Пользовательское соглашение

Политика в отношении обработки персональных данных

Политика в отношении обработки персональных данных

Введение
Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и руководствуясь:
Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, частью первой от 30 ноября 1994 г. № 51-ФЗ, частью второй от 26 января 1996 г. № 14-ФЗ, частью третьей от 26 ноября 2001 г. № 146-ФЗ и частью четвертой от 18 декабря 2006 г. № 230-ФЗ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс Российской Федерации», ст. 85-90, Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 12 января 1996 г. № 7-ФЗ "О некоммерческих организациях", Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказом ФСБ России от 10.07.2014 № 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Уставом АНО ДПО «Такир»; Политикой в отношении обработки персональных данных АНО ДПО «Такир», Положением об обработке и защите персональных данных АНО ДПО «Такир», Лицензией № 77Л01 039295 от 18.04.2018г., выданной Департаментом образования города Москвы.
В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн оператора.

1. Общие положения
1.1. Целью настоящей Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн) информационной системы.
1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
1.3. Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.
1.4. Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
1.5. Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите, утвержденный Положением об обработке и защите персональных данных.

2. Область действия
2.1. Требования настоящей Политики распространяются на всех сотрудников оператора (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

3. Система защиты персональных данных
3.1. Система защиты персональных данных (СЗПДн), строится на основании:
- Перечня персональных данных, подлежащих защите;
- Акта классификации информационной системы персональных данных;
- Руководящих документов ФСТЭК и ФСБ России.
3.2. На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн оператора. На основании анализа актуальных угроз безопасности ПДн описанного в Акте о результатах проведения проверке, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.
3.3. Для каждой ИСПДн должен быть составлен список используемых технических средств защиты.
3.4. В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
- антивирусные средства для рабочих станций пользователей и серверов;
- средства межсетевого экранирования;
- средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
3.5. Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
- управление и разграничение доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечивать целостность данных;
- производить обнаружений вторжений.
3.6. Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Учреждения или лицом, ответственным за обеспечение защиты ПДн.

4. Пользователи ИСПДн
4.1. В ИСПДн оператора можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
- Администратора ИСПДн;
- Администратора безопасности;
- Оператора АРМ;
- Администратора сети;
4.2. Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Положение о разграничении прав доступа к обрабатываемым персональным данным.

5. Требования к персоналу по обеспечению защиты ПДн
5.1. Все сотрудники оператора, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
5.2. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
5.3. Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
5.4. Сотрудники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
5.5. Сотрудники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
5.6. Сотрудники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
5.7. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.
5.8. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам.
5.9. При работе с ПДн в ИСПДн сотрудники оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
5.10. При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
5.11. Сотрудники оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
5.12. Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

6. Должностные обязанности пользователей ИСПДн
6.1. Должностные обязанности пользователей ИСПДн описаны в следующих документах:
- Инструкция администратора ИСПДн;
- Инструкция администратора безопасности ИСПДн;
- Инструкция пользователя ИСПДн.

7. Ответственность сотрудников ИСПДн оператора
7.1. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (ст.ст. 272 - 274 Уголовного кодекса РФ).
7.2. Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
7.3. При нарушениях сотрудниками оператора - пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
7.4. Приведенные выше требования нормативных документов по защите информации должны быть отражены в должностных инструкциях сотрудников оператора.

Положение об обработке и защите персональных данных

Положение об обработке и защите персональных данных

1. Общие положения
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее по тексту - ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах ПДн (далее - ИСПДн).
1.2. В целях настоящего Положения используются следующие термины:
персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и /или в результате которых уничтожаются материальные носители ПДн;
обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Настоящее Положение определяет порядок и условия обработки ПДн в Автономной некоммерческой организации дополнительного профессионального образования «ТАКИР» (далее по тексту – Оператора или АНО ДПО «ТАКИР»), включая порядок передачи ПДн третьим лицам, особенности автоматизированной и неавтоматизированной обработки ПДн, порядок доступа к ПДн, систему защиту ПДн, порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн, иные вопросы.
1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования, без передачи по внутренней сети Оператора, с передачей по сети Интернет.
1.5. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует бессрочно, до замены его новым Положением.
1.6. Все изменения в Положение вносятся приказом Руководителя АНО ДПО «Такир».
1.7. Все работники Оператора должны быть ознакомлены с настоящим Положением под роспись.

2. Цели и задачи обработки персональных данных
2.1. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
2.2. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
2.3. Обработке подлежат только ПДн, которые отвечают целям их обработки.
2.4. Содержание и объем, обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
2.5. Обработка ПДн сотрудников Оператора может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора.
2.6. Целями обработки ПДн является:
- регистрация сведений физических лиц (субъектов персональных данных), необходимых для осуществления деятельности, предусмотренной Уставом;
- регистрация сведений персональных данных работников, сведений об их профессиональной служебной деятельности в соответствии с Трудовым кодексом Российской Федерации;
- выполнение обязательств и работ в соответствии с заключенными договорами гражданско-правового характера.
2.7. ИСПДн обеспечивает решение следующих задач:
- учет кадрового состава Оператор, учет лиц, оказывающих услуги (выполняющих работы) по гражданско-правовым договорам с Оператором;
- бухгалтерский учет и контроль за финансово-хозяйственной деятельностью Оператора;
- контроль исполнением финансовых обязательств по заключенным договорам;
- выплата заработной платы, вознаграждений, лицам, оказывающим услуги (выполняющим работы) по гражданско-правовым договорам с Оператором;
- реализация уставной деятельности;
- иные задачи.

3. Правовые основания обработки персональных данных
3.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, частью первой от 30 ноября 1994 г. № 51-ФЗ, частью второй от 26 января 1996 г. № 14-ФЗ, частью третьей от 26 ноября 2001 г. № 146-ФЗ и частью четвертой от 18 декабря 2006 г. № 230-ФЗ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30 декабря 2001 г. N 197-ФЗ «Трудовой кодекс Российской Федерации», ст. 85-90, Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказом ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Уставом АНО ДПО «Такир»; Политикой в отношении обработки персональных данных АНО ДПО «Такир», Положением об обработке и защите персональных данных АНО ДПО «Такир», Лицензией № 77Л01 039295 от 18.04.2018г., выданной Департаментом образования города Москвы.

4. Персональные данные, обрабатываемые в информационных системах персональных данных
4.1. В ИСПДн обрабатываются ПДн следующих субъектов ПДн:
4.1.1. сотрудники Оператора;
4.1.2. физические лица, состоящие в трудовых и иных гражданских (договорных) отношениях и (или) их законные представители;
4.1.3. учредители Оператора;
4.1.4. лица, связанные с сотрудниками, учредителями (дети, в отношении которых выплачиваются алименты, супруги, и т.д.);
4.1.5. кандидаты на замещение вакантной должности;
4.1.6. клиенты (физические лица, обратившиеся за предоставлением услуг);
4.1.7. индивидуальные предприниматели - контрагенты Оператора;
4.1.8. клиенты организаций, контрагентов Оператора;
4.1.9. заявители с обращениями (жалобами).
4.2. Данный перечень может пересматриваться по мере необходимости.
4.3. Категории обрабатываемых ПДн: общедоступные, иные.
4.4. Персональные данные субъектов ПДн включают:
4.4.1. фамилия,
4.4.2. имя,
4.4.3. отчество,
4.4.4. число, месяц, год, рождения,
4.4.5. место рождения,
4.4.6. адрес,
4.4.7. доходы,
4.4.8. семейное положение,
4.4.9. социальное положение,
4.4.10. имущественное положение,
4.4.11. образование,
4.4.12. профессия,
4.4.13. гражданство,
4.4.14. паспортные данные,
4.4.15. данные свидетельств о рождении,
4.4.16. данные пенсионных и медицинских страховых свидетельств,
4.4.17. данные воинского учета,
4.4.18. ИНН,
4.4.19. сведения о наличии льгот и гарантий, предоставляемых в соответствии с действующим законодательством,
4.4.20. место работы,
4.4.21. адрес электронной почты,
4.4.22. номер телефона,
4.4.23. реквизиты банковского счета,
4.4.24. номер банковской карты,
4.4.25. другие.

5. Доступ к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Руководителем АНО ДПО «Такир».
5.2. Список лиц, имеющих доступ к ПДн для информационной системы, должен поддерживаться в актуальном состоянии.
5.3. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Руководителя АНО ДПО «Такир».
5.4. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию Руководителя АНО ДПО «Такир».
5.5. Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Руководителя АНО ДПО «Такир».
5.6. Работники Общества несут ответственность за допуск в офис посторонних лиц, проведения этими лицами осмотров, фото - и видео - съемок объектов, находящихся в офисе, за допуск этих лиц к персональным компьютерам и сетевым программам.
5.7. В случае если сотруднику сторонней организации необходим доступ к ПДн Оператора, то необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее сотрудников по соблюдению требований текущего законодательства в области защиты ПДн. Кроме того, в случае доступа к ПДн лиц, не являющихся сотрудниками Оператора, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного Оператором с субъектом ПДн.
5.8. Доступ сотрудника Оператора к ПДн прекращается с даты, прекращения трудовых отношений, либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к ПДн. В случае увольнения все носители, содержащие ПДн, которые в соответствии с должностными обязанностями находились в распоряжении работника во время работы, должны быть переданы соответствующему должностному лицу под роспись.

6. Основные требования по защите персональных данных
6.1. При обработке ПДн в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к ПДн;
в) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
д) периодическое обновление и контроль работоспособности средств восстановления системы защиты персональных данных;
е) обеспечение отсутствия доступа к базе персональных данных из внешней сети;
ж) постоянный контроль над обеспечением защищенности ПДн.
6.2. Оператор обязан принимать необходимые правовые, организационные, технические и другие меры для обеспечения безопасности ПДн.
6.3. Оператором в соответствии с нормативно-методическим документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности ПДн.
6.4. Оператором обеспечивается идентификация и проверка права доступа пользователя при входе в систему, а также регистрация начала и окончания работы с базой персональных данных с указанием данных пользователя.
6.5. Оператором используется технические средства и программное оборудование для обработки и защиты ПДн.
6.6. Оператором ведется журнал учета и хранения съемных носителей информации.
6.7. Хранение информации на бумажных и (или) электронных носителях осуществляется в сейфах, специально оборудованных хранилищах.
6.8. Оператор обеспечивает оборудование помещений системами видеонаблюдения.
6.9. Учет материальных носителей информации осуществляется путем маркировки и занесения сведений о них в журналы учета.
6.10. Оператором устанавливается обязательная процедура регистрации выдачи и возврата материальных носителей персональных данных.
6.11. Все лица, допущенные к работе с ПДн, а также связанные с эксплуатацией и техническим сопровождением ИСПДн должны быть под роспись ознакомлены с требованиями настоящего Положения.
6.12. Оператор использует шифровальные (криптографические) средства для защиты персональных данных.
6.13. ПДн или часть ПДн может храниться на Технической площадке (Дата-центре) согласно договору, заключенному между Оператором и владельцем технической площадки.
6.14. Сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу Оператора об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от сотрудника ПДн, обрабатываемых Оператором незамедлительно известить об этом соответствующее должностное лицо Оператора.

7. Согласие на обработку персональных данных
7.1. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.

8. Права субъекта в отношении персональных данных, обрабатываемых Оператором
8.1. Субъект ПДн имеет право:
- на получение информации от Оператора, касающейся обработки его ПДн. Сведения должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Перечень сведений и порядок получения сведений предусмотрен действующим законодательством РФ;
- требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
- на условие предварительного письменного согласия при обработке ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
- на условие письменного согласия при принятии на основании исключительно автоматизированной обработки ПДн решений Оператора, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

9. Права и обязанности Оператора информационных систем персональных данных
9.1. Оператор ИСПДн вправе:
9.1.1. Привлекать для обеспечения защиты ПДн или части ПДн третье лицо по своему усмотрению, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
9.1.2. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора ИСПДн, предусмотренных законодательством Российской Федерации.
9.2. Оператор ИСПДн обязан:
9.2.1. Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством РФ.
9.2.2. При получении доступа к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
9.2.3. Представить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия законных оснований, обработки ПДн без согласия субъекта ПДн.
9.2.4. Прекратить по требованию субъекта ПДн обработку его ПДн, в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
9.2.5. Разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
Оператор обязан рассмотреть возражение, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
9.2.6. При сборе ПДн, предоставить субъекту ПДн по его просьбе информацию, предусмотренную законодательством РФ.
Если предоставление ПДн Оператору для субъекта ПДн является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
9.2.7. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора ИСПДн, предусмотренных законодательством РФ.
9.2.8. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн в соответствии с п. 2 ст. 18.1. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
9.2.9. Представить документы и локальные акты, предусмотренные законодательством РФ, и/или иным образом подтвердить принятие мер, необходимых и достаточные для обеспечения выполнения обязанностей Оператора ИСПДн, по запросу уполномоченного органа по защите прав субъектов ПДн.
9.2.10. Если ПДн получены не от субъекта ПДн, Оператор, за исключением случаев, предусмотренных законодательством РФ, до начала обработки таких ПДн, предоставить субъекту ПДн следующую информацию в соответствии с ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные настоящим Федеральным законом права субъекта ПДн;
5) источник получения ПДн.
9.2.11. При обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с ч. 1 ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
9.2.11. Сообщить в порядке, предусмотренном законодательством РФ, субъекту ПДн или его представителю информацию безвозмездно о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта ПДн или его представителя.
9.2.12. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение законодательства РФ, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя.
9.2.13. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
9.2.14. Сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
9.2.15. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
9.2.16. В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
9.2.17. В случае отзыва субъектом ПДн согласия на обработку его ПДн, прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
9.2.18. Назначить лицо, ответственное за организацию обработки ПДн.

10. Порядок обработки и защиты персональных данных
10.1. Обеспечение конфиденциальности ПДн, обрабатывающихся Оператором, является обязательным требованием для всех лиц, которым ПДн стали известны.
10.2. Сотрудники Оператора, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов ПДн на обработку.
10.3. При получении ПДн сотрудником Оператора, который в соответствии с должностными обязанностями получает ПДн от сотрудников, учредителей и контрагентов (индивидуальных предпринимателей) Оператора в обязательном порядке проводится проверка достоверности ПДн. Ввод ПДн, полученных Оператором, в информационную систему осуществляется сотрудниками, имеющими доступ к соответствующим ПДн. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
10.4. Сотрудники Оператора не проверяют достоверность персональных данных, предоставленных клиентами и физическими лицами, состоящими в гражданских (договорных) отношениях с Оператором. Оператор исходит из того, что указанные лица предоставляют персональные данные в своем интересе без намерения нарушить права и законные интересы третьих лиц и Оператору или причинить им убытки.
10.5. Хранение персональных данных.
10.5.1. ПДн субъектов на бумажных носителях, обрабатываемые Оператором, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн. Носители ПДн не должны оставаться без присмотра. При покидании рабочего места, сотрудники, осуществляющие обработку ПДн должны, убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче ПДн осуществляется по возможности их восстановление.
10.5.2. Места хранения документов, содержащих персональные данные:
10.5.2.1. ПДн контрагентов, клиентов Оператора (договоры, акты, соглашения, анкеты, копии паспортов, иные подобные документы, содержащие ПДн, носители информации (флеш-карты, CD-диски, и т.п.) хранятся в офисе Оператора, размещаются на полках и запираются на ключ.
10.5.2.2. ПДн сотрудников Оператора - документы, носители информации (флеш-карты, СD-диски и т.п.) хранятся в сейфе компании и запираются на ключ.
10.5.2.3. Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок, не более 1 (одного) рабочего дня.
10.5.2.4. Иные носители информации хранятся в офисе Оператора, размещаются на полках и запираются на ключ или же в сейфе организации.
10.5.3. При работе с программными средствами автоматизированной системы Оператора, реализующей функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.
10.6. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации.
10.6.1. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ПЭВМ) установлены в соответствии с Постановлением Правительства РФ от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.
10.6.2. Категории обрабатываемых ПДн, содержащихся на бумажных носителях, без использования средств автоматизации: общедоступные.
10.6.3. При неавтоматизированной обработке ПДн на бумажных носителях:
10.6.3.1. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
10.6.3.2. ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
10.6.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовые формы), должны соблюдаться следующие условия:
10.6.4.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
10.6.4.2. Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, — при необходимости получения письменного согласия на обработку ПДн;
10.6.4.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
10.6.4.4. Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
10.7. Уничтожение или обезличивание персональных данных.
10.7.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и субъектом ПДн.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.7.2. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:
10.7.3. ПДн на бумажных носителях уничтожаются путем использования шредеров (уничтожителей документов), установленных в офисе Оператора.
10.7.4. ПДн, размещенные в памяти ПЭВМ уничтожаются путем удаления её из памяти ПЭВМ.
10.7.5. ПДн, размещенные на флеш-карте, CD-диске, ином носителе информации уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или CD-диска.
10.7.6. Об уничтожении носителя информации составляется Акт.
10.7.7. Офис, помещения Оператора, по окончании рабочего дня и отсутствия сотрудников в офисе помещениях, должны запираться, окна должны быть закрыты, должна быть включена сигнализация (при наличии).
10.7.8. Сетевое оборудование, серверы следует располагать в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).
10.7.9. Уборка помещений и обслуживание технических средств ИСПДн должна осуществляться под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и
10.8. Организация внутреннего контроля процесса обработки персональных данных.
10.8.1. Организация внутреннего контроля процесса обработки ПДн у Оператора осуществляется в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.
10.8.2. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:
10.8.2.1. Обеспечение соблюдения сотрудниками Оператора требований настоящего Положения и нормативно-правовых актов, регулирующих сферу ПДн.
10.8.2.2. Оценка компетентности персонала, задействованного в обработке ПДн.
10.8.2.3. Обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн.
10.8.2.4. Выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений.
10.8.2.5. Принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств ИСПДн.
10.8.2.6. Осуществление внутреннего контроля за исполнением рекомендаций и указаний по устранению нарушений.

11. Особенности управления персональных данных сотрудников Оператора
11.6. В настоящем разделе установлены дополнительные права и обязанности Оператора и работников при обработке Пдн сотрудников Оператора.
11.7. ПДн сотрудника - информация, необходимая Оператору в связи с трудовыми отношениями и касающаяся конкретного сотрудника.
11.8. Обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудников в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
11.9. Оператор обязуется не сообщать ПДн сотрудника в коммерческих целях без его письменного согласия.
11.10. Оператор обязуется предупредить сотрудников Оператора, третьих лиц, получающих ПДн сотрудника (при его согласии), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Режим конфиденциальности обеспечивается подписанием с лицом соглашения. Данное положение не распространяется на обмен ПДн сотрудников в порядке, установленном законодательством РФ.
11.11. Доступ к ПДн сотрудников осуществляется на основании приказов и положений, утвержденных Оператором.
11.12. Оператор обязуется передавать ПДн сотрудника представителям сотрудников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми ПДн сотрудника, которые необходимы для выполнения указанными представителями их функций.

12. Ответственность за нарушение настоящего Положения
12.6. Руководство Оператора несет ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
12.7. Сотрудники Оператора несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.
12.8. Сотрудник Оператора может быть привлечен к ответственности в случаях:
12.8.1. Умышленного или неосторожного раскрытия ПДн;
12.8.2. Утраты материальных носителей ПДн;
12.8.3. Нарушения требований настоящего Положения и других нормативных документов Оператора в части вопросов доступа и работы с ПДн.
12.9. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Оператору, его сотрудникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Поделиться в соц. сетях: