Положение об обработке и защите персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Положение об обработке и защите персональных данных (далее — «Положение») оператора персональных данных — Общества с ограниченной ответственностью «НЕВИННЫЙ» (далее — «Компания»), место нахождения: 119 034, г. Москва, ул. Тимура Фрунзе, д. 11, стр. 19, флигель 8, определяет порядок обработки персональных данных в Компании, цели и порядок организации их обработки, регламентирует порядок доступа к персональным данным, определяет меры защиты персональных данных, ответственность Компании и иных лиц за нарушение законодательства Российской Федерации в области персональных данных, а также локальных нормативных актов Компании. 1.2. Настоящее Положение обязательно для всех работников Компании. Все работники Компании должны быть ознакомлены с настоящим Положением и изменениями к нему под роспись. 2. ОБЪЕМ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. Объем персональных данных субъектов персональных данных определяется необходимостью достижения конкретных целей их обработки. 2.2. Полный перечень обрабатываемых персональных данных и целей их обработки с указанием правовых оснований, способов, сроков обработки и хранения персональных данных, порядка их уничтожения, определяется Компанией в «Перечне обрабатываемых персональных данных». 2.3. Персональные данные обрабатываются исключительно для достижения одной или нескольких законных целей, содержащихся в «Перечне обрабатываемых персональных данных». В случае изменения целей или состава обрабатываемых персональных данных «Перечень обрабатываемых персональных данных» подлежит пересмотру до начала соответствующей обработки. 3. ПОРЯДОК СБОРА И ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ 3.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных. 3.2. Если иное не установлено законом, Компания вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо в иных случаях, предусмотренных законодательством Российской Федерации. 3.3. Работники Компании имеют право получать и обрабатывать только те персональные данные субъектов, которые необходимы для выполнения их должностных обязанностей и функций. Доступ работников к персональным данным определяется Компанией в «Перечне работников, имеющих доступ к персональным данным». 3.4. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в «Перечень работников, имеющих доступ к персональным данным», им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению Генерального директора или иного уполномоченного лица. Соответствующие работники должны быть ознакомлены под роспись со всеми локальными нормативными актами Компании в области персональных данных, а также должны подписать обязательство неразглашения персональных данных. 3.5. Работникам Компании, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается. 4. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных. 4.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, должны находиться в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Места хранения документов, содержащих персональные данные, определяются Компанией в «Перечне мест хранения документов». 4.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается. 4.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 4.5. Сроки хранения персональных данных субъекта определяются, в том числе, в соответствии с Приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (для документов, внесенных в описи дел постоянного хранения, до 17 февраля 2020 года), Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными требованиями законодательства и нормативных документов. 4.6. Персональные данные на материальных носителях, находящихся в работе соответствующего структурного подразделения Компании, осуществляющего обработку персональных данных, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в отведенные для их хранения места. 5. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных. 5.2. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации. 5.3. Передача информации, содержащей персональные данные, может осуществляться на территории иностранных государств (трансграничная передача), в том числе на территории государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Такая передача должна осуществляться в соответствии с требованиями и правилами, предусмотренными законодательством Российской Федерации для трансграничной передачи персональных данных. 5.4. В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлены в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Российской Федерации. 5.5. Третьи лица обязаны обеспечить конфиденциальность полученных ими персональных данных субъектов в соответствии с законом и (или) договором, а также с учетом требований, указанных в части 3 статьи 6, статье 7 и статье 19 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных» (далее — «Закон о персональных данных»). Данные условия должны быть предусмотрены в договорных отношениях с соответствующими лицами. 5.6. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством в области персональных данных, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации. 6. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1. Основаниями для уничтожения материальных носителей персональных данных, записей с персональными данными являются: · достижение целей обработки персональных данных или утрата необходимости в их достижении с учетом предусмотренных законодательством Российской Федерации и настоящим Положением сроков хранения документов (информации); · отзыв согласия субъекта на обработку его персональных данных, если такой отзыв влечет за собой уничтожение персональных данных; · обращение субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных); · выявление неправомерной обработки персональных данных (в случае, если невозможно обеспечить правомерность такой обработки); · выявление факта обработки персональных данных, которые являются незаконно полученными либо не являющихся необходимыми для заявленной цели обработки; · законное требование уполномоченного государственного органа; · иные случаи, предусмотренные законодательством Российской Федерации. 6.2. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). В ином случае при необходимости уничтожения части персональных данных, уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению. 6.3. Уничтожение (удаление) записей с персональными данными с электронных носителей допускается с использованием программных средств гарантированного удаления информации, в которых используются основные алгоритмы гарантированного удаления данных. 6.4. Уничтожение (удаление) записей с персональными данными в информационных системах, базах данных осуществляется средствами соответствующей информационной системы, базы данных или операционной системы одновременно с уничтожением (удалением) записей в резервных копиях. 6.5. Об уничтожении персональных данных, а также об уничтожении (удалении) записей с персональными данными на электронных носителях и в информационных системах составляется соответствующий акт об уничтожении в порядке, предусмотренном законодательством Российской Федерации. 7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1. Под защитой персональных данных понимается комплекс правовых, организационных, организационно-технических и технических мер, направленных на: · обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений о субъекте; · соблюдение конфиденциальности персональных данных; · реализацию права на доступ к персональным данным. 7.2. Для защиты персональных данных Компания принимает необходимые предусмотренные законом меры, включая, но не ограничиваясь: · назначает лицо, ответственное за организацию обработки персональных данных; · издает локальные нормативные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранения последствий таких нарушений; · применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных согласно установленному уровню защищенности персональных данных; · контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе, установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.); · проводит оценку вреда, который может быть причинен субъектам персональных данных; · проводит ознакомление работников Компании, осуществляющих обработку персональных данных, с правилами и требованиями законодательства Российской Федерации, с локальными нормативными актами Компании в области обработки и защиты персональных данных и требований по обеспечению безопасности, и обучение указанных работников; · определяет угрозы безопасности персональных данных при их обработке; · в случае необходимости внедряет прошедшие процедуру оценки соответствия программные и технические средства защиты информации в электронном виде; · обеспечивает обнаружение фактов и расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных лиц к ответственности, принятием иных мер; · устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет действий, совершаемых с персональными данными в информационной системе персональных данных; · осуществляет контроль за принимаемыми (принятыми) мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных при их обработке в информационной системе персональных данных; · обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; · обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе; · организует порядок уничтожения информации, содержащей персональные данные субъектов, в том числе по истечении срока хранения; · ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам). 8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 8.1. Субъекты персональных данных вправе: · иметь доступ к своим персональным данным; · отозвать согласие на обработку своих персональных данных; · изменять, уточнять, уничтожать и блокировать свои персональные данные; · получать информацию, касающуюся обработки своих персональных данных; · обращаться к Компании с требованием о прекращении обработки персональных данных; · обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законом; · определять представителей для защиты своих персональных данных и представительства своих интересов в порядке, предусмотренном законом; · защищать свои права и законные интересы в области персональных данных; · осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных. 8.2. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами. 8.3. Субъект персональных данных обязан: · предоставлять Компании достоверные персональные данные; · своевременно сообщать Компании об изменениях и дополнениях своих персональных данных; · осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных; · исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных. 9. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ 9.1. Компания вправе: · устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в локальные нормативные акты, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора персональных данных; · осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных. 9.2. Компания обязана: · обеспечивать обработку персональных данных исключительно в целях, для которых был осуществлен сбор персональных данных; · получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством, и разъяснять субъекту персональных данных юридические последствия отказа дать согласие на их обработку; · защищать персональные данные от их неправомерного использования или утраты; · изменять, обновлять и уточнять персональные данные субъектов персональных данных; · уведомлять уполномоченный орган по защите прав субъектов персональных данных об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных в сроки, установленные законодательством Российской Федерации; · обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование уполномоченного органа в области обеспечения безопасности о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном уполномоченным органом в области обеспечения безопасности; · исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Компании в области обработки и защиты персональных данных. 9.3. Работники Компании, допущенные к персональным данным, обязаны: · соблюдать и исполнять требования настоящего Положения и законодательства Российской Федерации в области персональных данных, в том числе, относящиеся к обязанностям Компании, действуя от ее имени; · сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей; · не отвечать на вопросы, связанные с передачей персональных данных других работников или иных субъектов персональных данных третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей; · незамедлительно сообщать Генеральном директору или лицу, ответственному за организацию обработки персональных данных Компании, обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе, об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.). 10. ОТВЕТСТВЕННОСТЬ 10.1. Работники Компании, виновные в нарушении законодательства Российской Федерации в области персональных данных, настоящего Положения и других локальных нормативных актов Компании в области обработки и защиты персональных данных, несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством Российской Федерации. 10.2. Каждый работник, допущенный к работе с персональными данными, несет персональную ответственность за конфиденциальность полученных данных.