Политика конфиденциальности ООО "ПТЦ "Привод"
Подбор мотор - редуктора

Правилами пользования сайтом

ПОЛОЖЕНИЕ

о правилах, порядке обработки и защиты персональных данных 

Общества с ограниченной ответственностью Производственно-технический центр «ПРИВОД»

1. ОПРЕДЕЛЕНИЯ

Наименование термина

Определение термина


Автоматизированная обработка персональных данных компании


обработка персональных данных с помощью средств вычислительной техники.



Безопасность информации

состояние защищенности информации, характеризуемое способностью технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.


Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).




Вирус (компьютерный, программный)

исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.



Вредоносная программа

программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ к информации

возможность получения информации и ее использования.



Защищаемая информация

информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.


Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.


Источник угрозы безопасности информации

субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.





Накопитель информации

устройство, предназначенное для записи и (или) чтения информации на носитель информации. Накопитель информации конструктивно может содержать в себе неотчуждаемый носитель информации, либо может быть предназначен для использования сменных носителей информации. Накопители подразделяются на встроенные (в конструктиве системного блока) и внешние (подсоединяемые через порт). Встроенные накопители подразделяются на съемные и несъемные.

Нарушитель безопасности персональных данных

физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке (в том числе техническими средствами) в информационных системах персональных данных.

Несанкционированный

доступ

(несанкционированные

действия)

доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Носитель информации

физический объект, предназначенный для хранения информации, действия, в результате которых становится невозможным без

Обезличивание персональных данных

использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Перехват (информации)

неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных

лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Система защиты персональных данных

комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в ИСПД.

 

 

 

Технические средства информационной системы персональных данных

средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Технический канал утечки информации

совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

 

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства,

иностранному физическому лицу или иностранному юридическому лицу.

 

 

Угрозы безопасности персональных данных

совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

 

 

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам

неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

ИСПД

информационная система персональных данных.

МНИ

машинный носитель информации.

нсд

несанкционированный доступ.

ПДн

персональные данные.

Положение

настоящее «Положение о порядке обработки и защиты персональных данных».

Типовая форма

типовая форма документов, содержащих ПДн.

2. ОСНОВНЫЕ ПОЛОЖЕНИЯ

2.1.           Настоящее Положение разработано в соответствии с требованиями:

      Статьей 24 Конституции Российской Федерации;

      Главой 14 Трудового Кодекса Российской Федерации;

      Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных» от 27.07.2006;

      Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;

      Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

      Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

      Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

      Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

      Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

      Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

      Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации Федеральных целевых программ»).

2.2.           Настоящее Положение разработано в целях соблюдения требований законодательства Российской Федерации в области ПДн и защиты информации, относящейся к личности субъектов ПДн Общество с ограниченной ответственностью Производственно-технический центр «ПРИВОД» (далее - Общество).

2.3.           Настоящим Положением определяется порядок обработки (сбор, накопление, хранение, использование, распространение, уничтожение) ПДн субъектов ПДн Общества.

2.4.           В состав ПДн субъектов ПДн Общества входят:

   персональные данные сотрудников в объеме менее 100000 субъектов персональных данных;

   персональные данные соискателей в объеме менее 100000 субъектов персональных данных;

   персональные данные посетителей в объеме менее 100000 субъектов персональных данных;

   персональные данные контрагентов в объеме менее 100000 субъектов персональных данных;

2.5.           Персональные данные сотрудников Общества:

   фамилия, имя, отчество;

   пол;

   место, год и дата рождения;

   адрес места жительства;

   адрес регистрации;

   паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);

   гражданство;

   страховой номер индивидуального лицевого счета (СНИЛС), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

   информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность, квалификация по диплому);

   информация о трудовой деятельности до приема на работу;

   информация о трудовом стаже (место работы, должность, период работы, причины увольнения);

   телефонный номер (домашний, рабочий, мобильный);

   семейное положение и состав семьи (муж/жена, дети);

   оклад;

   данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

   сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

   ИНН;

   данные об аттестации работников;

   данные о повышении квалификации;

   данные о наградах, медалях, поощрениях, почетных званиях;

   информация о приеме на работу, перемещении по должности, увольнении;

   информация об отпусках;

   информация о командировках;

   информация о болезнях;

   информация о негосударственном пенсионном обеспечении;

   сведения о наличии личного автотранспорта;

   адрес электронной почты;

   фотография (изображение сотрудника);

   сведения о прохождении медицинского осмотра.

2.6.           Персональные данные субъектов соискателей:

   фамилия, имя, отчество;

   дата рождения;

   место рождения;

   адрес места жительства;

   адрес регистрации;

   телефонный номер (домашний, рабочий, мобильный);

   информация об образовании (наименование образовательного учреждения, период обучения, специальность, квалификация по диплому);

   информация о трудовой деятельности до приема на работу;

   информация о трудовом стаже (место работы, должность, основные обязанности, количество подчиненных, период работы, причины увольнения);

   сведения о наличии личного автотранспорта;

   адрес электронной почты;

   фотография (изображение гражданина).

   2.7.      Персональные данные субъектов посетителей:

   фамилия, имя, отчество;

   адрес регистрации;

   паспортные данные (серия, номер паспорта, кем и когда выдан).

   2.8.      Персональные данные субъектов контрагентов:

   фамилия, имя, отчество;

   адрес электронной почты;

   телефонный номер (рабочий, мобильный);

   иные документы, содержащие сведения о субъекте ПДн, нахождение которых в ИСПД оператора необходимо для корректного документального оформления правоотношений с субъектом ПДн.

2.9.           ПДн субъектов ПДн, внесенные в ИСПД оператора, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации.

2.10.         Обеспечение конфиденциальности ПДн не требуется:

   в случае обезличивания ПДн;

   в отношении ПДн, которые субъект Пд разрешил к распространению.

2.11.         В целях исполнения требований законодательства РФ (в том числе трудового законодательства), субъект ПДн обязан:

   передавать оператору достоверные, документированные ПДн, состав которых установлен законодательством РФ (в том числе Трудовым кодексом РФ, Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и т.д.);

   в случае изменения сведений, содержащих ПДн (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, семейном положении, состоянии здоровья (при выявлении противопоказаний для выполнения служебных обязанностей (работы, обучения), обусловленных служебным контрактом (трудовым договором), или иных, своевременно (как правило, в 3-дневный срок) сообщать о таких изменениях оператору ПДн.

2.12.         Доступ к ПД субъектов ПДн разрешается только специально уполномоченным лицам, при этом указанные лица могут получать только те ПДн субъектов ПДн, которые необходимы для выполнения конкретных функций.

2.13.         Руководитель Общества определяет перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование ПДн субъектов ПДн Общества и несущих ответственность за нарушение режима защиты этих ПДн в соответствии с законодательством Российской Федерации.

2.14.         Все лица, в функциональные (должностные) обязанности которых входит получение, обработка и защита ПДн субъектов ПДн в ИСПД оператора ПДн, при приёме на работу обязаны подписать обязательство о неразглашении ПДн.

2.15.         Обработка ПДн допускается в следующих случаях:

   обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

   обработка персональных данных необходима     для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

   обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

   обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (исполнение судебного акта);

   обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

   обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

   осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, разрешенные субъектом персональных данных к распространению);

   осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.16.         Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законом «О персональных данных».

2.17.         Обработка специальных категорий ПДн допускается в случаях, если:

   субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

   персональные данные разрешены субъектом персональных данных к распространению;

   обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

   обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

   обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

   обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

   обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации;

   обработка персональных данных о судимости может осуществляться в случаях и в порядке, которые определяются в соответствии с федеральными законами.

2.18.         Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

2.19.         Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в ИСПД.

3.  ОБЯЗАННОСТИ ОПЕРАТОРА

3.1.           В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке ПДн субъекта ПДн обязаны соблюдать следующие общие требования:

   обработка ПДн субъекта ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам ПДн в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъектов ПДн, контроля количества и качества выполняемой работы, и обеспечения сохранности имущества;

   все ПДн субъекта ПДн следует получать у него самого. Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

   оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и пользователях ПДн, способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.

3.2.           При сборе персональных данных Оператор обязан предоставить субъекту ПДн по его просьбе следующую информацию:

   подтверждение факта обработки ПДн Оператором;

   правовые основания и цели обработки ПДн;

   цели и применяемые оператором способы Обработки ПДн;

   наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

   обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

   сроки обработки ПДн, в том числе сроки их хранения;

   порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

   информацию об осуществленной или о предполагаемой трансграничной передаче данных;

   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

   иные сведения, предусмотренные федеральными законами.

3.3.           Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.

3.4.           Если ПДн получены не от субъекта ПДн, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:

   наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

   цель обработки ПДн и ее правовое основание;

   предполагаемые пользователи ПДн;

   установленные Федеральным законом права субъекта ПДн;

   источник получения ПДн.

3.5.           Оператор освобождается от обязанности предоставить субъекту ПДн сведения вышеуказанного пункта, в случаях, если:

   субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим Оператором;

   ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

   предоставление субъекту ПДн данных сведений нарушает права и законные интересы третьих лиц.

3.6.           Оператор не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.7.           Оператор не имеет права получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

3.8.           При принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, оператор не имеет права основываться на ПДн субъекта ПДн, полученных исключительно в результате их автоматизированной обработки.

3.9.           Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

3.10.         Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

3.11.         Оператор обязан рассмотреть указанное выше возражение, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.

3.12.         Оператор обязан обеспечить конфиденциальность ПДн, за исключением случаев обезличивания ПДн и в отношении ПДн, разрешенных субъектом Пд к распространению.

3.13.         В общедоступные источники ПДн (в том числе справочники, адресные книги) с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

3.14.         Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по его требованию либо по решению суда или иных уполномоченных государственных органов.

3.15.         Защита ПДн субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена оператором за счет его (оператора) средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

3.16.         Субъекты ПДн и их представители должны быть ознакомлены под личную подпись с документами Оператора, устанавливающими порядок обработки ПДн субъекта ПДн в конкретной ИСПД, а также об их правах и обязанностях в этой области.

3.17.         Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту

тайны.

3.18.         Для устранения нарушений законодательства, допущенных при обработке ПДн, а также в целях уточнения, блокирования и уничтожения ПДн Оператор обязан:

   в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц;

   в случае подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора ПДн) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн;

   в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора ПДн. В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.

3.19.         Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

3.20.         В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.

3.21.         В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.

3.22.         В случае отсутствия возможности уничтожения ПДн, оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4.  ПРАВА СУБЪЕКТА ПДН ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПДН, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

4.1.           Субъект ПДн имеет право письменного отзыва согласия на обработку его ПДн.

4.2.           В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в федеральном законе «О персональных данных».

4.3.           Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся у оператора, имеет право:

   получать полную информацию о своих ПДн и обработке ПДн, в том числе автоматизированной;

   получать свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта ПДн, за исключением случаев, предусмотренных законом «О персональных данных»;

   требовать исключения или исправления неверных или неполных ПДн, а также ПДн, обработанных с нарушением Федерального законодательства. Субъект ПДн при отказе оператора исключить или исправить его ПДн имеет право заявить в письменной форме оператору о своем несогласии, обосновав соответствующим образом такое несогласие. ПДн оценочного характера субъект ПДн имеет право дополнить заявлением, выражающим его собственную точку зрения;

   требовать от оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных изменениях или исключениях;

   обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн, считает, что оператор осуществляет обработку его ПДн с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

4.4.           Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:

•   обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

•   обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

® обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

•   доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

•   обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

5.  ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.           Трудовые книжки хранятся в закрытом сейфе (металлическом шкафу). Личные карточки субъектов ПДн (форма Т-2) хранятся в картотечных ящиках, исключающих доступ к ним посторонних лиц.

5.2.           Копировать и делать выписки ПДн субъекта ПДн разрешается исключительно в служебных целях с письменного разрешения руководителя компании.

5.3.           Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать излишний объем ПДн.

5.4.           Оформление справки с места работы производится по заявлению сотрудника Общества. При выдаче справки с места работы необходимо удостовериться в личности сотрудника, которому эта справка выдается. Не разрешается выдавать её родственникам или сослуживцам (сокурсникам) лица, которому требуется справка (за исключением случаев предоставления нотариально заверенной доверенности).

5.5.           Первичные бухгалтерские документы по начислению зарплаты, по начислению за дни отпуска, ведомости распределения зарплаты, ведомости по удержаниям из заработной платы и т.п. подшиваются и хранятся в сейфах (металлических шкафах). Лицевые счета сотрудников Общества с расчетными листками хранятся в сейфах (металлических шкафах или картотечных шкафах).

5.6.           Номенклатурные дела с ПДн предусматриваются сводной номенклатурой дел Общества и, при необходимости, регистрируются в номенклатурах дел кадровой службы (или иного лица/подразделения/службы осуществляющего аналогичную функцию) и бухгалтерии.

5.7.           На номенклатурных делах кадровой службы (или иного лица/подразделения/службы осуществляющего аналогичную функцию) и бухгалтерии (кроме дел с приказами по личному составу) проставляется гриф ограничения доступа «ПДн» (персональные данные).

5.8.           ПДн субъектов ПДн могут также храниться в электронном виде в ИСПД Общества и на МНИ.

5.9.           На МНИ ПДн проставляется гриф ограничения доступа «ПДн» (персональные данные), учёт их осуществляется в отдельных журналах.

5.10.         Порядок обработки и требования к обеспечению безопасности ПДн при их обработке в ИСПД осуществляться в полном соответствии с утвержденной проектной, организационно-распорядительной и эксплуатационной документацией ИСПД.

5.11.         Уничтожение носителей ПДн (бумажных документов и МНИ) производится комиссионно по актам установленной формы, с оформлением отметок об уничтожении в учётных журналах и номенклатуре дел.

5.12.         Носители ПДн пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями.

5.13.         Передача ПДн в электронном виде по телекоммуникационным каналам связи, осуществляется только по защищенным по требованиям безопасности информации в соответствии с законодательством РФ каналам связи.

5.14.         После увольнения (перевода) субъекта ПДн в его личное дело вносятся соответствующие документы (заявление субъекта ПДн о расторжении трудового договора, копия приказа об увольнении и т.п.), дело и лицевой счёт передаются на архивное хранение.

5.15.         Уборка и другие необходимые хозяйственные работы в помещениях, в которых обрабатываются и (или) хранятся ПДн, производятся в присутствии сотрудников Общества, отвечающих за находящиеся в этих помещениях носители ПДн. Во время уборки и хозяйственных работ все документы и носители ПДн должны находиться в сейфах (металлических шкафах, картотечных шкафах, ящиках).

5.16.         В конце рабочего дня все документы и МНИ, содержащие ПДн субъектов ПДн, убираются в надёжно запираемые сейфы (металлические шкафы, картотечные шкафы, ящики), которые уполномоченный сотрудник Общества опечатывает своей личной печатью.

5.17.         Физическая защита помещений, в которых хранятся и обрабатываются ПДн, и технических средств ИСПД обеспечивается с помощью персонала и инженерно-технических средств, предотвращающих или существенно затрудняющих проникновение в помещение посторонних лиц, хищение, подмену или уничтожение документов, накопителей и носителей информации.

6.  ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.           Информация, относящаяся к ПДн субъекта ПДн, может быть предоставлена государственным органам и негосударственным структурам только в порядке, установленном федеральным законодательством.

6.2.           Пользователями ПДн вне Общества могут являются:

   налоговые инспекции;

   правоохранительные органы;

   органы статистики;

   страховые агентства;

   военкоматы;

   в органы социального страхования;

   пенсионные фонды;

   кредитные организации;

   подразделения федеральных и муниципальных органов управления.

6.3.           Надзорно-контрольные органы имеют право безвозмездно получать информацию, необходимую для реализации своих полномочий.

6.4.           ПДн субъекта ПДн могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта ПДн (его законного представителя).

6.5.           В случае развода бывшая супруга (супруг) имеют право обратиться в Общество с письменным запросом о размере заработной платы субъекта ПДн (сотрудника Общества) без его согласия в порядке, установленном законодательством РФ.

6.6.           Оператор не вправе предоставлять ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом.

6.7.           В случае, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение ПДн субъекта ПДн, либо отсутствует письменное согласие субъекта ПДн на предоставление его ПДн, оператор обязан отказать в предоставлении ПДн.

6.8.           Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении ПДн.

6.9.           ПДн субъектов ПДн могут быть переданы представителям субъектов ПДн в порядке, установленном законодательством РФ (в том числе Трудовым кодексом), в том объеме, в каком это необходимо для выполнения указанными их представителями функций.

6.10.         Оператор обязан предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности.

6.11.         Запрещается передача ПДн субъекта ПДн в коммерческих целях без его письменного согласия.

7.  ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.           Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2.           Обеспечение безопасности ПДн субъектов ПДн достигается применением следующих организационных и технических мер:

   пропускной режим Общества;

   оборудование помещений, в которых обрабатываются и хранятся ПДн, инженерно- техническими средствами охраны;

   рациональное размещение рабочих мест сотрудников Общества, при котором исключался бы доступ к защищаемой информации (ПДн) посторонних лиц;

   определение состава сотрудников Общества, имеющих право входа в помещение, в котором обрабатываются ПДн;

   ограничение состава сотрудников Общества, в функциональные обязанности которых предполагают наличие доступа к ПДн в принципе и к конкретным ПДн в частности;

   избирательное и обоснованное распределение документов, носителей и информации между сотрудниками Общества;

   установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПД;

   знание лицами, уполномоченными на обработку и использование ПДн, требований нормативно-методических документов по их защите;

   обеспечение необходимых условий в помещении для работы с носителями ПДн и ИСПД;

   организация порядка хранения и уничтожения носителей ПДн;

   учет МНИ ПДн;

   обеспечение раздельного хранения ПДн (материальных носителей, информации в электронном виде), обработка которых осуществляется в различных целях;

   определение угроз безопасности ПДн при их обработке в ИСПД;

   применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПД, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

   применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

   использование защищённых по требованиям безопасности информации ИСПД;

   оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПД;

   обнаружение фактов НСД к ПДн и принятие соответствующих мер;

   восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;

   контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПД.

8.  ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ РЕЖИМА ЗАЩИТЫ, ОБРАБОТКИ И ПОРЯДКА ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.           Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут предусмотренную законодательством РФ ответственность.

8.2.           Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, установленных законодательством РФ, подлежит возмещению в соответствии с законодательством РФ.

8.3.           Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

 


lidform.png

У вас остались вопросы?

Напишите нам, получите бесплатную консультацию по оборудованию!