Приложение № 1

 

УТВЕРЖДЕНО

Приказом от 14.05.2020 г.

№ 2020-042-9.2-01

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Политика конфеденциальности

ООО «Центр Хранения Данных» для информационного мобильного приложения «Как дела» (Положение об обработке персональных данных) (https://krtk-fe.rt-dc.ru/)

 

Редакция № 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Москва

2020

Оглавление

 

1.  Общие положения............................................................... 3

2.  Основные понятия.............................................................. 3

3.  Обработка персональных данных................................... 5

3.1.  Характеристика ПДн, обрабатываемых у Оператора............................................................................ 5

3.2.  Принципы, условия и цели обработки ПДн............. 5

3.3.  Процессы обработки ПДн.......................................... 7

3.4.  Особенности обработки ПДн на бумажных носителях............................................................................. 9

4. Безопасность персональных данных............................. 10

4.1. Организация доступа к персональным данным...... 10

4.2.  Конфиденциальность персональных данных........ 11

4.3.  Принципы обеспечения безопасности персональных данных...................................................... 11

5.  Права и обязанности субъекта ПДн и Оператора...... 13

5.1.  Права субъекта ПДн................................................. 13

5.2.  Обязанности субъекта ПДн..................................... 13

5.3.  Обязанности Оператора........................................... 14

6.  Взаимодействие с государственными органами......... 14

7.  Ответственность за нарушение норм, регулирующих обработку персональных .........................................................

данных...................................................................................... 15

8.  Заключительные положения.......................................... 15

Приложение 1........................................................................... 16

Приложение 2........................................................................... 21

Приложение 3........................................................................... 22

Приложение 4........................................................................... 23

Приложение 5........................................................................... 24

 

 

1.      Общие положения

1.1. Настоящая Политика конфеденциальности ООО «Центр Хранения Данных» (далее – Положение) разработано в целях обеспечения режима обработки информации для всех веб-сайтов (включая, но не ограничиваясь, размещенными в сети Интернет по адресу: https://krtk-fe.rt-dc.ru/), прикладные программы (в том числе программы для мобильных устройств, включая мобильное информационное приложение «Как дела»), содержащей персональные данные (далее – ПДн), согласно нормам и принципам действующего законодательства Российской Федерации, соблюдения законных прав и интересов работников, контрагентов и иных лиц, ПДн которых обрабатываются в ООО «Центр Хранения Данных» (далее – Оператор), а также установления ответственности работников Оператора, участвующих в процессах обработки ПДн, за нарушение порядка их обработки.

1.2. Действие настоящего Положения распространяется на все процессы обработки информации, содержащей персональные данные, посредством сбора, систематизации, накопления, хранения, уточнения, использования, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

1.3. Настоящее Положение разработано в соответствии с:

                    −      Трудовым кодексом Российской Федерации;  

− Кодексом Российской Федерации об административных правонарушениях; − Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

− Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

− Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

− Постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

− Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4. Настоящее Положение является локальным нормативным актом ООО «Центр Хранения Данных» и обязательно для ознакомления под личную подпись и исполнения всеми работниками Оператора.

1.5. Обработка персональных данных у Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

1.6. Настоящее Положение вступает в силу с момента его утверждения отдельным приказом генерального директора ООО «Центр Хранения Данных» и действует бессрочно до замены новым локальным правовым актом аналогичного значения.

1.7. Настоящее Положение является документом, находящимся в зоне ответственности Департамента безопасности.

 

2.      Основные понятия

2.1. Для целей настоящего Положения используются следующие основные понятия:

Оператор – ООО «Центр Хранения Данных». 

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – человек, к которому относятся соответствующие персональные данные.

Обработка персональных данных – любые действия, операции (совокупность действий, операций) с персональными данными, совершаемые с использованием средств автоматизации или без использования таких средств (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). 

Конфиденциальность персональных данных – обязательное для соблюдения работниками, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Использование персональных данных – действия (операции) с персональными данными, совершаемые лицом, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действия с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Информационные системы персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку посредством информационных технологий и технических средств.

Документированная информация – информация, зафиксированная на материальном носителе, имеющем реквизиты, которые позволяют идентифицировать этот материальный носитель.

Материальный носитель – материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Материальные носители информации применяются для:

                    −      записи;

− хранения; − чтения; − передачи (распространения).

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Работники Оператора (работники) – физические лица, с которыми у Оператора оформлены трудовые отношения и персональные данные которых обрабатывает Оператор.

Управляемые общества – организации, с которыми Оператор заключил договоры об осуществлении полномочий единоличного исполнительного органа.

Ответственный за организацию обработки ПДн – работник Оператора, назначаемый Генеральным директором ответственным за обеспечение соответствия обработки персональных Оператора требованиям законодательства Российской Федерации.

 

3.      Обработка персональных данных

3.1.      Характеристика ПДн, обрабатываемых у Оператора

3.1.1. У Оператора обрабатываются ПДн с использованием средств автоматизации и без их использования следующих категорий субъектов:

                    −      работников Оператора (в том числе бывших);

− физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Оператором;

−   представители контрагентов Оператора; −      соискателей на работу; −       заявителей обращений.

3.1.2. Обрабатываемые ПДн подлежат защите в соответствии с требованиями Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» (с дополнениями и изменениями) (далее – Федеральный закон «О персональных данных» или Федеральный закон).

3.2.      Принципы, условия и цели обработки ПДн

3.2.1. Персональные данные работников Оператора и соискателей на работу у Оператора обрабатываются в целях:

− обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

− заключения, исполнения и прекращения гражданско-правовых договоров в ситуациях, предусмотренных законодательством и Уставом Оператора;

− организации кадрового учета Оператора, обеспечения соблюдения законов, заключения и исполнения обязательств по трудовым договорам;

                    −          организация внутриобъектового и пропускного режимов;

− ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, пользования льготами;

− исполнения требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

3.2.2. Персональные данные представителей контрагентов Оператора обрабатываются в целях:

                    − установления договорных отношений с контрагентом путем заключения

договора;

                    −          разового посещения представителя контрагента объекта Оператора.

3.2.3. Обработка персональных данных у Оператора осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе принципов:

                    −                     законности целей и способов обработки персональных данных;

− соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

− достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

− недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

− уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;

− недопустимости обработки ПДн специальной категории, за исключением сведений о состоянии здоровья работников Оператора с целями, непосредственно связанными с вопросами трудовых взаимоотношений и определяемыми законодательством Российской Федерации;

− личной ответственности работников Оператора за сохранность и конфиденциальность персональных данных, а также материальных носителей, содержащих ПДн.

3.2.4. Обработка ПДн осуществляется с согласия субъектов ПДн, за исключением случаев, предусмотренных законодательством, и с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.

3.2.5. Письменное согласие на обработку своих ПДн, которое субъект дает свободно, своей волей и в своем интересе (Приложение 1, Форма 1), включает в себя:

− фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

− наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие субъекта персональных данных;

                    −      цель обработки персональных данных;

− перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

− перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

−   срок, в течение которого действует согласие, а также порядок его отзыва; −    подпись субъекта ПДн.

3.2.6. При отсутствии необходимости письменного согласия субъекта на обработку его ПДн в форме, определенной законодательством, для возможности доказательства получения согласия субъекта на обработку ПДн берется согласие субъекта в произвольной форме. Примером такого согласия может служить поле для подписи субъекта ПДн (либо для проставления субъектом галочки) и текст рядом с этим полем: «Даю согласие ООО «Центр Хранения Данных» на обработку моих персональных данных».

3.2.7. В случае если Оператор на основании договора поручает обработку ПДн другому лицу, условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их обработке, а также обязательное указание целей передачи ПДн и перечня видов, передаваемых на обработку ПДн. До момента передачи ПДн у субъекта ПДн берется письменное согласие на передачу его ПДн третьим лицам с указанием наименования или фамилии, имени, отчества и адреса лица, осуществляющего обработку персональных данных по поручению Оператора (Приложение 1 Форма 2).

3.2.8. Оператором и третьими лицами, получавшими доступ к ПДн, обеспечивается конфиденциальность таких данных.

3.2.9. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено действующим законодательством о ПДн, также в случае отзыва субъектом ПДн согласия на обработку его ПДн.

                    3.2.10. Обработка    ПДн    проводится    исключительно                                в                 целях осуществления

Оператором своей деятельности и обеспечения соблюдения действующего законодательства Российской Федерации.

3.2.11. При определении содержания персональных данных, необходимых для обработки в целях обеспечения своей деятельности, Оператор руководствуется нормативными правовыми документами, указанными в пункте 1.3. настоящего Положения, а также настоящим Положением.

3.3.      Процессы обработки ПДн

3.3.1. Сбор ПДн

Все персональные данные субъекта Оператор получает у него самого. Если ПДн субъекта возможно получить только у третьей стороны, то субъекта ПДн Оператор уведомляет об этом заранее и от него должно быть получено письменное согласие. Формы документов приведены в Приложении 1 (Формы 3; 4).

Источниками ПДн работника Оператора являются документы, предоставляемые соискателем на работу при оформлении и/или осуществлении трудовых отношений, а также документы, образующиеся в процессе реализации трудовых отношений. Источниками ПДн субъектов, не являющихся работниками Оператора, являются:

а) документы, получаемые Оператором при осуществлении договорных отношений

с контрагентами Оператора;

б) резюме соискателей при приеме на работу;

в) другие документы, содержащие персональные данные субъектов ПДн,

необходимые для осуществления Оператором своей деятельности.

3.3.2. Использование ПДн в ИСПДн Оператора осуществляется работниками, указанными в Перечне должностей работников, допущенных к работе с ПДн, в целях, определенных в пункте 3.2.1. настоящего Положения. 

3.3.3. Хранение ПДн у Оператора осуществляется строго в соответствии со следующими требованиями:  

− хранение ПДн осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места их хранения;

− хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

− не осуществляется несанкционированное копирование ПДн на отчуждаемые носители информации;

                    −    при хранении ПДн в ИСПДн соблюдаются условия, обеспечивающие

конфиденциальность и сохранность ПДн;

− исключен несанкционированный доступ к ПДн (доступ разрешен только работникам Оператора, включенным в Перечень должностей работников, допущенных к работе с ПДн).

3.3.4. Передача ПДн

Передача (предоставление, распространение, доступ) ПДн другим работникам Оператора или третьим лицам осуществляется в следующих случаях:

а) если передача ПДн необходима для исполнения работником трудовых

обязанностей, связанных с обработкой ПДн;

б) если она необходима для исполнения требований законодательства Российской Федерации.

Работники Оператора, допущенные к работе с ПДн, подписывают Обязательство о неразглашении персональных данных работников ООО «Центр Хранения Данных» (Приложение 2).

Ответы на письменные запросы сторонних организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем ПДн.

При передаче ПДн работники Оператора не сообщают ПДн субъекта третьей стороне без его письменного согласия (Приложение 1, Форма 2), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами.

Передача ПДн возможна только в том случае, если исключен несанкционированный доступ к ПДн в процессе передачи и обеспечивается конфиденциальность передаваемой информации.

Согласие субъекта на передачу его ПДн не требуется, если сообщение информации или предоставление документов, содержащих ПДн, предусмотрено законодательством Российской Федерации.

В случаях поручения обработки ПДн другому лицу, Оператор заключает договор (поручение оператора) с этим лицом, существенным условием которого является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их обработке.

3.3.5. Уточнение ПДн

В случае выявления недостоверных или неполных ПДн Ответственный за организацию обработки персональных данных инициирует выполнение действий, описанных в Порядке обработки обращений субъектов ПДн в ООО «Центр Хранения Данных» и Порядке взаимодействия ООО «Центр Хранения Данных» с уполномоченным органом по защите прав субъектов персональных данных.

В случае уточнения (изменения) ПДн необходимо известить третьих лиц, которым ранее были сообщены или переданы неверные или неполные ПДн, обо всех исключениях, исправлениях и дополнениях в них.

Об устранении допущенных нарушений ПДн требуется уведомить субъекта ПДн или его законного представителя, либо уполномоченный орган по защите прав субъектов ПДн в случае, если соответствующую проверку инициировал указанный орган.

3.3.6. Блокирование ПДн

В случае выявления неправомерной обработки ПДн или выявления неточных ПДн при обращении субъекта или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн Ответственный за организацию обработки персональных данных инициирует блокирование ПДн, относящихся к этому субъекту ПДн, и выполнение действий, описанных в Порядке обработки обращений субъектов ПДн в ООО «Центр Хранения Данных» и Порядке взаимодействия ООО «Центр Хранения

Данных» с уполномоченным органом по защите прав субъектов персональных данных.

3.3.7. Уничтожение ПДн

ПДн подлежат уничтожению (или обезличиванию) в следующих случаях и в указанные сроки:

а) по достижении целей обработки ПДн – в 30-дневный срок с момента достижения

целей обработки;

б) в случае утраты необходимости в достижении целей обработки ПДн – в 30-

дневный срок с момента утраты необходимости в достижении целей обработки;

в) в случае отзыва субъектом ПДн согласия на обработку своих ПДн – в 30-

дневный срок с момента отзыва согласия, если иной срок не предусмотрен договором или соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

ПДн подлежат уничтожению (или обезличиванию) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн в следующих случаях:

а) если ПДн являются неполными, устаревшими, неточными (при условии, что

уточнение ПДн невозможно);  

б) если ПДн являются незаконно полученными;

в) если ПДн не являются необходимыми для заявленной цели обработки.  

Процесс уничтожения ПДн при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует владелец ИСПДн, в которой эти ПДн обрабатываются.

Процесс уничтожения ПДн при отзыве субъектом ПДн согласия на обработку своих ПДн инициируется в соответствии с Порядком обработки обращений субъектов ПДн в ООО «Центр Хранения Данных». В остальных случаях процесс уничтожения ПДн инициирует Ответственный за организацию обработки персональных данных.

Комиссия, ответственная за уничтожение персональных данных, назначается приказом генерального директора.  В случае с бумажными носителями ПДн в качестве лица, ответственного за уничтожение ПДн, назначается владелец бизнес-процесса, в котором обрабатываются ПДн. В случае с другими носителями ПДн или если обработка ПДн осуществляется в ИСПДн, то в качестве лица, ответственного за уничтожение ПДн, назначается администратор ИСПДн или администратор безопасности ИСПДн.

Лицо, ответственное за уничтожение ПДн, производит уничтожение ПДн, оформляет и подписывает Акт об уничтожении ПДн, форма которого представлена в Приложении 5. После этого Акт об уничтожении ПДн направляется Ответственному за организацию обработки персональных данных.

Ответственный за организацию обработки персональных данных утверждает Акт об уничтожении ПДн и уведомляет об этом субъекта ПДн или его представителя. 

В случае уничтожения ПДн по результатам проверки или запроса уполномоченного органа по защите прав субъектов ПДн, Оператор уведомляет об уничтожении ПДн субъекта ПДн или его представителя, а также указанный орган. Процедура уведомления описана в Порядке обработки обращений субъектов ПДн в ООО «Центр Хранения Данных» и Порядке взаимодействия ООО «Центр Хранения Данных» с уполномоченным органом по защите прав субъектов персональных данных.

В случае отсутствия возможности уничтожения ПДн в указанные выше сроки, ПДн должны быть заблокированы, после чего ПДн должны быть уничтожены в срок, не превышающий шести месяцев. Порядок блокировки ПДн описан в Порядке обработки обращений субъектов ПДн в ООО «Центр Хранения Данных».

При уничтожении обеспечивается гарантированное уничтожение ПДн, исключающее возможность их восстановления программными или физическими методами. Уничтожение бумажных носителей ПДн производится путем измельчения, сжигания или преобразования в целлюлозную массу таким образом, чтобы гарантировать невозможность их восстановления. Уничтожение ПДн в ручном режиме также должно оформляться Актом об уничтожении ПДн (Приложение 5).

3.4.      Особенности обработки ПДн на бумажных носителях

3.4.1. При обработке ПДн на бумажных носителях не допускается фиксация на одном носителе ПДн, цели обработки которых заведомо не совместимы.

3.4.2. Работники, осуществляющие обработку ПДн на бумажных носителях, до начала обработки информируются Ответственным за организацию обработки персональных данных о факте обработке ими ПДн и особенностях и правилах обработки ПДн, а также подписывают Обязательство о неразглашении персональных данных работников ООО «Центр Хранения Данных» (Приложение 2). 

3.4.3. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на бумажном носителе (удаление, вымарывание).

3.4.4.  Использование или передача ПДн, находящихся на одном листе с другими

ПДн, производится путем создания копии таким образом, чтобы ненужные ПДн были не видны.

3.4.5. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

3.4.6. Уничтожение или блокировка части ПДн, находящихся на одном листе с другими ПДн, производится путем создания копии таким образом, чтобы те данные, которые нужно уничтожить или заблокировать были не видны.

3.4.7. Обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

 

4.      Безопасность персональных данных

4.1.      Организация доступа к персональным данным

4.1.1. Работникам Оператора, осуществляющим обработку ПДн, предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей и в соответствии с порядком, установленным настоящим Положением, а также локальными нормативными документами Оператора.

4.1.2. Работники Оператора в силу выполняемых должностных обязанностей, постоянно работающие с ПДн, получают допуск к необходимым ПДн с установленными правами доступа на срок выполнения ими соответствующих должностных обязанностей на основании Перечня должностей работников, допущенных к работе с ПДн, утверждаемого Генеральным директором Оператора по представлению Ответственного за организацию обработки персональных данных у Оператора. Перечень должностей работников, допущенных к работе с ПДн, подлежит пересмотру и при необходимости актуализации не реже одного раза в год.

4.1.3. Работники Оператора, работающие с ПДн, в обязательном порядке подписывают Обязательство о неразглашении персональных данных работников ООО «Центр Хранения Данных» (Приложение 2).

4.1.4. Временный или разовый допуск к работе с ПДн в связи с производственной необходимостью может быть получен работником Оператора по согласованию с Ответственным за организацию обработки персональных данных путем подачи заявки на доступ с указанием цели и срока доступа к запрашиваемым ПДн (Приложение 4).

4.1.5. Доступ к ПДн может быть прекращен или ограничен в случае нарушения требований законодательства Российской Федерации, настоящего Положения, либо в случае перевода или увольнения работника, осуществляющего обработку ПДн.

4.1.6. Сторонним организациям может быть предоставлен доступ к ПДн субъектов только на основании договора, включающего в себя требования об обеспечении конфиденциальности и обязанности сторонней организации и ее работников по соблюдению требований действующего законодательства в области защиты ПДн. 

4.1.7. В установленных действующим законодательством Российской Федерации случаях Оператор обязан предоставлять информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти в рамках их компетенции без письменного согласия субъекта ПДн.

4.2.      Конфиденциальность персональных данных

4.2.1. Обеспечение конфиденциальности ПДн, обрабатываемых у Оператора, является обязательным требованием для всех работников Оператора, которым ПДн стали известны, как в связи с выполнением должностных обязанностей, так и случайно или по ошибке. Лица, обладающие правом доступа к ПДн (либо в рамках выполнения должностных обязанностей или в рамках договора), исполняют обязательство не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральными законами.

4.2.2. Оператор передает ПДн на обработку третьим лицам, только если это необходимо для достижения целей обработки ПДн, причем существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке.

4.2.3. Передача ПДн третьим лицам без заключенного договора и без применения мер защиты ПДн не осуществляется.

4.2.4. У Оператора осуществляется раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

4.2.5. Материальные носители с ПДн не оставляются без присмотра. Лица, ответственные за носители ПДн, при покидании рабочего места убирают носители ПДн в сейф или шкаф, закрывающийся на ключ. Помещения, в которых хранятся документы, содержащие ПДн, при покидании их работниками Оператора запираются.

4.3.      Принципы обеспечения безопасности персональных данных

4.3.1. Для обеспечения безопасности ПДн от неправомочных действий выполняются следующие организационные меры:

                    −      повышение     осведомленности      работников          Оператора       по                    вопросам

обеспечения безопасности ПДн при их обработке;

− своевременное выявление нарушений работниками требований к режиму конфиденциальности;

− работники, деятельность которых связана с получением и обработкой ПДн, подписывают Обязательство о неразглашении персональных данных работников ООО «Центр Хранения Данных» (Приложение 2) либо заключают дополнительное соглашение к трудовым договорам;

− осуществляется разделение полномочий работников при использовании ИСПДн в зависимости от их должностных обязанностей;

− наличие формализованной процедуры по предоставлению доступа к ИСПДн, а также по регулярному пересмотру (ревизии) прав доступа работников Оператора в зависимости от занимаемой ими должности.

4.3.2. При работе с ПДн на автоматизированном рабочем месте работники Оператора руководствуются локальными нормативными актами:

                    −            Политикой ООО «Центр Хранения Данных» в области информационной

безопасности;

                    −            Корпоративным стандартом информационной безопасности;

− Инструкцией работника по соблюдению политик информационной безопасности.

4.3.3. При работе с ПДн на автоматизированном рабочем месте работники Оператора соблюдают следующие правила работы в ИСПДн:

− работнику разрешается использовать ИСПДн Оператора только для выполнения должностных обязанностей либо обязательств, принятых на основании заключенных соглашений/ договоров (наличие технической возможности использования ИСПДн Оператора не означает легитимность ее использования);

                    −   работнику предоставляются права доступа к ИСПДн только по его

персональной учетной записи и личному паролю;

− учетная запись работника является уникальным идентификатором, персонализирующим его деятельность в ИСПДн (действия, совершаемые с использованием учетной записи, рассматриваются как действия, совершаемые лично работником);

− при подозрениях на вирусное заражение ПК (например, сигнализации антивирусного программного обеспечения, нестандартном поведении операционной системы и используемых программ) работник должен немедленно сообщить об этом в Отдел поддержки пользователей;

− при возникновении нештатной ситуации при работе на ПК или отклонениях от штатного режима работы ПО работник должен немедленно обратиться в Отдел поддержки пользователей;

− при работе с электронной почтой работник руководствуется «Правилами работы с корпоративной электронной почтой» Инструкции работника по соблюдению политик информационной безопасности;

− работа с ресурсами сети Интернет регулируется «Правилами работы в сети Интернет» Инструкции работника по соблюдению политик информационной безопасности;

− использование работниками переносных ПК регулируется «Правилами использования мобильных компьютеров, мобильных устройств и съемных носителей информации» Инструкции работника по соблюдению политик информационной

безопасности;

− использующий ИСПДн работник обязан информировать Отдел информационной безопасности (далее – Отдел ИБ) о ставших ему известными недостатках в системе защиты информации, нарушениях настоящего Положения и других угрозах информационной безопасности.

4.3.4. При работе с ПДн на автоматизированном рабочем месте в ИСПДн работникам Оператора запрещается:

− передавать пароль к своей учетной записи, а также допускать работу других лиц под своей учетной записью;

                    −        копировать, изменять, уничтожать информацию, хранящуюся в ИСПДн

Оператора, без получения соответствующих полномочий;

− самостоятельно вскрывать корпус ПК и/или изменять его аппаратную конфигурацию (например, снимать или устанавливать аппаратные компоненты и периферийные устройства); − использовать компьютерную технику в целях, не связанных с исполнением должностных обязанностей;

− использовать информационные системы, к которым у работника нет прав доступа (техническая возможность доступа работника к ИСПДн, не предусмотренная его должностными обязанностями, не дает легитимного права на их использование);

− получать доступ к ИСПДн и обрабатывать информацию с использованием учетных данных (логина и пароля) других работников;

                    −      изменять настройки SETUP (BIOS) ПК;

− изменять сетевые настройки ПК (IP-адрес, MAC-адрес, сетевое имя ПК, добавлять/убирать протоколы и службы и т.п.);

− подключать и активировать на ПК средства беспроводного доступа (Wi-Fi, Bluetooth и т.п.), организовывать сети Wi-Fi, подключать точки доступа;

− подключать самостоятельно (без участия работников Отдела поддержки пользователей и без заявки, согласованной с Отделом ИБ) к ПК модемы, сотовые телефоны, фотоаппараты, USB-диски и другие устройства, устанавливать на ПК устройства записи на съемные носители (CD/DVD-RW, дисководы, стримеры и т.п.);

                    −          открывать общий доступ к локальным дискам и папкам ПК;

− подключать к локальной сети Оператора личные ПК или ПК, принадлежащие сторонним организациям, получившим право доступа к информационной инфраструктуре Оператора на основании подписанного соглашения (договора), без согласования с Отделом ИБ.

− исследовать, сканировать корпоративную сеть передачи данных при помощи специальных программ (сканеров, снифферов и пр. программ сканирования сети);

− изменять программную конфигурацию ПК (например, устанавливать или удалять программное обеспечение, изменять системные настройки) без участия работников Группы поддержки пользователей;

− самостоятельно устранять неисправности в работе ПК. В случае возникновения неполадок в работе ПК или периферийных устройств работнику необходимо обратиться в Группу поддержки пользователей.

 

5.        Права и обязанности субъекта ПДн и Оператора 

5.1.      Права субъекта ПДн

Субъект ПДн имеет право:

− Получать доступ к своим персональным данным для ознакомления с ними, включая право на безвозмездное получение копий любой записи содержащей его ПДн. Форма запроса на предоставление копий документов, содержащих собственные персональные данные субъекта, представлена в Приложении 3.

− Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора ПДн.

− Получать от Оператора сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ, перечень обрабатываемых ПДн и источник их получения, сроки обработки ПДн, в том числе сроки их хранения, сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его персональных данных.

− Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях. 

− Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

5.2.      Обязанности субъекта ПДн

5.2.1. Субъект ПДн обязан в случае изменения персональных данных представить соответствующие документы для подтверждения и внесения изменений в течение пяти рабочих дней с момента их изменения.

5.2.2. Субъекты ПДн обязаны при приеме на работу представлять в Отдел кадров и Дирекцию по управлению персоналом достоверные ПДн в порядке и объеме, предусмотренном законодательством Российской Федерации и настоящим Положением. Работники Департамента персонала проверяют соответствие предоставленных ПДн оригиналам документов. С письменного согласия субъекта ПДн может быть проведена проверка достоверности предоставленных сведений и документов.

5.3.      Обязанности Оператора

5.3.1. В соответствии с требованиями Федерального закона «О персональных данных» Оператор обязано:

а) предоставить по запросу субъекта ПДн или его представителя информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса;

б) уточнять обрабатываемые ПДн по требованию субъекта ПДн, блокировать или уничтожать, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;

в) вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления

ПДн по этим запросам; 

г) уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн получены не от субъекта ПДн (за исключением случаев, предусмотренных действующим

законодательством);

д) в случае достижения цели обработки ПДн незамедлительно прекратить их обработку и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, а также иным соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом

«О персональных данных» или другими федеральными законами Российской Федерации;

е) в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить

обработку ПДн и уничтожить их в следующие сроки:  

− в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн в соответствии со ст. 21 п.5 Федерального закона «О персональных данных.»

− в срок, не превышающий тридцати дней, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами;

ж) уведомить субъекта ПДн об уничтожении его ПДн.

 

6.      Взаимодействие с государственными органами 

6.1. Оператор сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения запроса.

6.2. В случае получения запроса или обращения уполномоченного органа по защите прав субъектов ПДн о недостоверности ПДн или неправомерных действиях с ними выявленные нарушения подлежат устранению. Оператор сообщает в указанный орган об устранении нарушений либо об уничтожении ПДн в случае невозможности устранения нарушений.

6.3. В установленных действующим законодательством случаях Оператор предоставляет информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти в рамках их компетенции.

6.4. Запросы на предоставление доступа к обрабатываемым ПДн могут быть обжалованы в судебном порядке в соответствии с законодательством Российской Федерации.

6.5. Порядок взаимодействия с уполномоченным органом по защите прав субъектов ПДн регламентирован Порядком взаимодействия ООО «Центр Хранения Данных» с уполномоченным органом по защите прав субъектов персональных данных.

 

7.        Ответственность за нарушение норм, регулирующих обработку персональных

данных 

7.1. Работник, имеющий доступ к персональным данным и получающий для работы конфиденциальные документы, несет ответственность за сохранность материального носителя и конфиденциальность информации.

7.2. Лица, виновные в нарушении конфиденциальности персональных данных, а также норм, регулирующих их обработку, несут дисциплинарную, уголовную, административную ответственность, предусмотренную законодательством Российской Федерации.

7.3. Работник, предоставивший Оператору подложные документы или заведомо ложные сведения о себе, несет административную, уголовную и иную ответственность в соответствии с законодательством Российской Федерации.

 

8.        Заключительные положения

8.1. Данное Положение вступает в силу с момента его утверждения Генеральным директором Оператора.

8.2. Оператор оставляет за собой право пересматривать, изменять, дополнять или отменять настоящее Положение, если это будет обусловлено требованиями бизнеса и/или изменениями в действующем законодательстве Российской Федерации.

Приложение 1

 

Форма 1 Согласие на обработку персональных данных Я,
(фамилия, имя, отчество) адрес:
(адрес регистрации по месту жительства)                          паспорт:                выдан:                                                        (номер)                                                                                 (дата выдачи)
(кем выдан, орган выдачи документа)   в соответствии со статьями 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях:             −     обеспечения соблюдения законов иных нормативных правовых актов; − заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;             −     отражения информации в кадровых документах;             −     начисления заработной платы; − исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование; − представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ; − предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы; −          предоставления сведений третьим лицам для оформления полиса ДМС; −          предоставления налоговых вычетов;             −     обеспечения моей безопасности;             −     контроля количества и качества выполняемой мной работы;             −     обеспечения сохранности имущества работодателя Даю согласие  Оператору персональных данных: ООО  «Центр Хранения Данных», расположенному по адресу: 109316, г. Москва, Остаповский проезд, дом 22, строение 16, тел. 8(495) 645-68-89, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.  Мои персональные данные, в отношении которых дается данное согласие, включают: ФИО, дата и место рождения, пол, паспортные данные, ИНН, СНИЛС, фотография, адрес регистрации, фактический адрес проживания, номер телефона (мобильный, домашний), адрес электронной почты, гражданство, сведения о воинском учете, семейное положение, сведения о составе семьи, сведения об образовании, должность, структурное подразделение, награды,
размер заработной платы, номер банковского счета для перечисления заработной платы, номер зарплатной банковской карты. Основанием для обработки персональных данных является: статья 24 Конституции Российской Федерации, статья 6 Федерального закона № 152-ФЗ «О персональных данных», Устав ООО «Центр Хранения Данных», согласие на обработку персональных данных. Подтверждаю, что ознакомлен(а) с Положением об обработке персональных данных в ООО «Центр Хранения Данных», права и обязанности в области защиты персональных данных мне разъяснены, а также право работодателя на обработку, хранение и передачу части моих персональных данных без моего согласия, в соответствии с законодательством РФ. Подтверждаю, что согласие может быть отозвано мною путем направления письменного заявления в ООО «Центр Хранения Данных» или его представителю по адресу, указанному в начале данного Согласия. В случае отзыва мною согласия на обработку персональных данных ООО «Центр Хранения Данных» вправе продолжить обработку персональных данных без моего при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г. Настоящее согласие действует со дня его подписания и до момента достижения цели обработки персональных данных.   «___» _______ 20__ г.            _______________________/__________________________
(перечень персональных данных, на обработку которых дается согласие, включая особое указание на специальные категории ПДн и биометрические ПДн) Действия с моими персональными данными включают в себя:

 

 

находящемуся по адресу: 109316, г. Москва, Остаповский проезд, дом 22, строение 16, тел.: 8(495) 645-68-89 на передачу и обработку моих персональных данных                                                     (наименование третьего лица, осуществляющего обработку ПДн по поручению Оператора)   (юридический адрес третьего лица, осуществляющего обработку по поручению Оператора)   Мои персональные данные, в отношении которых дается данное согласие, включают:                            (перечень персональных данных, на обработку которых дается согласие, включая особое указание на специальные категории ПДн и биометрические ПДн) Действия с моими персональными данными включают в себя:   (перечень действий с персональными данными, на совершение которых дается согласие)   (описание используемых способов обработки персональных данных: автоматизированная / неавтоматизированная обработка, в однопользовательском / многопользовательском режиме, с передачей / без передачи по сетям связи) Подтверждаю, что согласие может быть отозвано мною путем направления письменного заявления в ООО «Центр Хранения Данных» или его представителю по адресу, указанному в начале данного Согласия. Настоящее согласие действует со дня его подписания и до момента прекращения обработки персональных данных, указанных в данном Согласии.   «___» _______ 20__ г.            _______________________/__________________________

                                                                        

 

Форма 3 Субъекту персональных данных: __________________________________ ФИО __________________________________ Адрес местонахождения УВЕДОМЛЕНИЕ о получении ПДн у третьих лиц   Оператор персональных данных: ООО «Центр Хранения Данных», находящийся по адресу: 109316, г. Москва, Остаповский проезд, дом 22, строение 16, тел.: 8(495) 645-68-89 С целью: осуществления трудовых отношений с работниками (цель обработки персональных данных) намерен осуществлять обработку Ваших персональных данных, включая:   (перечень персональных данных) полученных от:   (источник получения персональных данных) Обработка вышеуказанных персональных данных будет осуществляться путем:    (перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных) К персональным данным получат доступ следующие лица: ___________________________________________________________________________________________ (перечень конкретных лиц или должностей) Обработка указанных персональных данных будет являться основанием для: ___________________________________________________________________________________________ (решения, принимаемые на основании обработки; возможные юридические  последствия обработки) Дата начала обработки персональных данных: ___________________ Срок или условие прекращения обработки персональных данных:  ___________________________________________________________________________________________                                                                                                                                                                                              (дата)                                                                                             (подпись)

 

Форма 4 Согласие на получение ПДн у третьих лиц  Я,       (фамилия, имя, отчество) проживающий по адресу:                       (адрес места жительства) паспорт:                       , выданный       (место выдачи паспорта) даю согласие Оператору персональных данных:            ООО «Центр Хранения Данных» находящемуся по адресу: 109316, г. Москва, Остаповский проезд, дом 22, строение 16, тел.: 8(495) 645-68-89 на получение моих персональных данных у третьих лиц в целях:      (цель обработки персональных данных) Мои персональные данные, в отношении которых дается данное согласие, включают:     (перечень персональных данных, на обработку которых дается согласие, включая особое указание на специальные категории ПДн и биометрические ПДн) Действия с моими персональными данными включают в себя:   (перечень действий с персональными данными, на совершение которых дается согласие)   (описание используемых оператором способов обработки персональных данных: автоматизированная / неавтоматизированная обработка, в однопользовательском / многопользовательском режиме, с передачей / без передачи по сетям связи, используя / не используя сети связи общего пользования)       Согласие действует на период                                         (срок, в течение которого действует согласие) и прекращается                                                                              (условие прекращения обработки персональных данных) Для обработки персональных данных, содержащихся в данном согласии, дополнительного письменного разрешения их обладателя не требуется.                                                                                               (дата)                                                                                                  (подпись)

 

Приложение 2

 

Форма ОБЯЗАТЕЛЬСТВО  о неразглашении персональных данных Я, ______________________________________________________________________________________________ (Ф.И.О.) паспорт серии                          , номер                             , выдан     (должность, структурное подразделение) обязуюсь: 1. Не сообщать персональные данные субъектов ПДн, а именно:   (перечень ПДн) ставшие мне известными в силу выполнения должностных обязанностей, третьей стороне без их письменного согласия, за исключением случаев, когда это требуется в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных действующим законодательством Российской Федерации. 2.              Не использовать персональные данные субъектов ПДн в коммерческих целях без их письменного согласия. 3.              Разрешать доступ к персональным данным субъектов ПДн только специально уполномоченным лицам, при этом предупреждать их об ответственности за разглашение ПДн и о том, что эти данные могут быть использованы лишь в тех целях, для которых они получены.   4.              Соблюдать порядок обработки и передачи персональных данных субъектов ПДн в пределах ООО «Центр Хранения Данных». 5.              Обеспечивать сохранность документов, содержащих персональные данные субъектов ПДн, удостоверений, ключей от хранилищ, металлических шкафов и сейфов. 6.              Об утрате или недостаче материальных носителей персональных данных субъектов ПДн, ключей от хранилищ, металлических шкафов и сейфов и о других фактах, которые могут привести к утечке персональных данных субъектов ПДн, немедленно сообщать своему руководителю.   До моего сведения доведены и разъяснены соответствующие положения по обеспечению сохранности персональных данных субъектов ПДн, установленные действующим законодательством Российской Федерации и локальными нормативными актами ООО »Центр Хранения Данных». Мне известно, что нарушение данных положений может повлечь уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с законодательством Российской Федерации.     «__» __________ 20__г.                                                                                _________________                                                                                                                               (подпись)   Один экземпляр обязательства получил(-ла): «__» ________ 20__г.    _________________                                                                                                                               (подпись)

 

Приложение 3

 

Форма Директору департамента персонала ООО «Центр Хранения Данных» _______________________________                           (ФИО)  от _______________________________ (ФИО, должность)   Заявление о предоставлении собственных персональных данных   Прошу выдать мне следующим документ, содержащий мои персональные данные:   1.   Копию _____________________________________________в _______ экземплярах.   (указать документ: трудовая книжка, трудовой договор или др., количество экземпляров)   2.   Справку с места работы с указанием ________________________________________________   __________________________________________________________________________________________ (указать дополнительную информацию: с окладом \ без оклада, период отпуска,    __________________________________________________________________________________________ на русском / английском языке, количество экземпляров)   3.   Иное____________________________________________________________________________________      (указать документ)                                        «____»______________20__г.                    _______________/_____________________/                                                                                      (подпись, расшифровка подписи)

 

Приложение 4

 

Форма ____________________________________       (Должность, ФИО уполномоченного лица)  от ____________________________________ (ФИО, должность)       Заявление о предоставлении доступа к персональным данным   Прошу предоставить доступ к   _____________________________________________________________________________________________                                                                      (содержание персональных данных) _____________________________________________________________________________________________ (полные ФИО, должность, структурное подразделение работника, персональные данные которого  запрашиваются) с целью   _____________________________________________________________________________________________                                                     (указать цель получения персональных данных)   Я предупрежден(а) о том, что полученные мною «____» ___________ 20___ г. персональные данные могут быть использованы лишь в целях, для которых мне сообщены. Обязуюсь не разглашать полученные мною персональные данные без письменного согласия субъекта ПДн.  Об ответственности за разглашение персональных данных предупрежден(а).            «____»____________________20___г.                          ______________________/_______________/             (подпись, расшифровка подписи)

 

Приложение 5

 

Форма Акт об уничтожении ПДн   Утверждаю __________________________ __________________________ «___» ________________20___г. Акт №_______ об уничтожении персональных данных  № п/п Дата Место и форма хранения ПДн Тип материального носителя ПДн,  его регистрационный номер,  уничтожаемые ПДн                           Всего уничтожено материальных носителей (прописью): ____________________________________ Уничтожение произведено путем ____________________________________________________________ _______________________________________________________________________________________________ Ответственный за уничтожение (Ф.И.О., должность): _______________________________________________________________________________________________ Дата:                  ____________________ Подпись:          ____________________

 

Приложение № 2

 

УТВЕРЖДЕНА

Приказом от 14.05.2020 г.

№ 2020-042-9.2-01

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Политика

в отношении обработки персональных данных в ООО «Центр Хранения Данных»

 

Редакция 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Москва

2020

             

1.      ОБЩИЕ ПОЛОЖЕНИЯ

1.1.                Настоящая политика в отношении обработки персональных данных в ООО «Центр Хранения Данных» определяет основные принципы, условия и цели обработки персональных данных (далее – ПДн) работников ООО «Центр Хранения Данных» (далее – Оператор) и иных субъектов ПДн.

1.2.                Оператор является оператором ПДн в соответствии с законодательством Российской Федерации о персональных данных.

1.3.                Политика в отношении обработки персональных данных в ООО «Центр Хранения Данных» (далее – Политика) разработана в соответствии с действующим законодательством Российской Федерации о персональных данных, в том числе:

              −        Конституцией Российской Федерации;

₋ Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);

− Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

− Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

              ₋                  иными нормативными актами, регулирующими обработку ПДн.

1.4.                Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных.

1.5.                Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение, доступ), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение ПДн.

1.6.                Политика действует в отношении информации, которую Оператор получает о субъекте персональных данных в процессе предоставления услуг и/или исполнения договорных обязательств при условии согласия субъекта на обработку его персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных.

1.7.                Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае внесения существенных изменений в законодательство Российской Федерации о персональных данных.

1.8.                Настоящая Политика является документом, находящимся в зоне ответственности Департамента безопасности.

 

2.      ОСНОВНЫЕ ПОНЯТИЯ

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 

Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

3.      ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.  Оператор осуществляет обработку персональных данных в следующих целях:

3.1.1. Персональные данные работников Оператора и соискателей на работу у Оператора обрабатываются в целях:

− обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

− заключения, исполнения и прекращения гражданско-правовых договоров в ситуациях, предусмотренных законодательством и Уставом Оператора;

− организации кадрового учета Оператора, обеспечения соблюдения законов, заключения и исполнения обязательств по трудовым договорам;

              −                организация внутриобъектового и пропускного режимов;

− ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, пользования льготами;

− исполнения требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

3.1.2. Персональные данные представителей контрагентов Оператора обрабатываются в целях:

              −       установления договорных отношений с контрагентом путем заключения

договора; −    разового посещения представителя контрагента объекта Оператора.

 

4.      ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка ПДн у Оператора осуществляется на основе следующих принципов: − обработка ПДн осуществляется на законной и справедливой основе;

− обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

              −    обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

− не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

− содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

− при обработке ПДн обеспечивается их точность и достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;

− принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;

− хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

₋ обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

5.      УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн у Оператора осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных» и допускается в следующих случаях:

              − обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

₋ обработка ПДн необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и

обязанностей;

− обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

− обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

− обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

− обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

− осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

5.2. Оператор может включать ПДн работников в общедоступные источники ПДн, при этом Оператор берет письменное согласие работника на обработку его ПДн.

5.3. Оператор может осуществлять обработку данных о состоянии здоровья работника в следующих случаях:

− в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

− для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта ПДн невозможно;

− для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

− в соответствии с законодательством об обязательных видах страхования, а также со страховым законодательством.

5.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) у Оператора не обрабатываются.

5.5. Оператор не осуществляет трансграничную передачу ПДн.

5.6. При необходимости получения письменного согласия субъекта на обработку его ПДн данное согласие субъекта может быть дано как субъектом ПДн, так и его представителем в любой форме, позволяющей подтвердить факт его получения.

5.7. При поручении обработки ПДн другому лицу Оператор заключает договор (далее – поручение оператора) с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено Федеральным законом. При этом Оператор в поручении оператора обязует лицо, осуществляющее обработку ПДн по поручению Оператора, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».

5.8. В случаях, когда Оператор поручает обработку ПДн работников другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Операторм.

5.9. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом.

 

6.      ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями ФЗ «О персональных данных» Оператор обязана:

6.1.                Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней от даты получения запроса субъекта ПДн или его представителя;

6.2.                По требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;

6.3.                Вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также информация о предоставленных ПДн по этим запросам;

6.4.                Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:

1)     субъект ПДн уведомлен об осуществлении обработки Операторм его ПДн;

2)     ПДн получены Операторм в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн или на основании Федерального закона;

6.7.         ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

6.8.         Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта

ПДн;

6.9.         Предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;

6.10.      В случае достижения цели обработки ПДн прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней от даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Операторм и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами;

6.11.      В случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней от даты поступления указанного отзыва, если иное не предусмотрено соглашением между Операторм и субъектом ПДн. Об уничтожении ПДн Оператор обязана уведомить субъекта ПДн.

 

7.      МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

7.1. При обработке ПДн Оператор применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается следующими способами:

              −     назначением ответственных за организацию обработки ПДн;

− ознакомлением работникоу Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных сотрудников;

− определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);

− применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

₋ оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

              −        учетом машинных носителей ПДн;

              −   обнаружением фактов несанкционированного доступа к ПДн и принятие мер;

− восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

− установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

− контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

8.      ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект ПДн имеет право получить сведения, касающиеся обработки его ПДн Операторм, а именно:

              −        подтверждение факта обработки ПДн Операторм;

              −    правовые основания и цели обработки ПДн Операторм;

              −        применяемые Операторм способы обработки ПДн;

− наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании Федерального закона;

− обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

              −    сроки обработки ПДн Операторм, в том числе сроки их хранения;

− порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;

−          информацию об осуществленной или предполагаемой трансграничной передаче данных;

− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

− иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

8.2. Субъект ПДн имеет право потребовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.3. Субъект ПДн имеет право отозвать согласие на обработку ПДн в предусмотренных законом случаях.

 

9.      ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1.                Обращение (запрос) субъекта ПДн к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде. Запрос может быть подан или направлен субъектом ПДн или его представителем. Запрос в соответствии со ст. 14 ФЗ "О персональных данных" должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.2.                В случае личного визита, форма запроса выдается ответственным работником Оператора, и заполняется субъектом ПДн или его представителем с проставлением собственноручной подписи в присутствии указанного работника.

9.3.                Работник, назначенный ответственным за прием обращений субъектов ПДн, получив запрос по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн, основания, по которым лицо выступает в качестве представителя субъекта ПДн, и представленные при обращении оригиналы документов.

9.4.                Ответ на запрос отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении.

9.5.                Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней от даты получения оператором запроса субъекта ПДн.

9.6.                Срок внесения необходимых изменений в ПДн, являющихся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.

9.7.                Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

 

10.   ОГРАНИЧЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1.             Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы третьих лиц.

10.2.             В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

10.3.             Субъект ПДн вправе направить в адрес Оператора повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.

10.4.             Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 10.2 и 10.3 настоящей Политики.

 

11.   ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ 

11.1.             Работники Оператора, имеющие доступ к персональным данным субъектов ПДн, несут ответственность за сохранность и конфиденциальность ПДн.

11.2.             Лица, виновные в нарушении положений законодательства Российской Федерации в области обработки персональных данных, несут дисциплинарную, гражданскоправовую, административную и уголовную ответственность в порядке, предусмотренном действующим законодательством Российской Федерации.