Регион: Москва
8 (800) 550 52 85
Бесплатная доставка *
Избранное
ПОИСК
ПОИСК
Избранное
Корзина

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «СНИКЕРБОКС»

ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящее Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «Сникербокс» («Положение») определяет правила обработки персональных данных и устанавливает требования по организации и функционированию процессов обработки персональных данных в ООО «Сникербокс» (ОГРН 1217700022286, «Компания») в соответствии с требованиями нормативных правовых актов Российской Федерации в области обработки и защиты ПДн.

Настоящее Положение является нормативным документом Компании и обязательно для исполнения всеми подразделениями и отдельными работниками Компании, связанными с обработкой или защитой ПДн.

Требования настоящего Положения распространяются на все процессы обработки ПДн в Компании, независимо от формы представления ПДн.

ЦЕЛИ РАЗРАБОТКИ ПОЛОЖЕНИЯ:

  • определение порядка обработки персональных данных работников, родственников работников, кандидатов на трудоустройство, клиентов, контрагентов и их представителей, учредителей и их представителей, бенефициаров Компании и иных субъектов персональных данных,
  • обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также
  • определение мер и процедур, направленных на обеспечение безопасности персональных данных при их обработке.

ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

Персональные данные («ПДн») — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

Безопасность ПДн — состояние защищенности ПДн от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность ПДн при их обработке, независимо от формы их представления.

Биометрические ПДн — сведения, которые характеризуют физиологические и биологические особенности субъекта ПДн, на основании которых можно установить его личность, и которые используются для установления его личности.

Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Внутренняя типовая форма — документ, состав данных и порядок обработки которого не установлен законодательством РФ, и использующийся во внутренних бизнес-процессах Компании.

Государственные и (или) муниципальные информационные системы – информационные системы, созданные в целях реализации полномочий государственных органов и органов местного самоуправления и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях, на основе статистической и иной документированной информации (в том числе персональных данных), предоставляемой физическими лицами, организациями, государственными органами и органами местного самоуправления.

Доступность ПДн — возможность беспрепятственного получения санкционированного доступа к ПДн лицами, имеющими право на такой доступ.

Информационная система персональных данных («ИСПДн») — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Кандидат — соискатель (физическое лицо), претендующий на занятие вакантной должности в Компании.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн.

Предоставление ПДн — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Процесс обработки ПДн — бизнес-процесс Компании, в рамках которого осуществляется обработка персональных данных.

Работник — физическое лицо, с которым Компания имеет либо имела трудовые отношения.

Роскомнадзор — Федеральная служба России по надзору в сфере связи, информационных технологий и массовых коммуникаций, уполномоченный орган по защите прав субъектов ПДн.

Субъект ПДн — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн.

Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности ПДн («УБПДн») — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при их обработке в ИСПДн.

Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

ФСБ России — Федеральная служба безопасности России.

ФСТЭК России — Федеральная служба технического и экспортного контроля России.

Целостность ПДн — способность средства вычислительной техники или информационной системы обеспечивать неизменность ПДн в условиях случайного и/или преднамеренного искажения (разрушения).

ОБЩИЕ ПОЛОЖЕНИЯ

Положение разработано в соответствии со следующими нормативными актами, которыми также необходимо руководствоваться при работе с ПДн во всех случаях, не урегулированных нормативными документами Компании:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» («Закон о персональных данных»);
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ («Трудовой кодекс»);
  • Гражданский кодекс Российской Федерации от 21.10.1994 № 51-ФЗ;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Настоящее Положение доводится до всех работников Компании под роспись.

ОБРАБАТЫВАЕМЫЕ ПДн

Компания разрабатывает «Перечень обрабатываемых персональных данных, информационных систем персональных данных, лиц, допущенных к обработке персональных данных, а также помещений, в которых происходит обработка персональных данных» («Перечень ПДн»).

В Перечне ПДн в том числе устанавливаются:

  • категории субъектов, чьи ПДн обрабатываются в Компании,
  • группы и категории обрабатываемых ПДн,
  • цели обработки ПДн,
  • правовые основания обработки ПДн.

В случае если правовым основанием для обработки ПДн предусматривается необходимость получения согласия субъекта на обработку его ПДн, то данное согласие получается Компанией либо иным третьим лицом (например, контрагентом Компании), которое передает ПДн Компании и обеспечивает правомерность передачи и обработки ПДн Компанией в соответствии с условиями договора между таким третьим лицом и Компанией.

Обработка ПДн, которая не соответствует целям или составу, определенным в Перечне ПДн, в Компании запрещена. Проверка данного соответствия осуществляется в рамках пересмотра Перечня ПДн, а также при изменениях Процессов обработки ПДн и/или ИСПДн.

Компания относит ПДн к разряду общедоступных в случаях, когда ПДн законным способом сделаны общедоступными субъектом ПДн или получены из общедоступного источника ПДн.

В Компании происходит обработка общедоступных ПДн работников и кандидатов Компании. Порядок отнесения тех или иных ПДн работников Компании к разряду общедоступных определяется в Правилах обработки персональных данных работников, их родственников и кандидатов (Приложение № 1 к Положению).

В Компании не допускается обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

В Компании допускается обработка следующих специальных категорий ПДн работников с их письменного согласия:

  • сведения об инвалидности,
  • результаты медицинских обследований на предмет годности к осуществлению трудовых обязанностей, на предмет возможности осуществления командировок (при наличии специальных требований к занимаемой должности),
  • результаты медицинских обследований в случаях наступления несчастных случаев при исполнении трудовых обязанностей, а также
  • сведения о причинах (основаниях) и результатах санаторно-курортного лечения.

Обработка биометрических ПДн в Компании не осуществляется. В соответствующих случаях, при предъявлении субъектами ПДн паспортов или иных документов, содержащих фотографию субъекта, Компания не использует данную фотографию для установления личности субъекта ПДн (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).

К документам, содержащим ПДн субъектов ПДн (за исключением работников и кандидатов Компании), относятся:

  • договоры, а также другие документы, предоставленные субъектами ПДн в целях оказания услуг и/или заключения и исполнения договора;
  • копии удостоверяющих личность документов, а также иных документов (в том числе различных заявлений, анкет), предоставляемых субъектами ПДн в рамках ведения Компанией хозяйственной деятельности;
  • различные внутренние распоряжения, приказы и служебные записки;
  • иные документы и файлы, формируемые в рамках ведения Компанией хозяйственной деятельности.

ИСПДн

Комплексы баз данных, средств вычислительной техники, технических средств обработки ПДн объединяются в ИСПДн Компании. При этом в ИСПДн Компании может входить множество компонентов.

К компонентам ИСПДн Компании относятся следующие информационные системы, базы данных и файловые ресурсы:

  • в которых осуществляется обработка ПДн, оператором которых или лицом, обрабатывающим которые по поручению, является Компания; и
  • в которых осуществляется обработка ПДн с использованием программного обеспечения и технических средств, принадлежащих Компании или права использования которых предоставлены Компании; и
  • в отношении которых Компания является ответственной за принятие мер по обеспечению безопасности и конфиденциальности обрабатываемых ПДн.

Запрещается объединение баз ПДн, обработка которых осуществляется в целях, несовместимых между собой (например, недопустимо объединение баз ПДн работников и клиентов Компании, однако допустимо объединение баз ПДн клиентов, чьи ПДн обрабатываются на различных основаниях).

ПРАВИЛА ОБРАБОТКИ ПДн

Опубликование документа, определяющего политику Компании в области обработки и безопасности персональных данных

Для обеспечения неограниченного доступа к документу, определяющему политику Компании в отношении обработки и обеспечения безопасности ПДн, в Компании утверждена Политика конфиденциальности («Политика»).

Политика разрабатывается на основе сведений, указанных в настоящем Положении, и содержит:

  • принципы обработки ПДн;
  • цели обработки ПДн;
  • правила обработки ПДн;
  • информацию об установленных правилах и порядках обработки ПДн;
  • требования к конфиденциальности и обеспечению безопасности ПДн.

Политика опубликована на официальном веб-сайте Компании. Политика подлежит обязательному пересмотру при изменении релевантных требований законодательства.

При сборе ПДн через Интернет с использованием веб-сайтов, мобильных приложений или иных ресурсов Компании размещается ссылка на опубликованную Политику, либо указывается необходимая информация об условиях обработки ПДн.

Если субъект ПДн по какой-либо причине не может получить доступ к Политике либо указанных в ней сведений недостаточно для удовлетворения просьбы субъекта ПДн, Компания предоставляет субъекту доступ к актуальной версии Политики путем направления субъекту утвержденного документа.

ПРИНЦИПЫ ОБРАБОТКИ ПДн

Обработка ПДн в Компании осуществляется в соответствии со следующими принципами:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  • обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
  • обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.

В Компании проводится анализ соответствия Процессов обработки ПДн заявленным принципам в случае:

  • создания новых или внесения изменений в существующие или прекращения Процессов обработки ПДн;
  • создания новых или внесения изменений в существующие или снятие с эксплуатации ИСПДн;
  • изменения нормативной базы, затрагивающей принципы и/или Процессы обработки ПДн в Компании;
  • проведения внутренних и/или внешних контрольных мероприятий на предмет оценки соответствия Процессов обработки ПДн заявленным принципам.

СБОР ПДн

Компания получает ПДн из следующих источников:

  • непосредственно от субъекта ПДн или представителя субъекта ПДн;
  • от третьих лиц в целях исполнения договорных обязательств или исполнения требований законодательства РФ;
  • от другого субъекта ПДн в целях реализации его законных прав или исполнения требований законодательства РФ;
  • из общедоступного источника.

При необходимости получения согласия на обработку ПДн, такое согласие предоставляется субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме (в том числе электронной).

В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются работником Компании, осуществляющим взаимодействие с представителем.

В Компании собираются согласия на обработку ПДн со следующих категорий субъектов ПДн:

  • работники, родственники работников (в случае получения о родственниках дополнительных данных в объеме, превышающем установленный личной карточкой работника по унифицированной форме Т-2 или ее аналогу, при отсутствии иных оснований обработки);
  • кандидаты на трудоустройство;
  • клиенты (пользователи предоставляемых Компанией сервисов);
  • контрагенты, работники, иные представители контрагентов Компании;
  • другие лица в случаях, установленных локальными актами Компании.

Сбор согласий ПДн осуществляется подразделением, осуществляющим непосредственное взаимодействие с указанными лицами в силу возложенных на них полномочий/функций.

В случае возникновения необходимости получения письменного согласия субъекта на обработку ПДн, его форма должна соответствовать требованиям статьи 9 Закона о персональных данных, а именно содержать:

  • фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • при получении согласия от представителя субъекта: фамилию, имя, отчество, адрес представителя субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  • наименование и адрес Компании;
  • цели обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Компанией способов обработки ПДн;
  • срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта и дату предоставления согласия.

Письменное согласие может быть получено Компанией в электронной форме при обеспечении соответствия законодательству РФ такой формы.

Если предоставление ПДн является обязательным в соответствии с законодательством РФ, и субъект ПДн отказывается представить его ПДн, работник Компании, осуществляющий сбор ПДн, должен разъяснить субъекту ПДн юридические последствия такого отказа. Последствия определяются исходя из целей обработки ПДн, для которых субъект отказывается предоставлять свои ПДн.

При сборе ПДн субъекту ПДн представляется следующая информация по его запросу:

  • подтверждение факта обработки ПДн;
  • правовые основания и цели обработки ПДн;
  • применяемые в Компании способы обработки ПДн;
  • наименование и фактический адрес Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Законом о персональных данных;
  • информация об осуществляемой или о предполагаемой трансграничной передаче ПДн;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные к представлению Законом о персональных данных, другими федеральными законами, внутренними документами Компании (если применимо).

Вышеперечисленные данные предоставляются субъекту ПДн в свободной форме устно либо в виде информационного сообщения на бумажном носителе или в электронном виде в зависимости от того, в какой форме поступил в Компанию запрос и в какой форме осуществляется взаимодействие с субъектом ПДн по соответствующему вопросу.

Если ПДн получены не от субъекта ПДн или его представителя, то до начала обработки таких ПДн субъекту ПДн предоставляется следующая информация:

  • наименование и адрес Компании;
  • цель обработки ПДн и ее правовое основание;
  • предполагаемые пользователи ПДн;
  • установленные Законом о персональных данных права субъекта ПДн;
  • источник получения ПДн.

Указанная информация не предоставляется в следующих случаях:

  • субъект ПДн уведомлен об осуществлении обработки его ПДн Компанией (например, контрагентом, передавшим ПДн Компании);
  • ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
  • ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
  • представление субъекту ПДн указанных сведений нарушает права и законные интересы третьих лиц.

В случае, если ПДн субъекта получены Компанией от третьего лица, то соответствующим договором между Компанией и таким третьим лицом может быть предусмотрено иное распределение функций/обязанностей информирования субъекта ПДн.

ХРАНЕНИЕ И УЧЕТ ПДн

ПДн субъектов обрабатываются и хранятся в ИСПДн, а также на материальных носителях ПДн. Согласия на обработку ПДн, данные субъектами ПДн в электронной форме, отображаются в ИСПДн Компании в виде специальной отметки в карточке соответствующего субъекта ПДн с указанием даты, когда согласие было получено. Организацию соблюдения порядка обращения с носителями ПДн, а также учета и хранения согласий на обработку ПДн в электронной форме, в структурных подразделениях Компании, работники которых имеют доступ к ПДн, осуществляют соответствующие руководители структурных подразделений.

В Компании обеспечивается раздельное хранение ПДн при различных целях обработки и запрещается на одном носителе фиксация ПДн, цели обработки которых не совместимы. Запрещается совместное хранение носителей ПДн с другими документами, не содержащими ПДн, кроме случаев, когда носители ПДн являются приложениями к другим документам или наоборот. Ответственным за исполнение данного требования является работник Компании, организующий хранение ПДн на носителе информации.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Обрабатываемые ПДн подлежат уничтожению в следующих случаях, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, в том числе в форме согласия на обработку ПДн, действующим законодательством РФ:

  • по достижении цели обработки ПДн или в случае утраты необходимости в достижении этих целей;
  • при отзыве субъектом ПДн согласия на обработку его ПДн, если хранение ПДн более не требуется для целей обработки ПДн и отсутствуют иные законные основания обработки ПДн;
  • если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • при выявлении неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно.

Сроки хранения ПДн определяются на основании целей обработки, а также применимых оснований обработки ПДн (например, срока действия согласий на обработку ПДн, договоров, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, сроков, установленных законодательством РФ).

Определенные сроки хранения ПДн для стандартных процессов обработки ПДн в Компании могут включаться в соответствующие локальные акты, регулирующие такие процессы.

ИСПОЛЬЗОВАНИЕ ПДн

В Компании запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

В случае если какое-либо решение формируется в рамках работы ИСПДн, то данное решение обязательно должен подтвердить работник Компании.

В Компании определяется перечень работников Компании и лиц, допущенных к обработке ПДн. Данный перечень фиксируется в Перечне ПДн. В Компании запрещается использование ПДн посторонними лицами, за исключением случаев передачи ПДн или предоставления доступа к ПДн третьим лицам.

ПЕРЕДАЧА ПДн ТРЕТЬИМ ЛИЦАМ

Компания вправе поручить обработку и/или передать (предоставить доступ к) ПДн третьему лицу при наличии надлежащего правового основания при условии заключения с этим лицом соответствующего договора.

Такое третье лицо («Контрагент») обязано соблюдать принципы и правила обработки ПДн, предусмотренные действующим законодательством.

Компания передает ПДн Контрагенту в соответствии с заключенным договором в составе и объеме, необходимом для достижения заявленных целей обработки, а также в соответствии с требованиями действующего законодательства.

При поручении Контрагенту обработки ПДн, с таким Контрагентом должен быть подписан договор поручения обработки ПДн.

При передаче (предоставлении доступа к) ПДн Контрагенту, который является самостоятельным оператором ПДн, должен быть подписан договор, регламентирующий передачу (предоставление доступа к) ПДн и взаимные обязанности обеих сторон.

Допускается оформление договоров в форме отдельного соглашения, соглашения о конфиденциальности и/или путем включения соответствующих положений в основной договор с Контрагентом.

При поручении обработки ПДн должны соблюдаться нижеперечисленные критерии, за обеспечение которых отвечает подразделение Компании (ответственное лицо), инициирующее привлечение Контрагента:

  • Контрагент выбирается на основании его пригодности для обеспечения требуемых технических и организационных защитных мер;
  • перед началом обработки данных Контрагентом Компания предпринимает разумные и обоснованные действия, чтобы убедиться в соблюдении Контрагентом его обязанностей.

Компания в ходе своей деятельности кроме передачи ПДн третьим лицам может также предоставлять доступ третьим лицам к ПДн, которые хранятся и обрабатываются в ИСПДн Компании, либо в помещениях Компании.

Прекращение доступа третьих лиц к ПДн осуществляется в случаях:

  • отзыва субъектом ПДн согласия на обработку (как у Компании, так и отдельно на передачу данному третьему лицу), если иное не предусмотрено законодательством РФ;
  • достижения целей обработки ПДн, если иное не предусмотрено согласием на обработку ПДн, законодательством РФ;
  • прекращения договорных отношений с третьим лицом, которому был предоставлен доступ (с учётом сроков обработки, предусмотренных в договорах, согласиях на обработку ПДн, сроками исковой давности);
  • иных случаях прекращения обработки ПДн Компанией.

В случае, если субъект осуществил частичный отзыв согласия на обработку ПДн, то прекращение доступа осуществляется в отношении тех Процессов обработки ПДн, которые указаны в заявлении такого субъекта на отзыв согласия или тесно связаны с указанным, если отсутствует иное законное основание обработки.

ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПДн

Под прекращением обработки ПДн понимается остановка Процессов обработки ПДн в Компании с обязательным осуществлением их блокирования, уничтожения или архивации. Указанные действия с ПДн также являются обработкой ПДн, и их выполнение свидетельствует о прекращении Процессов обработки ПДн.

Допускаются следующие способы осуществления прекращения обработки:

  • автоматический – при проверке выполнения критериев достижения сроков и целей обработки ПДн в ИСПДн;
  • ручной – при проверке достижения сроков и целей обработки ПДн на бумажных носителях и в ИСПДн на периодической основе;
  • ручной – по результатам проведения контрольных мероприятий, выявления неправомерной обработки, запросов субъектов ПДн и т.д.

Решение о прекращении обработки ПДн для двух последних способов оформляется в виде внутренних распорядительных документов Компании. Инициаторами представленного процесса могут быть:

  • Ответственный за организацию обработки ПДн;
  • Ответственный за обеспечение безопасности ПДн;
  • руководители подразделений Компании;
  • другие сотрудники Компании.

В указанных распорядительных документах должно быть определено следующее:

  • приемлемый способ прекращения обработки (блокирование, уничтожение);
  • лица, ответственные за прекращение обработки ПДн соответствующим способом;
  • формат подтверждения факта прекращения обработки ПДн (акт об уничтожении, блокировании ПДн).

При подтверждении в результате проведенной проверки факта неправомерной обработки ПДн, в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, Компания обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании.

В случае если обеспечить правомерность обработки ПДн невозможно по различным причинам, то Компания в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или проконтролировать их уничтожение лицом, действующим по поручению Компании. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта ПДн, а также, при необходимости, его представителя и/или Роскомнадзор.

БЛОКИРОВАНИЕ ПДн

Блокирование ПДн подразумевает:

  • запрет редактирования и использования ПДн в ИСПДн;
  • информирование Контрагентов, осуществляющих обработку ПДн по поручению Компании, о необходимости блокирования ПДн;
  • запрет передачи ПДн (если передача не требуется согласно законодательству) и иных способов обработки ПДн;
  • изъятие бумажных документов, относящихся к субъекту ПДн и содержащих его ПДн, из внутреннего документооборота Компании и запрет их использования, если иное не предусмотрено законодательством.

Компания блокирует обрабатываемые ПДн с последующим уничтожением ПДн при отсутствии возможности уничтожения ПДн в течение срока, установленного Законом о персональных данных. При этом уничтожение ПДн производится не позднее шести месяцев со дня их блокирования.

Компания блокирует обрабатываемые ПДн при выявлении недостоверности обрабатываемых ПДн (например, если выявлены неполные, устаревшие, неточные ПДн) или неправомерных действий в отношении субъекта ПДн (например, если ПДн являются незаконно полученными или не являются необходимыми для установленной цели обработки) в следующих случаях:

  • по требованию субъекта ПДн или его представителя;
  • по требованию Роскомнадзора;
  • по результатам внутренних контрольных мероприятий.

В случае выявления неточных ПДн блокирование ПДн может быть осуществлено, если оно не нарушает права и законные интересы субъекта ПДн или третьих лиц.

Разблокирование ПДн может быть осуществлено после уточнения ПДн, для исполнения требований законодательства, а также если причины, в результате которых было осуществлено блокирование, были устранены.

Если субъект, ПДн которого заблокированы, повторно обращается в Компанию, то его повторное согласие на обработку ПДн влечет разблокирование его ПДн.

Компания по возможности автоматизирует процесс блокирования ПДн в ИСПДн Компании для обеспечения своевременной реакции на необходимость блокирования ПДн.

УНИЧТОЖЕНИЕ ПДн

Компания, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, в том числе в форме согласия на обработку ПДн, уничтожает ПДн в следующих случаях:

  • по достижении цели обработки ПДн или в случае утраты необходимости в достижении этих целей, либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ;
  • если субъектом ПДн отозвано согласие на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, и запрос субъекта на отзыв согласия не противоречит требованиям законодательства РФ;
  • если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • если выявлена неправомерная обработка ПДн, осуществляемая Компанией или Контрагентом, и обеспечить правомерность обработки ПДн невозможно;
  • если получено соответствующее предписание Роскомнадзора;
  • если печатный документ, содержащий ПДн, был составлен неправильно или содержит неточные персональные данные;
  • если были подготовлены лишние копии документа с ПДн (распечатаны, скопированы или иным образом размножены), и они больше не требуются в целях обработки;
  • если для выполнения бизнес-процесса были созданы временные документы с ПДн, которые после завершения данного бизнес-процесса не имеют целей обработки;
  • если срок хранения ПДн истек и отсутствуют основания для дальнейшей обработки;
  • если электронный носитель информации с ПДн должен быть повторно использован или отдан на восстановление или уничтожен.

Анализ документов, содержащих ПДн, которые подлежат периодическому уничтожению, по общему правилу должен осуществляться не реже чем по окончанию каждого календарного года. Организацию определения бумажных носителей ПДн, подлежащих уничтожению, и само уничтожение бумажных носителей ПДн в структурных подразделениях Компании, работники которых имеют доступ к ПДн, обеспечивают их непосредственные руководители (в случае отсутствия непосредственного руководителя - самостоятельно).

Уничтожение носителей ПДн (бумажных и машинных) должно подтверждаться актом об уничтожении ПДн. Альтернативно, если обработка осуществлялась с использованием средств автоматизации, допускается ведение журнала уничтожения носителей ПДн, который ведется структурным подразделением Компании, осуществляющим обработку ПДн, в виде файла на сетевом ресурсе с ограниченным доступом или в бумажном виде и содержит аналогичную информацию.

В акте об уничтожении ПДн должны быть в обязательном порядке зафиксированы следующие данные: наименование уничтоженного материального носителя и количество листов в отношении каждого уничтоженного материального носителя (в случае обработки ПДн без использования средств автоматизации); наименование информационной системы ПДн, из которой ПДн были уничтожены (при их обработке с использованием средств автоматизации); перечень категорий уничтоженных ПДн; способ, дата и причина уничтожения. Компания обязана хранить акт и иные доказательства уничтожения ПДн (при их наличии) в течение не менее 3 (Трех) лет.

Компания вправе заключать договоры с третьими лицами на оказание услуг по уничтожению материальных носителей ПДн с соблюдением требований Закона о персональных данных по обеспечению конфиденциальности уничтожаемых ПДн. При этом в договоре должны быть определены порядок уничтожения ПДн, порядок взаимодействия третьего лица с Компанией в части обработки запросов на уничтожение и предоставление отчетной документации по уничтожению материальных носителей ПДн (актов об уничтожении).

АРХИВАЦИЯ ПДн

В случаях, установленных законодательством (в частности, Федеральном законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а также принятым в соответствии с ним Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным Приказом Росархива от 20.12.2019 № 236), прекращение обработки ПДн может быть осуществлено путем передачи документа или иного материального носителя ПДн на архивное хранение.

Согласно п. 2 ст. 1 Закона о персональных данных, действие указанного закона не распространяется на случаи, если обработка ПДн осуществляется для организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

Ввиду этого, требования Закона о персональных данных и настоящего Положения не распространяются на фактическую организацию архивного хранения носителей ПДн.

ОБЕСПЕЧЕНИЕ ТОЧНОСТИ, ДОСТАТОЧНОСТИ И АКТУАЛЬНОСТИ ПДн

При обработке ПДн должны быть обеспечены точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПДн.

По умолчанию, при сборе ПДн Компания предполагает, что субъект ПДн представляет точные, достаточные и актуальные данные.

Точность, достаточность и актуальность ПДн в Процессе обработки ПДн достигается следующими методами:

  • выявлением Компанией неточности, недостоверности и последующими мероприятиями Компании для целей уточнения данных либо подтверждения их точности, достоверности и актуальности;
  • получением уведомлений от субъектов ПДн об изменениях их ПДн.

В случае выявления в рамках текущей деятельности Компании неточных, недостаточных или неактуальных ПДн осуществляется следующая совокупность действий:

  • блокирование ПДн, если выявленное может повлиять на деятельность Компании или права субъекта за время уточнения ПДн и если данные действия не нарушают прав и законных интересов субъекта ПДн или третьих лиц;
  • уточнение ПДн, в результате которых снимается блокирование ПДн.

Работник Компании, который выявил неточные, недостаточные или неактуальные ПДн, должен уведомить об этом Ответственного за организацию обработки ПДн. Ответственный за организацию обработки ПДн должен обеспечить выполнение указанных выше операций и привлечь к этому необходимых работников Компании.

Необходимость обеспечения точности, достаточности и актуальности возникает на момент выполнения Компанией действий, в результате которых могут возникнуть следующие события:

  • представление неверных сведений о субъекте в органы государственной власти и местного самоуправления, во внебюджетные фонды и иные организации;
  • проведение денежных или имущественных операций с субъектом (или где субъект является выгодоприобретателем), в результате которых субъект получает убытки или недополучает прибыль в результате неверных сведений;
  • опубликование или предоставление неверной информации о субъекте, в результате которой могут возникнуть различные негативные последствия для субъекта;
  • неточная или неактуальная информация о субъекте может повлечь убытки Компании;
  • другие события, так или иначе негативно влияющие на деятельность субъекта ПДн и/или Компании.

ОСОБЕННОСТИ ОБРАБОТКИ ПДн, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

В связи с тем, что в Компании происходит обработка ПДн на материальных носителях ПДн (бумажные документы), то в Компании том числе осуществляется обработка ПДн без использования средств автоматизации.

Обработка персональных данных, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства РФ от 15.09.2008 № 687.

Типовая форма документа, используемого при обработке ПДн, должна содержать следующие сведения:

  • цели обработки ПДн;
  • наименование и адрес Компании;
  • фамилию, имя, отчество и адрес субъекта ПДн (либо указание на необходимость заполнения их);
  • источник получения ПДн (третьи стороны, субъект ПДн и т.д.);
  • сроки обработки ПДн;
  • перечень действий, которые будут совершаться с ПДн в Процессе их обработки;
  • общее описание используемых Компанией способов обработки ПДн (с использование средств автоматизации, без использования таких средств либо смешанная).

Типовой формой документа является шаблон используемого в Компании документа, утвержденный в установленном в Компании порядке, оформленный на бумажном носителе (журнал, реестр, перечень, анкета, книга учета, отчет и т.п.), в том числе полученный из ИСПДн, характер информации в котором предполагает или допускает включение в него ПДн. Примерные формы не являются типовой формой, так как могут быть изменены при их использовании.

В случае необходимости получения согласия на обработку ПДн в типовую форму документа включается поле, в котором субъект ПДн должен поставить отметку о своем согласии на обработку ПДн, а также иные положения, необходимые в соответствии с законодательством РФ. Согласие на обработку ПДн может не включаться в типовую форму документа, если оно получено ранее в составе иной формы или иным образом, либо может быть получено вновь при последующем заполнении типовой формы.

Сведения, указанные выше, не включаются в типовые формы документов, если они указаны в соответствующих нормативных документах Компании (положения, регламенты, порядки, инструкции и т.д.) по использованию типовых форм документов.

Типовая форма документа должна составляться таким образом, чтобы каждый из субъектов ПДн, чьи ПДн содержатся в типовой форме документа, имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн (из предоставляемой к ознакомлению субъекту формы или копии формы должны быть предварительно удалены или замаскированы ПДн других субъектов). При этом Компания исходит из того, что типовой формой признается непосредственно шаблон, по которому составлен соответствующий документ, в связи с чем, возможность доступа одного субъекта ПДн к данным другого субъекта ПД исключается.

В типовую форму документов запрещается внесение ПДн, цели обработки которых несовместимы.

Учет, хранение и уничтожение типовых форм документов осуществляется в соответствии с требованиями настоящего Положения.

Работники Компании, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте такой обработки ими ПДн, а также о вышеуказанных особенностях такой обработки. Категории ПДн, обрабатываемые каждым работником, отражены в Перечне ПДн, с которым ознакамливаются работники. Аналогичная обязанность должна быть установлена для Контрагента, привлекаемого Компанией для обработки ПДн по поручению.

ОЗНАКОМЛЕНИЕ С НОРМАТИВНЫМИ АКТАМИ И ПРАВИЛАМИ ОБРАБОТКИ ПДн

Все работники Компании ознакамливаются под роспись с нормативными документами Компании в области обработки и безопасности ПДн, включая настоящее Положение.

Централизованное обучение по вопросам обработки и защиты ПДн осуществляется в Компании посредством тренингов по вопросам обработки и защиты ПДн. Обучение правилам обработки ПДн в рамках бизнес-процессов Компании также проводит либо организует непосредственный руководитель работника.

ПОЛУЧЕНИЕ ДОСТУПА К ПДн РАБОТНИКАМИ КОМПАНИИ

К обработке ПДн допускаются только те Работники и в том объеме ПДн, который необходим в связи с исполнением ими должностных обязанностей.

Работник допускается к обработке ПДн только после:

  • ознакомления под подпись с требованиями настоящего Положения и иными локальными организационно-распорядительными документами Компании по обработке и защите ПДн, выполнение требований которых обязательно для соответствующего работника;
  • подписания документа-информирования о факте обработки персональных данных и обязательства о неразглашении информации, содержащей ПДн или в составе должностной инструкции.

Хранение подписанного обязательства о неразглашении информации, содержащей ПДн, должно осуществляться Отделом кадрового администрирования Компании.

Прекращение доступа работников Компании к ПДн осуществляется в случаях:

  • выявления несоблюдения работником требований Компании в области обработки и защиты ПДн;
  • выявления неправомерного или недобросовестного использования работником ПДн, в том числе использования в личных целях;
  • прекращения трудовых отношений.

Решение о предоставлении и/или прекращении доступа принимается руководителем работника либо владельцем ресурса ПДн.

Конкретный порядок предоставления (и прекращения) доступа работникам Компании к обработке ПДн описан в локальных документах и инструкциях Компании, определяющих политику предоставления доступа.

Управление доступом Контрагентов к ПДн определяется договором между Компанией и Контрагентом. Ответственность за управление доступом работников Контрагента несет непосредственно Контрагент.

ВЗАИМОДЕЙСТВИЕ С СУБЪЕКТАМИ ПДн И ОРГАНАМИ ВЛАСТИ

Взаимодействие с субъектами ПДн

Субъекты ПДн или их представители могут направлять Компании следующие обращения и запросы, в том числе:

  • заявление на получение информации об обработке ПДн, в том числе:
  • подтверждение факта обработки ПДн Компанией;
  • правовые основания и цели обработки ПДн;
  • цели обработки ПДн лица, обратившегося с запросом, и применяемые Компанией способы обработки ПДн;
  • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав;
  • информация об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • заявление на уточнение неполных, неточных или неактуальных ПДн;
  • заявление на прекращение обработки ПДн в целях продвижения товаров и услуг;
  • заявление на отзыв согласия на обработку ПДн;
  • претензия в связи с незаконно полученными или избыточными по отношению к заявленной цели обработки ПДн или неправомерной обработкой ПДн.

Обращения и запросы от субъектов ПДн могут поступать в Компанию:

  • при личном посещении офиса Компании субъектом ПДн или представителем Компании,
  • путем обращения субъекта ПДн (его (законного) представителя) в Компанию посредством почтовой связи, электронной связи с использованием усиленной квалифицированной электронной подписи или
  • путем направления по электронной почте скан-копий подписанных клиентом заявлений/обращений без использования электронной подписи.

В случае получения скан-копий подписанных клиентом заявлений/обращений по электронной почте без использования усиленной электронной подписи Компания вправе потребовать предоставления субъектом ПДн оригинала заявления/обращения или использования усиленной электронной подписи, и не рассматривать заявление/обращение до момента его получения в указанной форме. Исключением являются:

  • заявление на прекращение обработки ПДн в целях продвижения товаров, работ и услуг, которое также может быть направлено посредством электронной почты без использования усиленной электронной подписи и без предоставления скан-копии подписанного заявления. Для этого субъект указывает фамилию, имя, отчество и сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией в целях продвижения товаров и услуг (номер мобильного телефона, адрес электронной почты и (или) иные сведения);
  • заявление об отзыве согласия на обработку ПДн, которое может быть направлено Компании субъектом ПДн по электронной почте в виде скан-копии подписанного заявления посредством электронной почты. Для этого субъект указывает фамилию, имя, отчество, сведения удостоверяющего личность документа и сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер мобильного телефона, адрес электронной почты и (или) иные сведения).

При ином обращении или запросе субъект или его представитель обязан предоставить следующую информацию:

  • фамилию, имя, отчество субъекта ПДн или его представителя;
  • доверенность или её надлежащим образом заверенную копию либо иной документ, подтверждающий полномочия представителя согласно требованиям законодательства;
  • сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией либо иным образом подтверждающие факт обработки ПДн;
  • реквизиты документа, удостоверяющего личность субъекта ПДн или его представителя;
  • суть обращения/запроса.

В случае необходимости, Ответственный за организацию обработки ПДн может запросить дополнительную информацию у субъекта ПДн (или его представителя).

Все поступившие на бумажных носителях запросы и обращения субъектов ПДн регистрируются работником Компании, который его получил, с присвоением входящего номера в день их поступления. Копия обращения (запроса), представленного на бумажном носителе, с входящим номером может быть возвращена заявителю. После регистрации обращения или запроса субъекта ПДн на бумажном носителе лицо, осуществившее регистрацию, должно передать его Ответственному за организацию обработки ПДн.

Ответственный за организацию обработки ПДн должен осуществить первичную проверку соответствия запроса требованиям законодательства.

В случае, если обращение или запрос не соответствуют требованиям, Ответственный за организацию обработки ПДн должен подготовить и направить ответ субъекту ПДн, содержащий информацию о приемлемых методах направления запроса или обращения в Компанию.

В случае соответствия обращения или запроса требованиям законодательства, Ответственный за организацию обработки ПДн должен определить, к какому из Процессов обработки ПДн относится обращение или запрос, и скоординировать работу над формированием ответа совместно с подразделением Компании, ответственным за процесс.

Сведения предоставляются субъекту ПДн или его представителю в доступной форме и достаточном содержании.

Ответы на обращения и запросы не должны содержать ПДн иных субъектов, а также иной избыточной информации.

По общему правилу, ответ субъекту ПДн направляется тем же способом и средством связи, которым было получено соответствующее обращение или запрос.

Ответ на обращение или запрос субъекта ПДн должен быть подготовлен и направлен Компанией в сроки, не превышающий 10 (десяти) рабочих дней с даты поступления обращения или запроса.

Ответственность за обработку обращений и запросов субъектов ПДн, а также за соблюдение установленных сроков возложена на Ответственного за организацию обработки ПДн.

В случае если обработка ПДн, в отношении которых поступил запрос или обращение, осуществляется Контрагентом по поручению Компании, Ответственный за организацию обработки ПДн обязан обеспечить выполнение действий таким Контрагентом.

В случае, если договор, которым Контрагенту поручена обработка ПДн, курирует иное подразделение, обеспечение и контроль выполнения указанных действий, возлагается на руководителя этого подразделения. В рамках исполнения запросов и обращений субъектов ПДн Ответственный за организацию обработки ПДн (или руководитель соответствующего подразделения) может давать Контрагенту, действующему по поручению, указания на выполнение необходимых действий с ПДн (блокирование, уточнение, уничтожение).

Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами

Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами осуществляется в соответствии с законодательством РФ.

В целях исполнения требований законодательства РФ Компания уведомила Роскомнадзор о своем намерении осуществлять обработку ПДн, направив соответствующие уведомление («Уведомление»), по форме, предусмотренной действующим законодательством РФ и правилами Роскомнадзора.

Надзор за деятельностью Компании по обработке ПДн осуществляется Роскомнадзором. ФСБ России и ФСТЭК России могут быть наделены решением Правительства РФ полномочиями по контролю выполнения Компанией организационных и технических мер по обеспечению безопасности ПДн без права ознакомления с ПДн, обрабатываемыми в ИСПДн.

В случае изменения сведений, указанных в Уведомлении, или прекращения всех Процессов обработки ПДн в Компании (например, в связи с ее ликвидацией или реорганизацией) Компания обязана уведомить об этом Роскомнадзор в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных, если иной срок не установлен законодательством РФ. За организацию формирования и предоставления соответствующего информационного письма отвечает Ответственный за организацию обработки ПДн.

Ответственность за организацию взаимодействия с регулирующими органами по вопросам обработки и обеспечения защиты ПДн, в том числе при получении запросов Роскомнадзора, проведении плановых и внеплановых проверок, а также за координацию сотрудников при проведении проверок возлагается на Ответственного за организацию обработки ПДн.

В случае проведения проверки Роскомнадзором для взаимодействия с его представителями привлекается Ответственный за организацию обработки ПДн, Ответственный за обеспечение безопасности ПДн, иные сотрудники Компании (при необходимости).

Перед началом проверки должностное лицо регулятора предъявляет Ответственному за организацию обработки ПДн копию приказа о проведении проверки, заверенную гербовой печатью регулятора, и служебное удостоверение. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица регулятора, Ответственный за организацию обработки ПДн проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.

Проверка может проводиться только должностными лицами регулятора, которые указаны в приказе о ее проведении.

Срок проведения плановой проверки не может превышать 20 рабочих дней и может быть продлен однократно не более чем на 20 рабочих дней. Срок проведения внеплановой проверки не может превышать 10 рабочих дней и может быть продлен однократно не более чем на 10 рабочих дней. Основанием для продления сроков проведения проверки является приказ руководителя Роскомнадзора.

Результаты проверки оформляются актом, который составляется должностными лицами регулятора непосредственно после завершения проверки. В акте указывается:

  • дата, время и место составления акта проверки;
  • наименование органа федерального государственного контроля (надзора);
  • дата и номер приказа о проведении проверки;
  • должности, фамилии, имена и отчества должностных лиц, проводивших проверку;
  • наименование Компании, а также должности, фамилии, имена, отчества лиц, присутствовавших при проведении проверки;
  • дата, время, продолжительность и место проведения проверки;
  • сведения о результатах проверки, в том числе о выявленных нарушениях законодательства об обработке ПДн, об их характере и о лицах, допустивших указанные нарушения;
  • сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя или иного уполномоченного представителя Компании, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи;
  • сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Компании указанного журнала.

Акт закрепляется подписями должностных лиц Роскомнадзора, проводивших проверку, и должен содержать одно из следующих заключений:

  • об отсутствии в деятельности Компании нарушений требований законодательства РФ в области ПДн;
  • о наличии выявленных в деятельности Компании нарушениях требований законодательства РФ в области ПДн с указанием конкретных нарушенных статей и (или) пунктов нормативных правовых актов.

В случае выявления по результатам проверки нарушения требований законодательства, вместе с актом выдается предписание об устранении выявленных нарушений, в котором указываются:

  • наименование органа федерального государственного контроля (надзора);
  • дата выдачи предписания об устранении выявленных нарушений;
  • номер предписания об устранении выявленных нарушений;
  • наименование Компании;
  • регистрационный номер Компании в реестре операторов ПДн;
  • наименование вида деятельности;
  • дата и номер акта проверки;
  • содержание нарушения;
  • основание выдачи предписания;
  • срок устранения нарушения;
  • срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения;
  • подписи должностных лиц, проводивших проверку.

Роскомнадзор, а также в установленных законодательством случаях ФСТЭК России и ФСБ России могут направлять Компании мотивированные запросы о предоставлении информации, касающейся обработки и обеспечения безопасности ПДн.

Ответы на такие запросы должны быть подготовлены и направлены соответствующей организации в течение 10 дней с даты их получения, если иное не установлено законодательством или соответствующим запросом.

Ответственность за подготовку ответов, координацию получения необходимой информации для подготовки, а также соблюдение сроков возлагается на Ответственного за организацию обработки ПДн.

Регистрация поступивших запросов, а также ответов на них осуществляется в соответствии с правилами документооборота Компании. Запросы, а также ответы на них хранятся в Компании бессрочно.

ПРАВА СУБЪЕКТОВ ПДн

Субъект ПДн имеет право ознакомления с информацией об обработке ПДн.

Субъект ПДн имеет право на извещение Компанией всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех изменениях его ПДн.

Субъект ПДн имеет право обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействия Компании при обработке его ПДн.

ОРГАНИЗАЦИОННАЯ СТРУКТУРА КОМПАНИИ В СФЕРЕ ОБРАБОТКИ ПДн

С целью организации и контроля обработки и обеспечения безопасности ПДн в Компании вводятся следующие роли, которые составляют основу организационной структуры в сфере обработки ПДн:

  • Ответственный за организацию обработки ПДн;
  • Ответственный за обеспечение безопасности ПДн.

К числу основных контролирующих органов за соблюдением требований настоящего Положения в Компании относятся:

  • единоличный исполнительный орган;
  • Ответственный за организацию обработки ПДн;
  • Ответственный за обеспечение безопасности ПДн;
  • руководители структурных подразделений.

Единоличный исполнительный орган и Ответственный за организацию обработки ПДн осуществляют:

  • принятие стратегических решений в сфере обработки и защиты ПДн;
  • утверждение внутренних нормативных документов, регламентирующих обработку и защиту ПДн (применительно к единоличному исполнительному органу).

Ответственный за организацию обработки ПДн также осуществляет:

  • контроль за приемом и обработкой обращений и запросов субъектов ПДн;
  • доведение до сведения работников Компании положений законодательства о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • внутренний контроль за соблюдением законодательства о ПДн.

Подробные полномочия и обязанности Ответственного за организацию обработки ПДн установлены в его утвержденной должностной инструкции.

Ответственный за обеспечение безопасности ПДн осуществляет:

  • текущий контроль за обеспечением безопасности ПДн;
  • контроль за соблюдение законодательства в области обеспечения безопасности ПДн;
  • взаимодействие с органами по контролю и надзору в сфере защиты информации и безопасности ПДн.

Подробные полномочия и обязанности Ответственного за обеспечение безопасности ПДн установлены в его утвержденной должностной инструкции.

Руководители структурных подразделений Компании осуществляют:

  • постоянный контроль выполнения работниками структурных подразделений процедур, предусмотренных Положением и иными локальными актами в области обработки и защиты ПДн;
  • принятие решения об уничтожении документов, содержащих ПДн, или передаче на архивное хранение;
  • выявление новых Процессов обработки ПДн и информирование о них Ответственного за организацию обработки ПДн;
  • иные функции, которые могут быть установлены локальными актами Компании.

Процедуры внутреннего контроля

В целях осуществления внутреннего контроля соответствия обработки ПДн требованиям законодательства, локальных актов Компании, а также обеспечения соблюдения прав субъектов ПДн в Компании проводятся периодические проверки Процессов обработки ПДн.

Проверки осуществляются Ответственным за организацию обработки ПДн либо специальной комиссией, созданной по инициативе Ответственного за организацию обработки ПДн либо на основании приказа руководителя Компании.

Проверки проводятся в Компании не реже чем один раз в 3 (Три) года на основании утверждаемого руководителем Компании или Ответственным за организацию обработки ПДн плана осуществления внутреннего контроля (плановые проверки) или на основании поступившего письменного заявления о нарушениях правил обработки ПДн (внеплановые проверки).

Проведение внеплановой проверки организуется в течение 10 рабочих дней с момента поступления соответствующего заявления.

При проведении проверки должна быть обеспечена разумная степень уверенности в следующем:

  • соответствие состава фактически обрабатываемых ПДн утвержденному Перечню;
  • порядок и условия применения правовых, организационных и технических мер по обеспечению безопасности ПДн при их обработке, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
  • соблюдение и эффективность мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн;
  • соблюдение правил доступа к ПДн;
  • наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;
  • осуществление мероприятий по обеспечению целостности ПДн;
  • соблюдение порядка уточнения, блокирования и уничтожения ПДн;
  • соблюдение порядка организации хранения ПДн;
  • соблюдение правил по работе с обращениями субъектов ПДн;
  • соблюдение правил передачи ПДн третьим лицам;
  • иные обстоятельства, влияющие на соответствие законодательству.

В ходе проверки Ответственный за организацию обработки ПДн и (или) члены комиссии имеют право:

  • запрашивать у работников Компании информацию, необходимую для реализации полномочий;
  • требовать от работников Компании уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПДн;
  • принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований законодательства Российской Федерации;
  • представлять руководителю Компании предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности ПДн при их обработке;
  • представлять руководителю Компании предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки ПДн.

По результатам проведенной проверки составляется акт, в котором указывается план устранения выявленных нарушений.

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящее Положение вступает в силу с момента его утверждения и действует до момента внесения изменений и/или принятия нового документа.

Главная
Каталог
Корзина
Избранное
Аккаунт
Товар добавлен в корзину
Другие товары
У вас в корзине еще У вас в корзине еще товартоваратоваров
В корзину