Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью Научно-производственное объединение «Трансмастер»

утверждена 01.09.2022 г.

  1. Общие положения

    1. Настоящая Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью Научно-производственное объединение «Трансмастер» (далее - Политика) определяет цели обработки персональных данных; перечень обрабатываемых персональных данных; категории субъектов, персональные данные которых обрабатываются; порядок обработки персональных данных, в том числе способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, меры, направленные на защиту персональных данных; права и обязанности субъекта персональных данных и оператора, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
    2. Настоящая Политика публикуется в свободном доступе в информационнотелекоммуникационной сети «Интернет» на сайте Общества с ограниченной ответственностью Научно-производственное объединение «Трансмастер» (далее – Общество, оператор).
    3. Настоящая Политика разработана в соответствии с законодательством Российской Федерации, в том числе с
      • Конституцией Российской Федерации от 12.12.1993 г.
      • Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ, № 51-ФЗ
      • Гражданским кодексом Российской Федерации от 30.11.1994 г.
      • Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»
      • Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
      • Федеральным законом об «Обществах с ограниченной ответственностью» от 08.02.1998 г. №14-ФЗ
      • Постановлением Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
      • Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
      • Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 за № 1119
      • Приказом «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных» от 18.02.2013 №21
      • иными федеральными законами и нормативно-правовыми актами.
      Правовыми основаниями обработки персональных данных являются:
      • Устав ООО НПО «Трансматер»
      • Правила внутреннего трудового распорядка Общества
      • договоры, заключаемые между Обществом и субъектом персональных данных
      • согласие субъекта персональных данных на обработку его персональных данных
      • иные локальные акты Общества
    4. Цель разработки настоящей Политики - определение порядка обработки персональных данных работников Общества и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора (Общества); обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных; обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
    5. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены новой Политикой. Все изменения в настоящую Политику вносятся путем издания приказа директором Общества.
    6. Действие настоящей Политики распространяется на все персональные данные, которые обрабатывает Общество.
  2. Основные понятия

    Для целей настоящей Политики используются следующие основные понятия:

    • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством РФ
    • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
    • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
    • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники
    • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц
    • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
    • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
    • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
    • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
    • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
    • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
  3. Принципы и цели обработки персональных данных

    Принципы обработки персональных данных:

    • осуществляется на законной и справедливой основе
    • ограничивается достижением конкретных, заранее определенных и законных целей
    • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных
    • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
    • обработке подлежат только персональные данные, которые отвечают целям их обработки
    • содержание и объем обрабатываемых персональных данных соответствует заявленным целям, не допускается избыточность обрабатываемых персональных данных
    • обеспечиваются точность, достаточность и актуальность персональных данных
    • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
    • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации

    Цели обработки персональных данных:

    • обеспечение соблюдения законодательства Российской Федерации, в том числе Конституции РФ, трудового, налогового, пенсионного законодательства, об обороне, в сфере здравоохранения, образования, страхового законодательства и локальных актов Общества
    • подбор персонала (соискателей) на имеющиеся в Обществе вакантные должности
    • ведение кадрового и бухгалтерского учета;
    • реализация прав и законных интересов ООО НПО «Трансмастер» в ходе осуществления хозяйственной деятельности
    • участие в конституционном, гражданском, административном, судопроизводстве, судопроизводстве в арбитражных судах, также для исполнения судебного акта
    • подготовка, заключение, исполнение гражданско-правового договора
    • продвижение товаров, работ, услуг на рынке
    • организация командирования работников
    • иные законные цели
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
    Способы обработки персональных данных.
    Цели обработки персональных данных.

    1. Соискатели (кандидаты) вакантных должностей Общества

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; дата, месяц, год и место рождения; адрес электронной почты; адрес регистрации; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); должность; адрес места жительства; номер телефона; сведения об образовании; отношение к воинской обязанности, сведения о воинском учете; пол; семейное положение, иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой, в том числе, которые представил соискатель (указал в своем резюме или анкете).

      Обработка персональных данных осуществляется с согласия субъекта персональных данных.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных соискателя является подбор персонала (соискателей) на имеющиеся в Обществе вакантные должности.

    2. Работники Общества, уволенные работники Общества

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; год, месяц, дата и место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о гражданстве, иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является обеспечение соблюдения законодательства Российской Федерации, в том числе Конституции РФ, трудового, налогового, пенсионного законодательства, об обороне, в сфере здравоохранения, образования, страхового законодательства и локальных актов Общества; ведение кадрового и бухгалтерского учета.

    3. Родственники работников

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; год, месяц, дата и место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; данные документа, содержащиеся в свидетельстве о рождении, иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является обеспечение соблюдения законодательства Российской Федерации, в том числе Конституции РФ, трудового, налогового, законодательства; ведение кадрового и бухгалтерского учета.

    4. Контрагенты, представители контрагентов

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес электронной почты; адрес места жительства и регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; данные документа, удостоверяющего личность за пределами Российской Федерации (при необходимости), иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является подготовка, заключение, исполнение гражданско-правового договора.

    5. Физические лица - учредители (участники) Общества.

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона адрес места жительства и регистрации; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; сведения о размере доли в уставном капитале общества и о ее номинальной стоимости; иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является обеспечение соблюдения законодательства Российской Федерации; реализация прав и законных интересов ООО НПО «Трансмастер» в ходе осуществления хозяйственной деятельности.

    6. Посетители сайта

      Общество с ограниченной ответственностью Научно-производственное объединение «Трансмастер» имеет сайт: www.autocistern.ru (далее – сайт).

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона, иные персональные данные, которые оставлены посетителем на сайте.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является подготовка, заключение, исполнение гражданско-правового договора; продвижение товаров, работ, услуг на рынке.

      Обработка персональных данных и иных данных (информация) посетителя сайта может осуществляться с использованием метрических программ (Яндекс.Метрика) и использованием файлов cookie.

      Cookie — небольшой фрагмент данных, который отправляется сервером и хранится на устройстве (компьютере, планшете, мобильном телефоне и пр.) посетителя сайта (пользователя). В cookie находится информация о пользователе (логин, пароль, местоположение, языковые настройки, сведения о товарах в корзине и т.п.).

      Персональные данные и иные данные (информация) посетителя сайта (пользователя) могут собираться и использоваться при помощи сервиса Яндекс.Метрика (далее – сервис), который использует файлы cookie. Сервис принадлежит Обществу с ограниченной ответственностью «ЯНДЕКС» (далее – Яндекс), зарегистрированному по адресу: 119021, Россия, Москва, ул. Льва Толстого, д. 16. Яндекс обрабатывает указанную информацию в порядке, установленном в условиях использования сервиса Яндекс.Метрика.

      Целью использования Обществом сервиса и файлов cookie является: аутентификация пользователя, веб-аналитика, отслеживание состояния сессии доступа пользователя, ведение статистики о пользователях и аналитики, а также улучшение условий пользования сайтом, навигации по сайту и корректной работы сервисов сайта, хранение персональных предпочтений и настроек пользователя.

      Со всей необходимой информацией о сервисе, в том числе об условиях использования сервиса пользователь может ознакомиться непосредственно на сайте Яндекса.

    7. Работники, субъекты персональных данных, предоставившие согласие на трансграничную передачу персональных данных

      Категории обрабатываемых персональных данных: фамилия, имя, отчество; год, месяц, дата и место рождения; пол; адрес электронной почты; номер телефона; гражданство, данные документа, удостоверяющего личность за пределами Российской Федерации; должность.

      Способы обработки: смешанная (автоматизированная и неавтоматизированная).

      Целью обработки персональных данных является подготовка, заключение, исполнение гражданско-правового договора; организация командирования работников.

    8. Обществом могут обрабатываться персональные данные иных субъектов персональных данных, категории обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований определяются в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества.

    9. Обществом не ведется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, сведений о состоянии здоровья; интимной жизни.

    10. Перечень действий, которые Общество вправе осуществлять при обработке персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    11. Обработка персональных данных в Обществе осуществляется следующими способами:

      • автоматизированная (с передачей по сети «Интернет» или без таковой);
      • неавтоматизированная;
      • смешанная.
  5. Порядок обработки персональных данных

    1. Сроки обработки и хранения персональных данных

      Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, истечением срока действия согласия, отзывом субъектом персональных данных согласия на обработку персональных данных либо выявлением неправомерности обработки персональных данных.

      Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.

      Персональные данные обрабатываются и хранятся в Обществе по месту его нахождения.

      Персональные данные могут храниться как на бумажных носителях, так и в электронном виде, в том числе в программе «1С».

      Сроки архивного хранения документов устанавливаются законодательством РФ.

      Право неограниченного доступа к персональным данным всех категорий субъектов персональные данные, которых обрабатываются в Обществе имеют:

      • директор Общества
      • юрисконсульт Общества

      Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет директор Общества.

    2. Передача персональных данных

      Для распространения персональных данных оформляется соответствующее согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

      Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

      В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

      Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

    3. Передача персональных данных физического лица, состоящего в трудовых отношениях с Обществом (работника)

      При передаче персональных данных оператор должен соблюдать следующие требования:

      • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ
      • не сообщать персональные данные работника в коммерческих целях без его письменного согласия
      • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено
      • осуществлять передачу персональных данных работника в пределах Общества в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись
      • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций
      • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции
      • передавать персональные данные работника представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций
    4. Порядок уничтожения персональных данных

      Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

      В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ.

      В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ.

      В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

      В случае отсутствия возможности уничтожения персональных данных в течение указанного выше срока, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

      Уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

      Уничтожение персональных данных субъекта осуществляется комиссией, созданной на основании приказа директора Общества. В состав комиссии включается работник, ответственный за обработку документов, планируемых к уничтожению. В случае невозможности создания комиссии, директор Общества издает приказ, которым назначает работника, ответственного за проведение процедуры уничтожения персональных данных.

      Далее определяется перечень подлежащих уничтожению документов и (или) носителей персональных данных и способ их уничтожения.

      Уничтожение документов, содержащих персональные данные, может осуществляться следующими способами: разрезание; сжигание; механическое уничтожение; сдача предприятию по утилизации вторичного сырья; стирание на устройстве гарантированного уничтожения информации (подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»; в случае допустимости повторного использования носителя CD-RW, DVD-RW, флеш-носителя, применяется программное удаление («затирание») содержимого путем его форматирования).

      После уничтоженные документы (носители), содержавшие персональные данные, списываются с книг и журналов учета (регистрации) данных документов (носителей).

      В случае обработки персональных без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

      В случае обработки персональных с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

      Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

    5. Меры, направленные на защиту персональных данных

      Обществом принимаются следующие меры, направленные на защиту персональных данных:

      • назначение ответственного работника за организацию обработки персональных данных
      • разработка локальных актов, касающихся обработки и защиты персональных данных;
      • установление правил доступа к персональным данным;
      • установление индивидуальных паролей доступа работников в информационную систему в соответствии с их обязанностями
      • применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации (применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами)
      • соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним
      • обнаружение фактов несанкционированного доступа к персональным данным
      • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
      • обучение работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных
      • осуществление внутреннего контроля и (или) аудита
      • определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах

      В целях защиты персональных данных на бумажных носителях директор Общества:

      • приказом назначает ответственного за обработку персональных данных
      • приказом назначает ответственного за соблюдение мер безопасности в отношении персональных данных
      • приказом назначает работников, имеющих доступ к персональным данным с определением объема такого доступа
      • обеспечивает хранение документов, содержащих персональные данные в шкафах, запирающихся на ключ, либо в иных, специально отведенных местах

      Работники, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных.

      Передача информации, содержащей сведения о персональных данных, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

      • идентификация и аутентификация субъектов доступа и объектов доступа
      • управление доступом субъектов доступа к объектам доступа
      • ограничение программной среды
      • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные
      • регистрация событий безопасности
      • антивирусная защита
      • обнаружение (предотвращение) вторжений
      • контроль (анализ) защищенности персональных данных
      • обеспечение целостности информационной системы и персональных данных
      • обеспечение доступности персональных данных
      • защита среды виртуализации
      • защита технических средств
      • защита информационной системы, ее средств, систем связи и передачи данных
      • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них
      • управление конфигурацией информационной системы и системы защиты персональных данных
    6. Процедуры выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных

      Общество принимает все необходимые меры по выявлению и предотвращению нарушений законодательства в области персональных данных, в частности:

      • организует проверки соответствия обработки персональных данных ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Общества (внутренний контроль)
      • своевременно осуществляет работу по приведению локальных нормативных актов Общества в соответствие с действующим законодательством о персональных данных
      • осуществляет оптимизацию способов и методов защиты персональных данных
      • производит оценку вреда, который может быть причинен субъектам персональных данных
      • знакомит сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой и иными ЛНА, касающимися обработки персональных данных в Обществе и (или) организует их обучение
      • следит за соблюдением работниками Общества законодательства РФ в области персональных данных

      Внутренний контроль осуществляется в форме проверок. Проверки проводятся ежегодно (плановые проверки), а также по приказу директора Общества на основании поступившего заявления субъекта персональных данных или его законного представителя о нарушении законодательства Российской Федерации в области персональных данных (внеплановые проверки).

      Проверки проводятся работником, ответственным за обработку персональных данных в Обществе. В плане по каждой проверке устанавливаются объект и предмет проверки, проверяемый период, срок ее проведения. План проверок утверждается директором Общества.

      Проведение внеплановой проверки организуется в срок не более 5 рабочих дней. Срок проведения внеплановой проверки составляет не более 10 рабочих дней с момента поступления заявления. По окончании проверки проверяющий письменно уведомляет заявителя о результатах проверки.

      Результаты плановой проверки оформляются в виде заключения. При выявлении в ходе плановой проверки нарушений в заключении отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

      Общество вправе организовать проведение внешнего аудита, решение о его проведении принимается в зависимости от финансовых возможностей Общества.

  6. Оценка вреда, который может быть причинен субъектам персональных данных

    1. Оценка вреда, который может быть причинен субъектам персональных данных, осуществляется ответственным за организацию обработки персональных данных либо комиссией, создаваемой приказом директора Общества.
    2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных: высокую, среднюю или низкую.
    3. Результаты оценки вреда оформляются актом оценки вреда в бумажном или электронном виде согласно требованиям законодательства РФ. Форма акта утверждается приказом директора Общества с учетом требований законодательных актов.
      В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
      По результатам оценки вреда принимается решение о принятии мер для устранения причин возникновения угроз нанесения вреда субъекту персональных данных.

    Субъекту персональных данных может быть причинён вред в форме:

    • убытков – расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
    • морального вреда – физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

    В обоих случаях вред подлежит возмещению.

  • Ответственный за организацию обработки персональных данных в Обществе

    Работник, ответственный за организацию обработки персональных данных в Обществе назначается приказом директора. В своей работе он руководствуется законодательством Российской Федерации в области персональных данных и настоящей Политикой. Ответственный за организацию обработки персональных обязан:

    • организовывать принятие правовых и организационных мер для обеспечения защиты персональных данных, обрабатываемых Обществом от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • осуществлять внутренний контроль за соблюдением работниками Общества требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
    • доводить до сведения работников Общества положения законодательства Российской Федерации в области персональных данных, локальных актов Общества по вопросам обработки персональных данных, требований к защите персональных данных;
    • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
    • в случае нарушения в Обществе требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

    Ответственный за организацию обработки персональных данных вправе:

    • иметь неограниченный доступ ко всей информации, касающейся обработки персональных данных в Обществе;
    • привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Обществе, иных работников Общества с возложением на них соответствующих обязанностей и закреплением ответственности.

    Указанное лицо (работник) несет ответственность в соответствии с положениями законодательства Российской Федерации в области персональных данных.

  • Права и обязанности субъекта персональных данных

    Права субъекта персональных данных:

    • на получение информации, касающейся обработки его персональных данных, а также на повторный запрос, но не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
    • вправе направить запрос до истечения срока, указанного выше, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения;
    • вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
    • обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных;
    • право на разъяснение оператором порядка принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, также на разъяснение оператором порядка защиты субъектом персональных данных своих прав и законных интересов; субъект персональных данных вправе заявить возражение против такого решения;
    • вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
    • имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
    • если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
    • если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилию, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; ознакомить с правами субъекта персональных данных; источник получения персональных данных.

    Работники Общества имеют право на:

    • полную информацию об их персональных данных и обработке этих данных
    • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ
    • определение своих представителей для защиты своих персональных данных
    • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору
    • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения
    • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях
    • обжалование в судебном порядке любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных

    Обязанности субъекта персональных данных:

    • сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации в объеме, необходимом для цели обработки оператором.
  • Рассмотрение запросов субъектов персональных данных или их представителей

    1. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 10 рабочих дней с даты получения запроса. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации субъекту персональных данных.
    2. Оператор вправе отказать субъекту персональных данных, либо его представителю в представлении информации в случаях, предусмотренных законодательством РФ. Мотивированный ответ составляется в письменной форме и должен содержать ссылку на положение Федерального закона, являющегося основанием для такого отказа. Срок направления ответа составляет 10 рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.