6.4. Субъект ПДн вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных п. 6.1 настоящего Порядка, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного п. 6.3 настоящего Порядка, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.2 настоящего Порядка, должен содержать обоснование направления повторного запроса.
6.5. Субъект ПДн имеет право:
-требовать от Общества уточнения его персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной цели
обработки, а также принимать предусмотренные законом меры по защите своих прав;
-определять представителей для защиты своих персональных данных;
-требовать от Общества уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них изменениях или исключениях из них.
-требовать от Общества прекращения обработки персональных данных, которая
осуществлялась в целях продвижения товаров, работ, услуг на рынке путем
осуществления прямых контактов с потенциальными потребителями с помощью средств
связи;
-обжаловать в уполномоченном органе по защите прав субъектов персональных данных
или в судебном порядке действия или бездействие Общества, если считает, что Общество
осуществляет обработку его персональных данных с нарушением требований
Федерального закона №152-ФЗ или иным образом нарушает его права и свободы;
-на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или)
компенсацию морального вреда в судебном порядке.
6.6. Право Субъекта ПДн на доступ к своим персональным данным в Обществе может быть ограничено в случае, если:
-доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
"01" мая 2025 г.
в Индивидуальный предприниматель Шонематов Искандар Тимурович
- ОБЩИЕ ПОЛОЖЕНИЯ
- Индивидуальный предприниматель Шонематов Искандар Тимурович (далее - Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ от 30.12.2001 № 197- ФЗ, Федеральным законом РФ от 27.07.2006 № 149-Ф «Об информации, информационных технологиях и о защите информации», Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ), Указом Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», и другими нормативными правовыми актами с целью обеспечения безопасности персональных данных, а также минимизации ущерба, который может возникнуть вследствие воздействия угроз информационной безопасности, приводящих к нарушению требуемых свойств безопасности персональных данных Индивидуальный предприниматель Шонематов Искандар Тимурович (далее – Общество, ИП Шонематов Искандар Тимурович).
1.2. Область действия. Порядок утверждения и внесения изменений:
1.2.1. Настоящее Положение распространяет свое действие на всех работников (в том числе на работников, принятых по Договору гражданско-правового характера) Общества и является обязательным к применению.
1.2.2. Настоящее Положение утверждается и вводится в действие Приказом Генерального директора Общества. Настоящее Положение может быть изменено и признано утратившим силу на основании Приказа Генерального директора Общества.
- ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДН) - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств
Конфиденциальность персональных данных - обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Несанкционированный доступ (несанкционированные действия) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных
средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Работодатель – оИндивидуальный предприниматель Шонематов Искандар Тимурович, вступившее в правовые отношения с Работником и правовые отношения с соискателем на вакантную должность.
Работник - физическое лицо, вступившее в трудовые отношения с Обществом Соискатель - физическое лицо, вступившее в правовые отношения с Обществом с целью устройства на вакантную должность в Общество.
- ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.2. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
- персональные данные работника Общества, соискателей на замещение вакантных должностей, - информация, необходимая Обществу в связи с трудовыми отношениями и касающиеся конкретного работника, соискателя на замещение вакантных должностей;
- персональные данные руководителя, участника (акционера) или сотрудника юридического лица - информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества в соответствии с требованиями федеральных законов, иных нормативных правовых актов;
- персональные данные Клиента (потенциального Клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Общества - информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации.
- ПРАВИЛА ПРЕДОСТАВЛЕНИЯ ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ
4.1.1. В отношении персональных данных субъектов вводится режим ограничения доступа. Доступ к персональным данным субъекта должны иметь только те работники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей и только в необходимом объеме.
4.1.2. Список структурных подразделений Общества и ответственных лиц, допущенных к обработке персональных данных (далее - Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается Генеральным директором Общества.
4.1.3. Доступ к персональным данным субъектов работникам Общества, не включенным в Список, может быть предоставлен в целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора Общества. Служебная записка должна содержать объем и срок предоставления доступа.
4.1.4. В случае если Общество оказывает услуги юридическим и физическим лицам на основании заключенных договоров, в силу которых им может быть предоставлен доступ к конфиденциальной информации (в т.ч. к персональным данным субъектов), то до начала работ должно быть подписано соглашение о неразглашении конфиденциальной информации между Обществом и указанными физическими или юридическими лицами, либо положения о неразглашении конфиденциальной информации должны быть включены в текст соответствующих договоров с указанными физическими и юридическими лицами, а также должна быть предусмотрена процедура предварительного письменного согласия субъекта персональных данных на передачу его персональных данных третьим лицам.
4.1.5. Процедура оформления допуска к персональным данным включает в себя:
- принятие на себя обязательств перед Обществом по нераспространению доверенных им сведений, составляющих конфиденциальную информацию (отражаются в трудовом договоре). В случае, если работнику оформляется допуск на основании служебной записки - истребование с работника письменного обязательства о соблюдении конфиденциальности персональных данных субъектов ПДн и соблюдении правил их обработки;
- ознакомление работника под подпись с настоящим Положением (Приложение № 2).
4.1.6. Доступ к персональным данным субъектов без специального разрешения (без включения в Список в соответствии с п. 4.1.2) имеют работники, занимающие в Обществе следующие должности:
Менеджер по продажам
Маркетолог
Директор
Менеджер Отдела контроля качества
4.1.7. Доступ к персональным данным субъектов других работников Общества, не имеющих надлежащим образом оформленного допуска, запрещается.
4.2. Общество и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без письменного согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ.
4.3. Лица, получившие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать Генерального директора Общества об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.
4.4. Работники Общества, участвующие в обработке персональных данных, должны быть ознакомлены под подпись с документами Общества, устанавливающими порядок обработки персональных данных субъектов ПДн, а также об их правах и обязанностях в этой области.
4.5. Лица, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных (Приложение № 1).
4.6. При увольнении работника, имеющего доступ к персональным данным субъекта ПДн,документы и иные съемные носители, содержащие указанные персональные данные, сдаются Руководителю структурного подразделения. Персональный компьютер работника передается в Руководителю структурного подразделения.
- ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
-получение (сбор);
-запись;
-уточнение (обновление и изменение);
-систематизация и накопление;
-извлечение и использование;
-передача (распространение, предоставление, доступ);
-хранение;
-блокирование, удаление и уничтожение.
5.2. В подпроцессах сбора и уточнения персональных данных Работники обязаны: -контролировать своевременность получения сведений о субъектах; -контролировать полноту и достоверность полученных сведений; -обеспечить безопасное хранение полученных данных.
5.3. В подпроцессах систематизации и накопления персональных данных Работники обязаны обеспечить полноту и достоверность обрабатываемых данных.
5.4. В подпроцессах использования персональных данных Работники обязаны: -обеспечить полноту и достоверность обрабатываемых данных; -обеспечить безопасное хранение полученных данных.
5.5. Обработка персональных данных осуществляется с письменного согласия субъектов персональных данных (Приложение № 3), за исключением случаев, предусмотренных законодательством РФ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 63-ФЗ электронной подписью.
5.6. Цели, источники, способы и прочие условия, при которых осуществляется обработка персональных данных в Обществе определены в действующей редакции документа «Положение о защите и обработке персональных данных в Индивидуальный предприниматель Шонематов Искандар Тимурович.
5.7. Учет и хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. При обработке персональных данных обеспечивается конфиденциальность, т.е. созданы условия, не допускающие их распространения без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ.
5.9. Если Общество на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность этого лица соблюдать принципы и правила обработки персональных данных, предусмотренные законом. В поручении Общества должны быть определены перечень действий (операций)
- персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом. 5.10. Работники Общества, передающие персональные данные субъектов третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Уведомление и предупреждение об ответственности за незаконное использование конфиденциальной информации, в целях контроля правомерности использования данной информации лицами, ее получившими, могут быть реализованы путем подписания акта передачи носителей ПДн, в котором приведены указанные условия.
- ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
-подтверждение факта обработки персональных данных Обществом;
-правовые основания и цели обработки персональных данных;
-цели и применяемые Обществом способы обработки персональных данных;
-наименование и место нахождения Общества, сведения о лицах (за исключением
работников Общества), которые имеют доступ к персональным данным или которым могут
быть раскрыты персональные данные на основании договора с Обществом или на
основании федерального закона;
-обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
-сроки обработки персональных данных, в том числе сроки их хранения;
-порядок осуществления субъектом персональных данных прав, предусмотренных
Федеральным законом № 152-ФЗ;
-информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Общества, если обработка поручена или будет
поручена такому лицу;
-иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими
федеральными законами.
6.2. Сведения, указанные в гг 6.1 настоящего Порядка, предоставляются субъекту ПДн или его представителю Обществом при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. В случае, если сведения, указанные в п. 6.1 настоящего Порядка, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект Пдн вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных в п. 6.1 настоящего Порядка, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
6.4. Субъект ПДн вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных п. 6.1 настоящего Порядка, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного п. 6.3 настоящего Порядка, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.2 настоящего Порядка, должен содержать обоснование направления повторного запроса.
6.5. Субъект ПДн имеет право:
-требовать от Общества уточнения его персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной цели
обработки, а также принимать предусмотренные законом меры по защите своих прав;
-определять представителей для защиты своих персональных данных;
-требовать от Общества уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них изменениях или исключениях из них.
-требовать от Общества прекращения обработки персональных данных, которая
осуществлялась в целях продвижения товаров, работ, услуг на рынке путем
осуществления прямых контактов с потенциальными потребителями с помощью средств
связи;
-обжаловать в уполномоченном органе по защите прав субъектов персональных данных
или в судебном порядке действия или бездействие Общества, если считает, что Общество
осуществляет обработку его персональных данных с нарушением требований
Федерального закона №152-ФЗ или иным образом нарушает его права и свободы;
-на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или)
компенсацию морального вреда в судебном порядке.
6.6. Право Субъекта ПДн на доступ к своим персональным данным в Обществе может быть ограничено в случае, если:
-доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
7. ВЫПОЛНЕНИЕ ПРАВ СУБЪЕКТОВ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект ПДн имеет право на получение сведений, указанных в п. 6.1 настоящего Порядка. Субъект ПДн вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Единый и обязательный порядок приема, регистрации, рассмотрения обращений и запросов субъектов ПДн (или их законных представителей), касающихся обработки их персональных данных в Обществе, принятия мер по данным обращениям и запросам.
7.3. Общество, в лице работника ответственного за взаимодействие с субъектом ПДн или его представителем безвозмездно предоставляет субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн.
7.4. Общество, в лице работника ответственного за взаимодействие с субъектом ПДн или его представителем, при получении запроса субъекта ПДн или его законного представителя на предоставление информации о наличии персональных данных о соответствующем субъекте, в течение тридцати дней с даты получения запроса, дает в письменной форме мотивированный ответ, содержащий запрашиваемые персональные данные субъекта. Запрос должен содержать фамилию, имя, отчество субъекта, номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях
7.6. Общество не удовлетворяет запросы субъекта ПДн на доступ к своим персональным данным в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
7.7. В случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных работники, ответственные за взаимодействие с субъектом ПДн или его представителем осуществляют блокировку неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
7.8. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн работники Общества, участвующие в обработке таких персональных данных осуществляют блокировку персональных данных, относящихся к этому субъекту ПДн, или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.
7.9. В случае подтверждения факта неточности персональных данных Общества в лице руководителей структурных подразделений, осуществляющих обработку персональных данных на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняют персональные данные либо обеспечивают их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, руководители структурных подразделений, обрабатывающих персональные данные в срок, не превышающий трех рабочих дней с даты этого выявления, прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества.
7.11. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в лице руководителей структурных подразделений, обрабатывающих персональные данные в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.
7.12. Об устранении допущенных нарушений или об уничтожении персональных данных ответственный за взаимодействие с субъектом ПДн или его представителем уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
7.13. В случае достижения цели обработки персональных данных руководители структурных подразделений, обрабатывающих персональные данные прекращают обработку персональных данных или обеспечивают ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), уничтожают персональные данные или обеспечивают их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152- ФЗ или другими федеральными законами.
7.14. В случае отзыва субъектом ПДн согласия на обработку его персональных данных руководители структурных подразделений, обрабатывающих персональные данные прекращают их обработку или обеспечивают прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожают персональные данные или обеспечивают их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
7.15. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пп.7.10-7.12 настоящего Положения, руководители структурных подразделений, обрабатывающих персональные данные осуществляют блокирование таких персональных данных или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивают уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.16. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, руководители структурных подразделений, обрабатывающих персональные данные обеспечивают внесение в них необходимых изменений.
7.17. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, руководители структурных подразделений, обрабатывающих персональные данные уничтожают такие персональные данные.
7.18. Общество, в лице ответственного за взаимодействие; с субъектом ПДн или его представителем уведомляют субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимают разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.2. Обеспечение безопасности персональных данных достигается, в частности:
-определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
-применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в; информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
-применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-учетом машинных носителей персональных данных;
-обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
-восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
-установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.3. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.4. Защищаемые сведения о субъекте персональных данных.
8.4.1. К защищаемым сведениям о субъекте персональных данных в Обществе относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
8.4.2. К защищаемым сведениям о субъекте персональных данных не относятся сведения:
-являющиеся общедоступными персональными данными;
-включающие в себя только фамилии, имена и отчества субъектов персональных данных.
8.5. Защищаемые объекты персональных данных.
8.5.1. К защищаемым объектам персональных данных Общества относятся:
-объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные;
-каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
-отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
8.5.2. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
-информация о настройках каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
-информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
8.6. Мероприятия по обеспечению безопасности персональных данных.
8.6.1. В конце рабочего дня помещения, в которых осуществляется обработка персональных данных, должны быть закрыты на ключ и переданы под сигнализацию сотрудниками охраны в порядке, означенном в вышеуказанном Положении.
8.6.2. Помещения, в которых осуществляется обработка персональных данных, должны быть оборудованы запираемыми шкафами для хранения источников персональных данных, средствами пожаротушения, и противопожарной сигнализацией и также должны обеспечивать отсутствие возможности несанкционированного доступа третьих лиц путем запирания либо опечатывания помещений во внерабочее время, либо на время отсутствия работников Общества в соответствующих помещениях.
8.6.3. При фиксации персональных данных на материальных носителях фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы, не допускается. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
8.6.4. Съемные/бумажные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, утративших свое практическое значение и не имеющих исторической ценности подлежат уничтожению. Уничтожение съемных/бумажных носителей с конфиденциальной информацией осуществляется уполномоченными работниками Общества. По результатам уничтожения носителей составляется акт (реестр) уничтожения информации, содержащей персональные данные.
8.6.5. Оперативный контроль за организацией работ с документами и исключение несанкционированного доступа к ним возлагается на Руководителей структурных подразделений.
8.7. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн.
8.7.1. Обеспечение безопасности информации в ИСПДн достигается посредством правовых, организационных и технических мероприятий по защите информации.
8.7.2. Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн Обществе, определяются в соответствии с актуальными для Общества угрозами информационной безопасности с учетом:
-Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-организационно-распорядительных документов Общества в области обеспечения информационной безопасности.
8.7.3. Применительно к каждой ИСПДн Общества разрабатывается в виде отдельного документа частная модель угроз на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.7.4.На основании утвержденной модели угроз ИСПДн Обществом разрабатывается организационно-техническая и эксплуатационная документация, в которой зафиксированы требования и технические меры по обеспечению защиты персональных данных, которые включают в себя подсистемы:
-антивирусной защиты:
-межсетевого экранирования;
-управления доступом;
-регистрации и учета действий работников в информационных системах;
-обеспечения целостности;
-обнаружения вторжений;
-анализа защищенности.
8.8. Выявления и предотвращение неправомерных действий с персональными данными.
8.8.1. Перечень мер и комплекс мероприятий, направленных на предотвращение неправомерного использования персональных данных работниками, включает в себя:
-выявление совершенных в процессе выполнения служебных обязанностей действий, нарушающих требования при работе с персональными данными;
-признание этих действий (бездействия) в установленном порядке недействительными предотвращение и возмещение вреда;
-привлечение виновных к ответственности.
8.8.2. К организационным мерам выявления и предотвращения неправомерных действий с персональными данными относятся:
-ознакомление под роспись, с настоящим Положением и иными документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области, всех работников Общества;
-регулярное доведение до сведения работников, участвующих в обработке персональных
данных, информации о возможных ошибках при обработке персональных данных, ответственности при их наступлении;
-регулярный контроль выполнения внутренних нормативных документов.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
9.2. В случае изменения действующего законодательства Российской Федерации, а также внутренние документы Общества, Положение действует в части, не противоречащей действующему законодательству и действующим внутренним документам Общества, до приведения его в соответствие с такими изменениями.
7.1. Субъект ПДн имеет право на получение сведений, указанных в п. 6.1 настоящего Порядка. Субъект ПДн вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Единый и обязательный порядок приема, регистрации, рассмотрения обращений и запросов субъектов ПДн (или их законных представителей), касающихся обработки их персональных данных в Обществе, принятия мер по данным обращениям и запросам.
7.3. Общество, в лице работника ответственного за взаимодействие с субъектом ПДн или его представителем безвозмездно предоставляет субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн.
7.4. Общество, в лице работника ответственного за взаимодействие с субъектом ПДн или его представителем, при получении запроса субъекта ПДн или его законного представителя на предоставление информации о наличии персональных данных о соответствующем субъекте, в течение тридцати дней с даты получения запроса, дает в письменной форме мотивированный ответ, содержащий запрашиваемые персональные данные субъекта. Запрос должен содержать фамилию, имя, отчество субъекта, номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях
- оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии Федеральным законом № 63-ФЗ.
7.6. Общество не удовлетворяет запросы субъекта ПДн на доступ к своим персональным данным в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
7.7. В случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных работники, ответственные за взаимодействие с субъектом ПДн или его представителем осуществляют блокировку неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
7.8. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн работники Общества, участвующие в обработке таких персональных данных осуществляют блокировку персональных данных, относящихся к этому субъекту ПДн, или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.
7.9. В случае подтверждения факта неточности персональных данных Общества в лице руководителей структурных подразделений, осуществляющих обработку персональных данных на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняют персональные данные либо обеспечивают их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, руководители структурных подразделений, обрабатывающих персональные данные в срок, не превышающий трех рабочих дней с даты этого выявления, прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества.
7.11. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в лице руководителей структурных подразделений, обрабатывающих персональные данные в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.
7.12. Об устранении допущенных нарушений или об уничтожении персональных данных ответственный за взаимодействие с субъектом ПДн или его представителем уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
7.13. В случае достижения цели обработки персональных данных руководители структурных подразделений, обрабатывающих персональные данные прекращают обработку персональных данных или обеспечивают ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), уничтожают персональные данные или обеспечивают их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152- ФЗ или другими федеральными законами.
7.14. В случае отзыва субъектом ПДн согласия на обработку его персональных данных руководители структурных подразделений, обрабатывающих персональные данные прекращают их обработку или обеспечивают прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожают персональные данные или обеспечивают их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
7.15. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пп.7.10-7.12 настоящего Положения, руководители структурных подразделений, обрабатывающих персональные данные осуществляют блокирование таких персональных данных или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивают уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.16. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, руководители структурных подразделений, обрабатывающих персональные данные обеспечивают внесение в них необходимых изменений.
7.17. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, руководители структурных подразделений, обрабатывающих персональные данные уничтожают такие персональные данные.
7.18. Общество, в лице ответственного за взаимодействие; с субъектом ПДн или его представителем уведомляют субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимают разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
- СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.2. Обеспечение безопасности персональных данных достигается, в частности:
-определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
-применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в; информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
-применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-учетом машинных носителей персональных данных;
-обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
-восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
-установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.3. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.4. Защищаемые сведения о субъекте персональных данных.
8.4.1. К защищаемым сведениям о субъекте персональных данных в Обществе относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
8.4.2. К защищаемым сведениям о субъекте персональных данных не относятся сведения:
-являющиеся общедоступными персональными данными;
-включающие в себя только фамилии, имена и отчества субъектов персональных данных.
8.5. Защищаемые объекты персональных данных.
8.5.1. К защищаемым объектам персональных данных Общества относятся:
-объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные;
-каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
-отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
8.5.2. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
-информация о настройках каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
-информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
8.6. Мероприятия по обеспечению безопасности персональных данных.
8.6.1. В конце рабочего дня помещения, в которых осуществляется обработка персональных данных, должны быть закрыты на ключ и переданы под сигнализацию сотрудниками охраны в порядке, означенном в вышеуказанном Положении.
8.6.2. Помещения, в которых осуществляется обработка персональных данных, должны быть оборудованы запираемыми шкафами для хранения источников персональных данных, средствами пожаротушения, и противопожарной сигнализацией и также должны обеспечивать отсутствие возможности несанкционированного доступа третьих лиц путем запирания либо опечатывания помещений во внерабочее время, либо на время отсутствия работников Общества в соответствующих помещениях.
8.6.3. При фиксации персональных данных на материальных носителях фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы, не допускается. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
8.6.4. Съемные/бумажные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, утративших свое практическое значение и не имеющих исторической ценности подлежат уничтожению. Уничтожение съемных/бумажных носителей с конфиденциальной информацией осуществляется уполномоченными работниками Общества. По результатам уничтожения носителей составляется акт (реестр) уничтожения информации, содержащей персональные данные.
8.6.5. Оперативный контроль за организацией работ с документами и исключение несанкционированного доступа к ним возлагается на Руководителей структурных подразделений.
8.7. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн.
8.7.1. Обеспечение безопасности информации в ИСПДн достигается посредством правовых, организационных и технических мероприятий по защите информации.
8.7.2. Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн Обществе, определяются в соответствии с актуальными для Общества угрозами информационной безопасности с учетом:
-Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-организационно-распорядительных документов Общества в области обеспечения информационной безопасности.
8.7.3. Применительно к каждой ИСПДн Общества разрабатывается в виде отдельного документа частная модель угроз на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.7.4.На основании утвержденной модели угроз ИСПДн Обществом разрабатывается организационно-техническая и эксплуатационная документация, в которой зафиксированы требования и технические меры по обеспечению защиты персональных данных, которые включают в себя подсистемы:
-антивирусной защиты:
-межсетевого экранирования;
-управления доступом;
-регистрации и учета действий работников в информационных системах;
-обеспечения целостности;
-обнаружения вторжений;
-анализа защищенности.
8.8. Выявления и предотвращение неправомерных действий с персональными данными.
8.8.1. Перечень мер и комплекс мероприятий, направленных на предотвращение неправомерного использования персональных данных работниками, включает в себя:
-выявление совершенных в процессе выполнения служебных обязанностей действий, нарушающих требования при работе с персональными данными;
-признание этих действий (бездействия) в установленном порядке недействительными предотвращение и возмещение вреда;
-привлечение виновных к ответственности.
8.8.2. К организационным мерам выявления и предотвращения неправомерных действий с персональными данными относятся:
-ознакомление под роспись, с настоящим Положением и иными документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области, всех работников Общества;
-регулярное доведение до сведения работников, участвующих в обработке персональных
данных, информации о возможных ошибках при обработке персональных данных, ответственности при их наступлении;
-регулярный контроль выполнения внутренних нормативных документов.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
9.2. В случае изменения действующего законодательства Российской Федерации, а также внутренние документы Общества, Положение действует в части, не противоречащей действующему законодательству и действующим внутренним документам Общества, до приведения его в соответствие с такими изменениями.
