Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью
«ИМПАРА»
«ИМПАРА»
I. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных
(далее — Политика) в Обществе с ограниченной ответственностью
«ИМПАРА» (далее – Общество) разработана в соответствии с:
− Федеральный закон от 27.07.2006г. No 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
− Федеральный закон от 27.07.2006 No 152-ФЗ «О
персональных данных»;
− Федеральный закон от 18.07.2006 No109-ФЗ «О миграционном учете
иностранных граждан и лиц без гражданства в РФ»; − Трудовой кодекс РФ,
No197-ФЗ от 30.12.2001,
− Постановление Правительства РФ от 15.09.2008 No 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
− Постановление Правительства РФ от 01.11.2012 No 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
− Иными нормативными правовыми актами Российской Федерации
− Нормативно-распорядительными документами Общества. 1.2.
Цель разработки Политики — определение порядка обработки
персональных данных (далее - ПДн) в Обществе, описание реализуемых
требований к защите персональных данных и предоставления персональных
данных третьей стороне.
1.3. Настоящая Политика вступает в силу с момента его утверждения и
действует до момента окончания обработки ПДн.
1.4. Все изменения в Политики вносятся приказом Генерального
директора Общества.
1.5. Режим конфиденциальности персональных данных снимается
только в случаях их обезличивания.
1.6. Политика касается всех ПДн, обрабатываемых в Обществе, вне
зависимости от их принадлежности, основания обработки, метода обработки
или лица, осуществляющего обработку.
1.7. Общество обеспечивает опубликование Политики или иным
образом осуществляет неограниченный доступ к Политике.
II. Термины и определения.
2.1. Персональные данные (далее ПДн) – любая информация,
относящаяся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – государственный
орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными
данными.
2.3. Обработка персональных данных – любое действие (операция)
или совокупность действий (операций) с персональными данными,
совершаемых с использованием средств автоматизации или без их
использования. Обработка персональных данных включает в себя, в том
числе сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных –
обработка персональных данных с помощью средств вычислительной
техники.
2.5. Распространение персональных данных – действия,
направленные на раскрытие персональных данных неопределенному кругу
лиц.
2.6. Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному
кругу лиц.
2.7. Блокирование персональных данных – временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате
которых становится невозможным восстановить содержание персональных
данных в информационной системе персональных данных и (или) в
результате которых уничтожаются материальные носители персональных
данных.
2.9. Обезличивание персональных данных – действия, в результате
которых становится невозможным без использования дополнительной
информации определить принадлежность персональных данных
конкретному субъекту персональных данных.
2.10. Информационная система персональных данных –
совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических
средств.
2.11. Трансграничная передача персональных данных – передача
персональных данных на территорию иностранного государства органу
власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
III. Принципы обработки персональных данных
3.1. Обработка персональных данных должна осуществляться на
законной и справедливой основе.
3.2. Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных целей. 3.3. Не
допускается обработка персональных данных, несовместимая с целями
сбора персональных данных.
3.4. Не допускается объединение баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, несовместимых между
собой.
3.5. Обработке подлежат только персональные данные, которые
отвечают целям их обработки.
3.6. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки. Обрабатываемые
персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки.
3.7. При обработке персональных данных должны быть обеспечены
точность персональных данных, их достаточность, а в необходимых случаях
и актуальность по отношению к целям обработки персональных данных.
Общество принимает необходимые меры либо обеспечивать их принятие по
удалению или уточнению неполных или неточных данных.
3.8. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем
этого требуют цели обработки персональных данных, если срок хранения
персональных данных не установлен федеральным законом, договором,
стороной которого, выгодоприобретателем или поручителем, по которому
является субъект персональных данных.
3.9. Обрабатываемые персональные данные подлежат уничтожению,
либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.
IV. Конфиденциальность персональных данных
4.1. Общество в целом и лица, получившие доступ к персональным
данным, обязаны не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если
иное не предусмотрено федеральным законом.
V. Правовые основания обработки персональных данных
5.1. Правовые основания обработки персональных данных: −
Федеральные законы и принятые на их основе нормативные правовые акты;
− Уставные документы общества;
− Договоры, заключаемые между Обществом и контрагентами; −
Договоры, заключаемые между Обществом и субъектом персональных
данных, в т.ч. трудовые договоры.
VI. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки.
6.2. Обрабатываемые персональные данные не должны быть избыточными
по отношению к заявленным целям их обработки. 6.3. Категории
субъектов персональных данных, обрабатываемых Обществом:
− Физические лица, состоящие в договорных отношениях (клиенты);
− Физические лица, намеревающиеся заключить договор (потенциальные
клиенты);
− Работники Общества.
6.4. В отношении физических лиц, состоящих в договорных отношениях
или намеревающихся их заключить, обрабатываются следующие ПДн:
фамилия, имя, отчество, дата рождения, место рождения, адрес, данные
паспорта: серия, номер, дата выдачи, кем выдан, дата окончания действия,
данные свидетельства о рождении: серия, номер, кем и когда выдано, город
выдачи, телефон, адрес электронной почты.
6.5. В отношении лиц, состоящих в трудовых отношениях с Обществом,
обрабатываются следующие ПДн: фамилия, имя, отчество, дата рождения,
место рождения, адрес, семейное положение, социальное положение,
имущественное положение, образование, профессия, доходы, состояние
здоровья, ИНН, номер страхового и пенсионного свидетельств,
свидетельство о рождении детей, полис ОМС, личная медицинская книжка,
сертификат о прививках, реквизиты банковского счёта.
6.6. Запрещается обрабатывать персональные данные субъектов, не
находящимися в трудовых отношениях с Обществом, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных или
философских убеждений (специальные категории ПДн).
6.7. Запрещается обрабатывать сведения, которые характеризуют
физиологические и биологические особенности человека, на основании
которых можно установить его личность (биометрические персональные
данные) и которые используются для установления личности субъекта
персональных данных.
VII. Порядок обработки персональных данных
7.1. Обработка персональных данных включает в себя следующие
действия: сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение персональных данных.
7.2. Сбор, запись, систематизация, накопление и уточнение
(обновление, изменение) персональных данных осуществляется путем:
− получения оригиналов необходимых документов;
− копирования оригиналов документов;
− внесения сведений в учетные формы (на бумажных и электронных
носителях);
− формирования персональных данных в ходе работы;
− внесения персональных данных в информационные
системы Общества.
7.3. Персональные данные в Обществе обрабатываются как с помощью
средств автоматизации, так и без использования таких средств и могут быть
представлены как на бумажных, так и на электронных носителях.
7.4. Информационные системы, в которых осуществляется обработка
персональных данных, в обязательном порядке находятся на территории
Российской Федерации.
7.5. Сбор, запись, систематизация, накопление и уточнение (обновление,
изменение) персональных данных осуществляется путем получения
персональных данных непосредственно от субъектов и из других источников.
7.6. В случае возникновения необходимости получения персональных
данных субъекта, у третьей стороны, следует известить об этом субъекта
заранее, получить его письменное согласие и сообщить ему о целях,
предполагаемых источниках и способах получения персональных данных.
7.7. Передача (распространение, предоставление) и использование
персональных данных субъектов осуществляется лишь в случаях и в порядке,
предусмотренных федеральными законами.
7.8. Перед осуществлением распространения ПДн необходимо оформить
согласие на такое распространение в форме, предусмотренной
законодательством Российской Федерации.
7.9. Согласие на обработку персональных данных, разрешенных
субъектом ПДн для распространения, оформляется отдельно от иных
согласий субъекта персональных данных на обработку его ПДн.
7.10. В таком согласии должна быть предусмотрена возможность
определить перечень персональных данных по каждой категории
персональных данных, указанной в согласии на обработку персональных
данных, разрешенных субъектом персональных данных для
распространения.
7.11. Лица, осуществляющие обработку, должны быть ознакомлены под
подпись с нормативными документами, устанавливающими порядок
обработки и защиты персональных данных, а также права и обязанности,
возникающие при осуществлении обработки и защиты персональных
данных.
7.12. Хранение персональных данных осуществляется в форме,
позволяющей определить субъекта персональных данных не дольше, чем
этого требуют цели обработки персональных данных, кроме случаев, когда
срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем, по
которому является субъект персональных данных.
7.13. Обработка ПДн может быть прекращена в следующих случаях:
− При достижении целей обработки ПДн;
− По требованию субъекта персональных данных обработку; − В случае
отзыва субъектом персональных данных согласия на обработку его
персональных данных;
− В случае выявления неправомерной обработки персональных данных.
VIII. Обязанности Общества при обращении к нему субъекта ПДн, либо
при получении запроса субъекта ПДн или его представителя, а также
уполномоченного органа по защите прав субъектов персональных
данных
8.1. Общество обязано сообщить в порядке, предусмотренном
законодательством РФ, субъекту персональных данных или его
представителю информацию о наличии персональных данных, относящихся
к соответствующему субъекту персональных данных, а также предоставить
возможность ознакомления с этими персональными данными при обращении
субъекта персональных данных или его представителя либо в течение десяти
рабочих дней с даты получения запроса субъекта персональных данных или
его представителя.
8.2. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации.
8.3. В случае отказа в предоставлении информации о наличии
персональных данных о соответствующем субъекте персональных данных
или персональных данных субъекту персональных данных или его
представителю при их обращении либо при получении запроса субъекта
персональных данных или его представителя Общество обязано дать в
письменной форме мотивированный ответ.
8.4. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации. 8.5.
Общество обязано предоставить безвозмездно субъекту персональных
данных или его представителю возможность ознакомления с
персональными данными, относящимися к этому субъекту персональных
данных.
8.6. В срок, не превышающий семи рабочих дней со дня предоставления
субъектом персональных данных или его представителем сведений,
подтверждающих, что персональные данные являются неполными,
неточными или неактуальными, Общество обязано внести в них
необходимые изменения.
8.7. В срок, не превышающий семи рабочих дней со дня представления
субъектом персональных данных или его представителем сведений,
подтверждающих, что такие персональные данные являются незаконно
полученными или не являются необходимыми для заявленной цели
обработки, Общество обязано уничтожить такие персональные данные.
Общество обязано уведомить субъекта персональных данных или его
представителя о внесенных изменениях и предпринятых мерах и принять
разумные меры для уведомления третьих лиц, которым персональные данные
этого субъекта были переданы.
8.8. Общество обязано сообщить в уполномоченный орган по защите
прав субъектов персональных данных по запросу этого органа необходимую
информацию в течение десяти рабочих дней с даты получения такого
запроса.
8.9. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес уполномоченного
органа по защите прав субъектов персональных данных мотивированного
уведомления с указанием причин продления срока предоставления
запрашиваемой информации.
IX. Обязанности Общества по устранению нарушений
законодательства, допущенных при обработке персональных данных,
по уточнению, блокированию и уничтожению персональных данных
9.1. В случае выявления неправомерной обработки ПДн, при обращении
субъекта персональных данных или его представителя либо по запросу
субъекта персональных данных или его представителя либо
уполномоченного органа по защите прав субъектов персональных данных,
Общество обязано осуществить блокирование неправомерно
обрабатываемых персональных данных, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) с момента такого обращения или получения
указанного запроса на период проверки.
9.2. В случае выявления неточных персональных данных, при
обращении субъекта персональных данных или его представителя либо по их
запросу или по запросу уполномоченного органа по защите прав субъектов
персональных данных, Общество обязано осуществить блокирование
персональных данных, относящихся к этому субъекту персональных данных,
или обеспечить их блокирование (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Общества) с
момента такого обращения или получения указанного запроса на период
проверки, если блокирование персональных данных не нарушает права и
законные интересы субъекта персональных данных или третьих лиц.
9.3. В случае подтверждения факта неточности персональных данных
Общество на основании сведений, представленных субъектом персональных
данных или его представителем либо уполномоченным органом по защите
прав субъектов персональных данных, или иных необходимых документов
обязано уточнить персональные данные либо обеспечить их уточнение (если
обработка персональных данных осуществляется другим лицом,
действующим по поручению Общества) в течение семи рабочих дней со дня
представления таких сведений и снять блокирование персональных данных.
9.4. В случае выявления неправомерной обработки персональных
данных, осуществляемой Обществом или лицом, действующим по
поручению Общества, Общество в срок, не превышающий трех рабочих дней
с даты этого выявления, обязано прекратить неправомерную обработку
персональных данных или обеспечить прекращение неправомерной
обработки персональных данных лицом, действующим по поручению
Общества.
9.5. В случае, если обеспечить правомерность обработки персональных
данных невозможно, Общество в срок, не превышающий десяти рабочих
дней с даты выявления неправомерной обработки персональных данных,
обязано уничтожить такие персональные данные или обеспечить их
уничтожение.
9.6. Об устранении допущенных нарушений или об уничтожении
персональных данных Общество обязано уведомить субъекта персональных
данных или его представителя, а в случае, если обращение субъекта
персональных данных или его представителя либо запрос уполномоченного
органа по защите прав субъектов персональных данных были направлены
уполномоченным органом по защите прав субъектов персональных данных,
также указанный орган.
9.7. В случае установления факта неправомерной или случайной
передачи (предоставления, распространения, доступа) персональных данных,
повлекшей нарушение прав субъектов персональных данных, Общество
обязано с момента выявления такого инцидента Обществом,
уполномоченным органом по защите прав субъектов персональных данных
или иным заинтересованным лицом уведомить уполномоченный орган по
защите прав субъектов персональных данных:
9.7.1. В течение двадцати четырех часов о произошедшем инциденте, о
предполагаемых причинах, повлекших нарушение прав субъектов
персональных данных, и предполагаемом вреде, нанесенном правам
субъектов персональных данных, о принятых мерах по устранению
последствий соответствующего инцидента, а также предоставить сведения о
лице, уполномоченном Обществом на взаимодействие с уполномоченным
органом по защите прав субъектов персональных данных, по вопросам,
связанным с выявленным инцидентом;
9.7.2. В течение семидесяти двух часов о результатах внутреннего
расследования выявленного инцидента, а также предоставить сведения о
лицах, действия которых стали причиной выявленного инцидента (при
наличии).
9.8. В случае достижения цели обработки персональных данных
Общество обязано прекратить обработку персональных данных или
обеспечить ее прекращение (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Общества) и
уничтожить персональные данные или обеспечить их уничтожение (если
обработка персональных данных осуществляется другим лицом,
действующим по поручению Общества) в срок, не превышающий тридцати
дней с даты достижения цели обработки персональных данных, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных, иным
соглашением между Обществом и субъектом персональных данных либо
если Общество не вправе осуществлять обработку персональных данных без
согласия субъекта персональных данных на основаниях, предусмотренных
законодательством РФ.
9.9. В случае отзыва субъектом персональных данных согласия на
обработку его персональных данных Общество обязано прекратить их
обработку или обеспечить прекращение такой обработки (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) и в случае, если сохранение персональных данных
более не требуется для целей обработки персональных данных, уничтожить
персональные данные или обеспечить их уничтожение (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) в срок, не превышающий тридцати дней с даты
поступления указанного отзыва, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных, иным соглашением между
Обществом и субъектом персональных данных либо если Общество не
вправе осуществлять обработку персональных данных без согласия субъекта
персональных данных на основаниях, предусмотренных законодательством
РФ.
9.10. В случае обращения субъекта персональных данных к Обществу с
требованием о прекращении обработки персональных данных Общество
обязано в срок, не превышающий десяти рабочих дней с даты получения
Обществом соответствующего требования, прекратить их обработку или
обеспечить прекращение такой обработки (если такая обработка
осуществляется лицом, осуществляющим обработку персональных данных),
за исключением случаев, предусмотренных законодательством РФ.
9.11. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации.
9.12. В случае отсутствия возможности уничтожения персональных
данных в течение срока, предусмотренного законодательством РФ, Общество
осуществляет блокирование таких персональных данных или обеспечивает
их блокирование (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Общества) и обеспечивает
уничтожение персональных данных в срок не более чем шесть месяцев, если
иной срок не установлен федеральными законами.
X. Предоставление персональных данных третьей стороне.
10.1. Общество передает ПДн третьим лицам в следующих случаях:
− Субъект выразил свое согласие на такие действия;
− Передача предусмотрена российским или иным применимым
законодательством, в рамках установленной законодательством процедуры.
10.2. Передача ПДн возможна только при наличии юридически
обоснованных оснований. Такими основаниями могут быть договор,
соглашение или регламент, подписанный сторонами и содержащий
положения о нераспространении и защите передаваемых ПДн. 10.3.
Передача данных осуществляется с соблюдением всех требований по
защите конфиденциальной информации.
10.4. Третьи лица, которым передаются ПДн в соответствии с
законодательством Российской Федерации:
− Пенсионный фонд РФ;
− Налоговые органы РФ;
− Фонд социального страхования;
− Территориальный фонд обязательного медицинского страхования;
− Страховые медицинские организации по обязательному и
добровольному медицинскому страхованию;
− Органы воинского учета;
− Министерство внутренних дел РФ;
− Банки для начисления заработной платы (на основании договора); −
Управление делами Президента Российской Федерации (при наличии
согласия субъекта);
− Прокуратура, иные контролирующие и проверяющие органы;
− Судебные и правоохранительные органы;
− Бюро кредитных историй, кредитные организации (при
наличии согласия субъекта).
XI. Доступ к ПДн
11.1. Доступ к ПДн предоставляется путем доступа к прикладным
программным подсистемам в соответствии с функциями, предусмотренными
должностными регламентами или инструкциями.
11.2. Доступ к ПДн осуществляется на основании разрешительной
системы доступа для каждого информационного ресурса Общества. 11.3.
Доступ к ПДн предусматривает обязательное прохождение процедуры
идентификации и аутентификации, как пользователя информационной
системы.
11.4. Изменение прав доступа, в том числе предоставление
дополнительных прав, осуществляется только при наличии необходимости,
например, новых обязанностей и функций.
11.5. При прекращении исполнения обязанностей, связанных с
обработкой ПДн доступ должен быть немедленно запрещен, все имеющиеся
на рабочем месте данные изъяты, исключена возможность работы с
документами.
XII. Защита персональных данных
12.1. В соответствии с требованиями федеральных законов и
нормативных документов Обществом создана система защиты персональных
данных.
12.2. В рамках системы защиты персональных данных реализованы
следующие мероприятия:
12.2.1. Назначен ответственный за организацию обработки
персональных данных в Обществе;
12.2.2. Утверждены и введены в действие документы:
− Настоящая Политика, определяющая политику Общества в
отношении обработки персональных данных;
− Локальные нормативные акты по вопросам обработки персональных
данных, определяющие для каждой цели обработки персональных данных
категории и перечень обрабатываемых персональных данных, категории
субъектов, персональные данные которых обрабатываются, способы, сроки
их обработки и хранения, порядок уничтожения персональных данных при
достижении целей их обработки или при наступлении иных законных
оснований;
− Регламенты, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской
Федерации, устранение последствий таких нарушений.
12.2.3. Применены организационные и технические мер по
обеспечению безопасности персональных данных в соответствии со
статьей 19 Федерального закона от 27.07.2006 No152-ФЗ «О персональных
данных».
12.2.4. Постоянно осуществляется внутренний контроля соответствия
обработки персональных данных Федеральному закону от 27.07.2006 No152-
ФЗ «О персональных данных» и принятым в соответствии с ним
нормативным правовым актам Общества, требованиям к защите
персональных данных, политике Общества в отношении обработки
персональных данных, локальным актам Общества.
12.2.5. Проведена оценка вреда, который может быть причинен
субъектам персональных данных в случае нарушения Федерального закона
от 27.07.2006 No152-ФЗ «О персональных данных», соотношение указанного
вреда и принимаемых Обществом мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом от
27.07.2006 No152-ФЗ «О персональных данных».
12.2.6. Проведено ознакомление лиц, непосредственно
осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации о персональных данных, в том
числе требованиями к защите персональных данных, документами,
определяющими политику в отношении обработки персональных данных,
локальными актами по вопросам обработки персональных данных.
12.2.7. Определены угрозы безопасности персональных данных при их
обработке в информационных системах персональных данных. 12.2.8.
Применены организационные и технических меры по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, необходимых для выполнения требований
к защите персональных данных, исполнение которых обеспечивает
установленные Правительством Российской Федерации уровни
защищенности персональных данных.
12.2.9. Используются средства защиты информации, прошедшие
процедуру оценки соответствия требованиям законодательства Российской
Федерации в области обеспечения безопасности информации.
12.2.10. Проведена оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в эксплуатацию
информационной системы персональных данных.
12.2.11. Осуществляется учет машинных носителей персональных
данных.
12.2.12. Осуществляется обнаружение фактов несанкционированного
доступа к персональным данным и принятие мер, в том числе мер по
обнаружению, предупреждению и ликвидации последствий компьютерных
атак на информационные системы персональных данных и по реагированию
на компьютерные инциденты в них.
12.2.13. Обеспечено восстановление персональных данных,
модифицированных или уничтоженных вследствие несанкционированного
доступа к ним.
12.2.14. Проведено установление правил доступа к персональным
данным, обрабатываемым в информационной системе персональных данных,
а также обеспечением регистрации и учета всех действий, совершаемых с
персональными данными в информационной системе персональных данных.
12.2.15. Осуществляется контроль за принимаемыми мерами по
обеспечению безопасности персональных данных и уровня защищенности
информационных систем персональных данных.
12.2.16. Уничтожение ПД на бумажных носителях производится путем
разрезания по истечении 3 (трех) лет.
12.2.17. Организован режим обеспечения безопасности помещений, в
которых размещена информационная система, препятствующего
возможности неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения.
12.3. Также в Обществе приняты другие организационные, правовые и
технические меры по обеспечению безопасности обработки персональных
данных.
12.4. Обществом постоянно ведется работа по совершенствованию
системы защиты конфиденциальной информации, в т.ч. персональных
данных.
XIII. Ответственность.
13.1. Ответственность за обновление Политики несет ответственный за
организацию обработки персональных данных в Обществе. 13.2. За
нарушение требований данной Политики лица, осуществляющие обработку
ПДн в интересах Общества, несут дисциплинарную ответственность.
13.3. За нарушение требований данной Политики, повлекшее
разглашение ПДн или другой ущерб субъектам персональных данных или
Обществу, лица, осуществляющие обработку ПДн в интересах Общества,
несут ответственность в пределах, установленных действующим
гражданским, административным и уголовным законодательством
Российской Федерации.
1.1. Настоящая Политика в отношении обработки персональных данных
(далее — Политика) в Обществе с ограниченной ответственностью
«ИМПАРА» (далее – Общество) разработана в соответствии с:
− Федеральный закон от 27.07.2006г. No 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
− Федеральный закон от 27.07.2006 No 152-ФЗ «О
персональных данных»;
− Федеральный закон от 18.07.2006 No109-ФЗ «О миграционном учете
иностранных граждан и лиц без гражданства в РФ»; − Трудовой кодекс РФ,
No197-ФЗ от 30.12.2001,
− Постановление Правительства РФ от 15.09.2008 No 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
− Постановление Правительства РФ от 01.11.2012 No 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
− Иными нормативными правовыми актами Российской Федерации
− Нормативно-распорядительными документами Общества. 1.2.
Цель разработки Политики — определение порядка обработки
персональных данных (далее - ПДн) в Обществе, описание реализуемых
требований к защите персональных данных и предоставления персональных
данных третьей стороне.
1.3. Настоящая Политика вступает в силу с момента его утверждения и
действует до момента окончания обработки ПДн.
1.4. Все изменения в Политики вносятся приказом Генерального
директора Общества.
1.5. Режим конфиденциальности персональных данных снимается
только в случаях их обезличивания.
1.6. Политика касается всех ПДн, обрабатываемых в Обществе, вне
зависимости от их принадлежности, основания обработки, метода обработки
или лица, осуществляющего обработку.
1.7. Общество обеспечивает опубликование Политики или иным
образом осуществляет неограниченный доступ к Политике.
II. Термины и определения.
2.1. Персональные данные (далее ПДн) – любая информация,
относящаяся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – государственный
орган, муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными
данными.
2.3. Обработка персональных данных – любое действие (операция)
или совокупность действий (операций) с персональными данными,
совершаемых с использованием средств автоматизации или без их
использования. Обработка персональных данных включает в себя, в том
числе сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных –
обработка персональных данных с помощью средств вычислительной
техники.
2.5. Распространение персональных данных – действия,
направленные на раскрытие персональных данных неопределенному кругу
лиц.
2.6. Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному
кругу лиц.
2.7. Блокирование персональных данных – временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате
которых становится невозможным восстановить содержание персональных
данных в информационной системе персональных данных и (или) в
результате которых уничтожаются материальные носители персональных
данных.
2.9. Обезличивание персональных данных – действия, в результате
которых становится невозможным без использования дополнительной
информации определить принадлежность персональных данных
конкретному субъекту персональных данных.
2.10. Информационная система персональных данных –
совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических
средств.
2.11. Трансграничная передача персональных данных – передача
персональных данных на территорию иностранного государства органу
власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
III. Принципы обработки персональных данных
3.1. Обработка персональных данных должна осуществляться на
законной и справедливой основе.
3.2. Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных целей. 3.3. Не
допускается обработка персональных данных, несовместимая с целями
сбора персональных данных.
3.4. Не допускается объединение баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, несовместимых между
собой.
3.5. Обработке подлежат только персональные данные, которые
отвечают целям их обработки.
3.6. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки. Обрабатываемые
персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки.
3.7. При обработке персональных данных должны быть обеспечены
точность персональных данных, их достаточность, а в необходимых случаях
и актуальность по отношению к целям обработки персональных данных.
Общество принимает необходимые меры либо обеспечивать их принятие по
удалению или уточнению неполных или неточных данных.
3.8. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем
этого требуют цели обработки персональных данных, если срок хранения
персональных данных не установлен федеральным законом, договором,
стороной которого, выгодоприобретателем или поручителем, по которому
является субъект персональных данных.
3.9. Обрабатываемые персональные данные подлежат уничтожению,
либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.
IV. Конфиденциальность персональных данных
4.1. Общество в целом и лица, получившие доступ к персональным
данным, обязаны не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если
иное не предусмотрено федеральным законом.
V. Правовые основания обработки персональных данных
5.1. Правовые основания обработки персональных данных: −
Федеральные законы и принятые на их основе нормативные правовые акты;
− Уставные документы общества;
− Договоры, заключаемые между Обществом и контрагентами; −
Договоры, заключаемые между Обществом и субъектом персональных
данных, в т.ч. трудовые договоры.
VI. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки.
6.2. Обрабатываемые персональные данные не должны быть избыточными
по отношению к заявленным целям их обработки. 6.3. Категории
субъектов персональных данных, обрабатываемых Обществом:
− Физические лица, состоящие в договорных отношениях (клиенты);
− Физические лица, намеревающиеся заключить договор (потенциальные
клиенты);
− Работники Общества.
6.4. В отношении физических лиц, состоящих в договорных отношениях
или намеревающихся их заключить, обрабатываются следующие ПДн:
фамилия, имя, отчество, дата рождения, место рождения, адрес, данные
паспорта: серия, номер, дата выдачи, кем выдан, дата окончания действия,
данные свидетельства о рождении: серия, номер, кем и когда выдано, город
выдачи, телефон, адрес электронной почты.
6.5. В отношении лиц, состоящих в трудовых отношениях с Обществом,
обрабатываются следующие ПДн: фамилия, имя, отчество, дата рождения,
место рождения, адрес, семейное положение, социальное положение,
имущественное положение, образование, профессия, доходы, состояние
здоровья, ИНН, номер страхового и пенсионного свидетельств,
свидетельство о рождении детей, полис ОМС, личная медицинская книжка,
сертификат о прививках, реквизиты банковского счёта.
6.6. Запрещается обрабатывать персональные данные субъектов, не
находящимися в трудовых отношениях с Обществом, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных или
философских убеждений (специальные категории ПДн).
6.7. Запрещается обрабатывать сведения, которые характеризуют
физиологические и биологические особенности человека, на основании
которых можно установить его личность (биометрические персональные
данные) и которые используются для установления личности субъекта
персональных данных.
VII. Порядок обработки персональных данных
7.1. Обработка персональных данных включает в себя следующие
действия: сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение персональных данных.
7.2. Сбор, запись, систематизация, накопление и уточнение
(обновление, изменение) персональных данных осуществляется путем:
− получения оригиналов необходимых документов;
− копирования оригиналов документов;
− внесения сведений в учетные формы (на бумажных и электронных
носителях);
− формирования персональных данных в ходе работы;
− внесения персональных данных в информационные
системы Общества.
7.3. Персональные данные в Обществе обрабатываются как с помощью
средств автоматизации, так и без использования таких средств и могут быть
представлены как на бумажных, так и на электронных носителях.
7.4. Информационные системы, в которых осуществляется обработка
персональных данных, в обязательном порядке находятся на территории
Российской Федерации.
7.5. Сбор, запись, систематизация, накопление и уточнение (обновление,
изменение) персональных данных осуществляется путем получения
персональных данных непосредственно от субъектов и из других источников.
7.6. В случае возникновения необходимости получения персональных
данных субъекта, у третьей стороны, следует известить об этом субъекта
заранее, получить его письменное согласие и сообщить ему о целях,
предполагаемых источниках и способах получения персональных данных.
7.7. Передача (распространение, предоставление) и использование
персональных данных субъектов осуществляется лишь в случаях и в порядке,
предусмотренных федеральными законами.
7.8. Перед осуществлением распространения ПДн необходимо оформить
согласие на такое распространение в форме, предусмотренной
законодательством Российской Федерации.
7.9. Согласие на обработку персональных данных, разрешенных
субъектом ПДн для распространения, оформляется отдельно от иных
согласий субъекта персональных данных на обработку его ПДн.
7.10. В таком согласии должна быть предусмотрена возможность
определить перечень персональных данных по каждой категории
персональных данных, указанной в согласии на обработку персональных
данных, разрешенных субъектом персональных данных для
распространения.
7.11. Лица, осуществляющие обработку, должны быть ознакомлены под
подпись с нормативными документами, устанавливающими порядок
обработки и защиты персональных данных, а также права и обязанности,
возникающие при осуществлении обработки и защиты персональных
данных.
7.12. Хранение персональных данных осуществляется в форме,
позволяющей определить субъекта персональных данных не дольше, чем
этого требуют цели обработки персональных данных, кроме случаев, когда
срок хранения персональных данных не установлен федеральным законом,
договором, стороной которого, выгодоприобретателем или поручителем, по
которому является субъект персональных данных.
7.13. Обработка ПДн может быть прекращена в следующих случаях:
− При достижении целей обработки ПДн;
− По требованию субъекта персональных данных обработку; − В случае
отзыва субъектом персональных данных согласия на обработку его
персональных данных;
− В случае выявления неправомерной обработки персональных данных.
VIII. Обязанности Общества при обращении к нему субъекта ПДн, либо
при получении запроса субъекта ПДн или его представителя, а также
уполномоченного органа по защите прав субъектов персональных
данных
8.1. Общество обязано сообщить в порядке, предусмотренном
законодательством РФ, субъекту персональных данных или его
представителю информацию о наличии персональных данных, относящихся
к соответствующему субъекту персональных данных, а также предоставить
возможность ознакомления с этими персональными данными при обращении
субъекта персональных данных или его представителя либо в течение десяти
рабочих дней с даты получения запроса субъекта персональных данных или
его представителя.
8.2. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации.
8.3. В случае отказа в предоставлении информации о наличии
персональных данных о соответствующем субъекте персональных данных
или персональных данных субъекту персональных данных или его
представителю при их обращении либо при получении запроса субъекта
персональных данных или его представителя Общество обязано дать в
письменной форме мотивированный ответ.
8.4. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации. 8.5.
Общество обязано предоставить безвозмездно субъекту персональных
данных или его представителю возможность ознакомления с
персональными данными, относящимися к этому субъекту персональных
данных.
8.6. В срок, не превышающий семи рабочих дней со дня предоставления
субъектом персональных данных или его представителем сведений,
подтверждающих, что персональные данные являются неполными,
неточными или неактуальными, Общество обязано внести в них
необходимые изменения.
8.7. В срок, не превышающий семи рабочих дней со дня представления
субъектом персональных данных или его представителем сведений,
подтверждающих, что такие персональные данные являются незаконно
полученными или не являются необходимыми для заявленной цели
обработки, Общество обязано уничтожить такие персональные данные.
Общество обязано уведомить субъекта персональных данных или его
представителя о внесенных изменениях и предпринятых мерах и принять
разумные меры для уведомления третьих лиц, которым персональные данные
этого субъекта были переданы.
8.8. Общество обязано сообщить в уполномоченный орган по защите
прав субъектов персональных данных по запросу этого органа необходимую
информацию в течение десяти рабочих дней с даты получения такого
запроса.
8.9. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес уполномоченного
органа по защите прав субъектов персональных данных мотивированного
уведомления с указанием причин продления срока предоставления
запрашиваемой информации.
IX. Обязанности Общества по устранению нарушений
законодательства, допущенных при обработке персональных данных,
по уточнению, блокированию и уничтожению персональных данных
9.1. В случае выявления неправомерной обработки ПДн, при обращении
субъекта персональных данных или его представителя либо по запросу
субъекта персональных данных или его представителя либо
уполномоченного органа по защите прав субъектов персональных данных,
Общество обязано осуществить блокирование неправомерно
обрабатываемых персональных данных, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) с момента такого обращения или получения
указанного запроса на период проверки.
9.2. В случае выявления неточных персональных данных, при
обращении субъекта персональных данных или его представителя либо по их
запросу или по запросу уполномоченного органа по защите прав субъектов
персональных данных, Общество обязано осуществить блокирование
персональных данных, относящихся к этому субъекту персональных данных,
или обеспечить их блокирование (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Общества) с
момента такого обращения или получения указанного запроса на период
проверки, если блокирование персональных данных не нарушает права и
законные интересы субъекта персональных данных или третьих лиц.
9.3. В случае подтверждения факта неточности персональных данных
Общество на основании сведений, представленных субъектом персональных
данных или его представителем либо уполномоченным органом по защите
прав субъектов персональных данных, или иных необходимых документов
обязано уточнить персональные данные либо обеспечить их уточнение (если
обработка персональных данных осуществляется другим лицом,
действующим по поручению Общества) в течение семи рабочих дней со дня
представления таких сведений и снять блокирование персональных данных.
9.4. В случае выявления неправомерной обработки персональных
данных, осуществляемой Обществом или лицом, действующим по
поручению Общества, Общество в срок, не превышающий трех рабочих дней
с даты этого выявления, обязано прекратить неправомерную обработку
персональных данных или обеспечить прекращение неправомерной
обработки персональных данных лицом, действующим по поручению
Общества.
9.5. В случае, если обеспечить правомерность обработки персональных
данных невозможно, Общество в срок, не превышающий десяти рабочих
дней с даты выявления неправомерной обработки персональных данных,
обязано уничтожить такие персональные данные или обеспечить их
уничтожение.
9.6. Об устранении допущенных нарушений или об уничтожении
персональных данных Общество обязано уведомить субъекта персональных
данных или его представителя, а в случае, если обращение субъекта
персональных данных или его представителя либо запрос уполномоченного
органа по защите прав субъектов персональных данных были направлены
уполномоченным органом по защите прав субъектов персональных данных,
также указанный орган.
9.7. В случае установления факта неправомерной или случайной
передачи (предоставления, распространения, доступа) персональных данных,
повлекшей нарушение прав субъектов персональных данных, Общество
обязано с момента выявления такого инцидента Обществом,
уполномоченным органом по защите прав субъектов персональных данных
или иным заинтересованным лицом уведомить уполномоченный орган по
защите прав субъектов персональных данных:
9.7.1. В течение двадцати четырех часов о произошедшем инциденте, о
предполагаемых причинах, повлекших нарушение прав субъектов
персональных данных, и предполагаемом вреде, нанесенном правам
субъектов персональных данных, о принятых мерах по устранению
последствий соответствующего инцидента, а также предоставить сведения о
лице, уполномоченном Обществом на взаимодействие с уполномоченным
органом по защите прав субъектов персональных данных, по вопросам,
связанным с выявленным инцидентом;
9.7.2. В течение семидесяти двух часов о результатах внутреннего
расследования выявленного инцидента, а также предоставить сведения о
лицах, действия которых стали причиной выявленного инцидента (при
наличии).
9.8. В случае достижения цели обработки персональных данных
Общество обязано прекратить обработку персональных данных или
обеспечить ее прекращение (если обработка персональных данных
осуществляется другим лицом, действующим по поручению Общества) и
уничтожить персональные данные или обеспечить их уничтожение (если
обработка персональных данных осуществляется другим лицом,
действующим по поручению Общества) в срок, не превышающий тридцати
дней с даты достижения цели обработки персональных данных, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных, иным
соглашением между Обществом и субъектом персональных данных либо
если Общество не вправе осуществлять обработку персональных данных без
согласия субъекта персональных данных на основаниях, предусмотренных
законодательством РФ.
9.9. В случае отзыва субъектом персональных данных согласия на
обработку его персональных данных Общество обязано прекратить их
обработку или обеспечить прекращение такой обработки (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) и в случае, если сохранение персональных данных
более не требуется для целей обработки персональных данных, уничтожить
персональные данные или обеспечить их уничтожение (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Общества) в срок, не превышающий тридцати дней с даты
поступления указанного отзыва, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных, иным соглашением между
Обществом и субъектом персональных данных либо если Общество не
вправе осуществлять обработку персональных данных без согласия субъекта
персональных данных на основаниях, предусмотренных законодательством
РФ.
9.10. В случае обращения субъекта персональных данных к Обществу с
требованием о прекращении обработки персональных данных Общество
обязано в срок, не превышающий десяти рабочих дней с даты получения
Обществом соответствующего требования, прекратить их обработку или
обеспечить прекращение такой обработки (если такая обработка
осуществляется лицом, осуществляющим обработку персональных данных),
за исключением случаев, предусмотренных законодательством РФ.
9.11. Указанный срок может быть продлен, но не более чем на пять
рабочих дней в случае направления Обществом в адрес субъекта
персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации.
9.12. В случае отсутствия возможности уничтожения персональных
данных в течение срока, предусмотренного законодательством РФ, Общество
осуществляет блокирование таких персональных данных или обеспечивает
их блокирование (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Общества) и обеспечивает
уничтожение персональных данных в срок не более чем шесть месяцев, если
иной срок не установлен федеральными законами.
X. Предоставление персональных данных третьей стороне.
10.1. Общество передает ПДн третьим лицам в следующих случаях:
− Субъект выразил свое согласие на такие действия;
− Передача предусмотрена российским или иным применимым
законодательством, в рамках установленной законодательством процедуры.
10.2. Передача ПДн возможна только при наличии юридически
обоснованных оснований. Такими основаниями могут быть договор,
соглашение или регламент, подписанный сторонами и содержащий
положения о нераспространении и защите передаваемых ПДн. 10.3.
Передача данных осуществляется с соблюдением всех требований по
защите конфиденциальной информации.
10.4. Третьи лица, которым передаются ПДн в соответствии с
законодательством Российской Федерации:
− Пенсионный фонд РФ;
− Налоговые органы РФ;
− Фонд социального страхования;
− Территориальный фонд обязательного медицинского страхования;
− Страховые медицинские организации по обязательному и
добровольному медицинскому страхованию;
− Органы воинского учета;
− Министерство внутренних дел РФ;
− Банки для начисления заработной платы (на основании договора); −
Управление делами Президента Российской Федерации (при наличии
согласия субъекта);
− Прокуратура, иные контролирующие и проверяющие органы;
− Судебные и правоохранительные органы;
− Бюро кредитных историй, кредитные организации (при
наличии согласия субъекта).
XI. Доступ к ПДн
11.1. Доступ к ПДн предоставляется путем доступа к прикладным
программным подсистемам в соответствии с функциями, предусмотренными
должностными регламентами или инструкциями.
11.2. Доступ к ПДн осуществляется на основании разрешительной
системы доступа для каждого информационного ресурса Общества. 11.3.
Доступ к ПДн предусматривает обязательное прохождение процедуры
идентификации и аутентификации, как пользователя информационной
системы.
11.4. Изменение прав доступа, в том числе предоставление
дополнительных прав, осуществляется только при наличии необходимости,
например, новых обязанностей и функций.
11.5. При прекращении исполнения обязанностей, связанных с
обработкой ПДн доступ должен быть немедленно запрещен, все имеющиеся
на рабочем месте данные изъяты, исключена возможность работы с
документами.
XII. Защита персональных данных
12.1. В соответствии с требованиями федеральных законов и
нормативных документов Обществом создана система защиты персональных
данных.
12.2. В рамках системы защиты персональных данных реализованы
следующие мероприятия:
12.2.1. Назначен ответственный за организацию обработки
персональных данных в Обществе;
12.2.2. Утверждены и введены в действие документы:
− Настоящая Политика, определяющая политику Общества в
отношении обработки персональных данных;
− Локальные нормативные акты по вопросам обработки персональных
данных, определяющие для каждой цели обработки персональных данных
категории и перечень обрабатываемых персональных данных, категории
субъектов, персональные данные которых обрабатываются, способы, сроки
их обработки и хранения, порядок уничтожения персональных данных при
достижении целей их обработки или при наступлении иных законных
оснований;
− Регламенты, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской
Федерации, устранение последствий таких нарушений.
12.2.3. Применены организационные и технические мер по
обеспечению безопасности персональных данных в соответствии со
статьей 19 Федерального закона от 27.07.2006 No152-ФЗ «О персональных
данных».
12.2.4. Постоянно осуществляется внутренний контроля соответствия
обработки персональных данных Федеральному закону от 27.07.2006 No152-
ФЗ «О персональных данных» и принятым в соответствии с ним
нормативным правовым актам Общества, требованиям к защите
персональных данных, политике Общества в отношении обработки
персональных данных, локальным актам Общества.
12.2.5. Проведена оценка вреда, который может быть причинен
субъектам персональных данных в случае нарушения Федерального закона
от 27.07.2006 No152-ФЗ «О персональных данных», соотношение указанного
вреда и принимаемых Обществом мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом от
27.07.2006 No152-ФЗ «О персональных данных».
12.2.6. Проведено ознакомление лиц, непосредственно
осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации о персональных данных, в том
числе требованиями к защите персональных данных, документами,
определяющими политику в отношении обработки персональных данных,
локальными актами по вопросам обработки персональных данных.
12.2.7. Определены угрозы безопасности персональных данных при их
обработке в информационных системах персональных данных. 12.2.8.
Применены организационные и технических меры по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, необходимых для выполнения требований
к защите персональных данных, исполнение которых обеспечивает
установленные Правительством Российской Федерации уровни
защищенности персональных данных.
12.2.9. Используются средства защиты информации, прошедшие
процедуру оценки соответствия требованиям законодательства Российской
Федерации в области обеспечения безопасности информации.
12.2.10. Проведена оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в эксплуатацию
информационной системы персональных данных.
12.2.11. Осуществляется учет машинных носителей персональных
данных.
12.2.12. Осуществляется обнаружение фактов несанкционированного
доступа к персональным данным и принятие мер, в том числе мер по
обнаружению, предупреждению и ликвидации последствий компьютерных
атак на информационные системы персональных данных и по реагированию
на компьютерные инциденты в них.
12.2.13. Обеспечено восстановление персональных данных,
модифицированных или уничтоженных вследствие несанкционированного
доступа к ним.
12.2.14. Проведено установление правил доступа к персональным
данным, обрабатываемым в информационной системе персональных данных,
а также обеспечением регистрации и учета всех действий, совершаемых с
персональными данными в информационной системе персональных данных.
12.2.15. Осуществляется контроль за принимаемыми мерами по
обеспечению безопасности персональных данных и уровня защищенности
информационных систем персональных данных.
12.2.16. Уничтожение ПД на бумажных носителях производится путем
разрезания по истечении 3 (трех) лет.
12.2.17. Организован режим обеспечения безопасности помещений, в
которых размещена информационная система, препятствующего
возможности неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения.
12.3. Также в Обществе приняты другие организационные, правовые и
технические меры по обеспечению безопасности обработки персональных
данных.
12.4. Обществом постоянно ведется работа по совершенствованию
системы защиты конфиденциальной информации, в т.ч. персональных
данных.
XIII. Ответственность.
13.1. Ответственность за обновление Политики несет ответственный за
организацию обработки персональных данных в Обществе. 13.2. За
нарушение требований данной Политики лица, осуществляющие обработку
ПДн в интересах Общества, несут дисциплинарную ответственность.
13.3. За нарушение требований данной Политики, повлекшее
разглашение ПДн или другой ущерб субъектам персональных данных или
Обществу, лица, осуществляющие обработку ПДн в интересах Общества,
несут ответственность в пределах, установленных действующим
гражданским, административным и уголовным законодательством
Российской Федерации.