Политика обработки персональных данных

Документ, определяющий политику в отношении обработки персональных данных, и содержащий сведения о реализуемых требованиях к защите персональных данных ООО "Лукаш и партнеры".
Содержание:
1
Общие положения политики обработки персональных данных
2
Лицо, ответственное за организацию обработки ПДн
3
Порядок обмена ПДн с третьим лицами и неопределенным кругом лиц
4
Сведения о реализуемых требованиях к защите ПДн
5
Ответственность за нарушение норм, регулирующих обработку ПД
6
Приложения

Общие положения политики обработки персональных данных

1.1. О документе

1.1.1. Политика обработки персональных данных в обществе с ограниченной ответственностью «Лукаш и партнеры» является документом, определяющим политику оператора в отношении обработки персональных данных по смыслу ст. 18.1 152-ФЗ.

1.1.2. Политика обработки персональных данных:

  • разработана в соответствии с действующим законодательством Российской Федерации в области персональных данных;

  • обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в ООО «Лукаш и партнеры». Нарушение порядка обработки персональных данных, определенного Политикой обработки персональных данных, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с нормами действующего законодательства Российской Федерации.

1.1.3. Все персональные данные, обрабатываемые Оператором, являются конфиденциальной информацией.

1.2. Список понятий, определений и сокращений

1.2.1. В Политика обработки персональных данных используются следующие основные понятия, определения и сокращения:

Автоматизированное рабочее место (АРМ)

Комплекс средств вычислительной техники и программного обеспечения, располагающийся, непосредственно на рабочем месте работника и предназначенный для автоматизации его работы в рамках должности

Запись ПДн

Ввод ПДн в электронную вычислительную машину и (или) фиксация ПДн на материальном носителе

Изменение ПДн

Действия, направленные на модификацию значений ПДн

Извлечение ПДн

Действия, направленные на построение структурированных ПДн из неструктурированных или слабоструктурированных машиночитаемых документов

ИСПДн

Информационная система персональных данных

Использование ПДн

Действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц, либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц

Накопление ПДн

Действия, направленные на формирование исходного, несистематизированного массива ПДн

Обновление ПДн

Действия, направленные на приведение записанных ПДн в соответствие с состоянием отображаемых объектов предметной области

Общедоступные источники ПДн

Содержащиеся в информационных системах или зафиксированные на материальных носителях ПДн, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта этих ПДн

Оператор

Общество с ограниченной ответственностью «Лукаш и партнеры», ИНН 7743421548, ОГРН 1237700458027

Оператор ИСПДн

ООО «Лукаш и партнеры» – собственник (владелец на ином основании) технических средств, используемых для обработки содержащихся в базах данных (далее – БД) ПДн

ПДн

Персональные данные

Передача ПДн

Предоставление или доступ к ПДн

Сбор ПДн

Целенаправленные действия оператора или специально привлеченных оператором для этого третьих лиц по получению ПДн непосредственно от субъекта ПДн или его представителя

Систематизация ПДн

Действия, направленные на объединение и расположение ПДн в определенной последовательности

Удаление ПДн

Изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления

Уточнение ПДн

Действия, направленные на обновление или изменение ПДн

Хранение ПДн

Действия, направленные на неизменность состояния материального носителя ПДн

152-ФЗ

Федеральный закон от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»

1.2.2. Все иные термины и определения используются в Политике обработки персональных данных в значениях, определенных законодательством Российской Федерации.

1.3. Общие положения по организации обработки и обеспечению безопасности ПДн

1.3.1. Необходимость формирования порядка организации обработки ПДн обусловлена требованиями действующих нормативных правовых актов, устанавливающими для Оператора обязанности по соответствию объема и содержания обрабатываемых ПДн заявленным целям сбора, уточнению, хранению и уничтожению ПДн, соблюдению условий обработки ПДн, в том числе получению согласия субъектов на обработку их ПДн, установлению схем взаимодействия как внутри Оператора, так и с субъектами ПДн, третьими лицами, регуляторами (уполномоченными органами).

1.3.2. Одним из элементов указанного порядка в части вопросов организации обработки ПДн является лицо, ответственное за организацию обработки ПДн. Указанное лицо назначается в установленном Оператором порядке, и в его основные обязанности входит, в том числе:

  • осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства о ПДн, в том числе требований к их защите;

  • доведение до сведения работников Оператора положений законодательства РФ в области ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн, требований к их защите;

  • организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

1.3.3. Оператором разрабатывается система локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.

1.3.4. Оператор разрабатывает и размещает в свободном доступе документ, определяющий политику Оператора в отношении обработки и обеспечения безопасности ПДн.

1.3.5. Оператор направляет в Роскомнадзор уведомление об обработке ПДн. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки ПДн Оператор также уведомляет об этом Роскомнадзор.

1.3.6. Работники Оператора, непосредственно осуществляющие обработку персональных данных, знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных, и (или) проходят соответствующее обучение.

1.3.7. Выполнение требований законодательства РФ в области организации обработки ПДн контролируется лицом, ответственным за организацию обработки ПДн, либо комиссией, формируемой в установленном Оператором порядке, посредством проведения внутреннего контроля.

1.4. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения, порядок уничтожения

1.4.1. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы обработки устанавливаются приложением «Реестр процессов обработки персональных данных» к Политика обработки персональных данных и могут обновляться отдельным приказом Оператора.

1.4.2. Сроки обработки, в том числе хранения ПДн для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки ПДн, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект ПДн, и/или согласия субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено законодательством РФ.

1.4.3. Оператор установил следующие условия прекращения обработки ПДн:

  • достижение целей обработки ПДн и максимальных сроков хранения ПДн;

  • утрата необходимости в достижении целей обработки ПДн;

  • предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

  • в случае выявления неправомерной обработки ПДн;

  • отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;

  • получение требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн;

  • ликвидация или реорганизация Оператора;

  • иные условия, предусмотренные действующим законодательством.

1.5. Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных 152-ФЗ.

1.6. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

1.7. Оператор может осуществлять обработку специальных категорий ПДн (сведения о состоянии здоровья) для целей:

  • ведения кадрового, бухгалтерского, налогового и воинского учета в отношении работников; принятия управленческих и кадровых решений; контроля над трудовой дисциплиной; выплаты заработной платы, премий и возмещений по понесенным расходам; участия в зарплатном проекте; предоставления гарантий, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи;

  • обеспечения охраны труда, техники безопасности, пожарной безопасности и защиты от чрезвычайных ситуаций; проведения специальной оценки условий труда; выявления нарушений состояния здоровья и медицинских противопоказаний к работе; проведения медицинских осмотров и медицинских освидетельствований; расследования, учета и оповещения о несчастных случаях;

  • защита жизни и здоровья физических лиц, имущества и объектов недвижимости от противоправных посягательств, обеспечение внутриобъектового и пропускного режимов на объектах недвижимости Оператора.

1.8. Улучшение порядка обработки ПДн

1.8.1. Оператор на регулярной основе улучшает порядок обработки ПДн с учетом регулярных изменений требований действующего законодательства РФ и характеристик процессов организации обработки ПДн, а также по причине выработки новых подходов и практик обработки ПДн.

1.8.2. Улучшение достигается посредством уточнения (пересмотра) Политики обработки персональных данных, использования результатов внутреннего контроля и проверок (государственного надзора), корректирующих и предупреждающих действий. Порядок проведения внутреннего контроля и порядок участия в проверках (государственном надзоре) определены в локальных нормативных актах Оператора, регулирующих организацию защиты ПДн.

1.8.3. Политика обработки персональных данных, включая Реестр процессов обработки персональных данных, пересматриваются по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра. В случае внесения изменений в Реестр процессов обработки персональных данных, он подлежит утверждению в новой редакции. Сведения об изменении процессов обработки подаются в Роскомнадзор.

1.8.4. Оператор проводит мероприятия по устранению причин несоответствий требованиям действующего законодательства РФ в области ПДн и локальных нормативных актов с целью предупредить их повторное возникновение.

1.8.5. Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям действующего законодательства РФ в области ПДн и локальных нормативных актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать размеру вреда, который может быть причинен Оператору.

1.8.6. Критически важным для улучшения порядка управления и обеспечения обработки ПДн являются состав, квалификация и опыт лиц, привлекаемых к данной активности.

1.8.7. Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, может включать в себя:

  • лицо, ответственное за организацию обработки ПДн;

  • лицо, ответственное за обеспечение безопасности ПДн в ИСПДн (при наличии), или представителя структурного подразделения Оператора, ответственного за обеспечение безопасности ПДн в ИСПДн;

  • лицо, ответственное за подбор и ведение кадрового учета (при наличии);

  • работников Оператора, которые вовлечены в обработку и (или) защиту ПДн;

  • иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц (сторонних организаций), обладающих соответствующими компетенциями.

1.8.8. Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, должны соответствовать поставленной перед ними задаче. Указанные лица в своей совокупности должны:

  • знать требования действующего законодательства в области ПДн;

  • обладать как минимум базовыми знаниями в сфере управления и обеспечения информационной безопасности;

  • иметь компетенцию по исследованию бизнес-процессов Оператора.

1.8.9. Контроли несоответствий и рекомендации по устранению несоответствий отражаются в локальных нормативных актах Оператора об организации защиты ПДн. 

1.9. Основные правила обработки ПДн

1.9.1. Оператором ведется перечень ИСПДн Оператора.

1.9.2. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.

1.9.3. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки.

1.9.4. Оператором не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

1.10. Порядок предоставления доступа работников к ПДн

1.10.1. Доступ к ПДн имеют работники Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих обязанностей.

1.10.2. Перечень работников, допущенных к обработке ПДн, определяется лицом, ответственным за организацию обработки ПДн, и утверждается приказом Оператора.

1.10.3. Процедура предоставления доступа работника Оператора к ПДн осуществляется на основании утвержденных процедур предоставления доступа к ПДн и процедур ознакомления с процессом обработки ПДн у Оператора. Такие процедуры должны включать фиксацию в соглашении о конфиденциальности с работником соответствующих положений о конфиденциальности ПДн и безопасности ПДн при обработке, и ознакомление работников или их представителей под роспись с документами Оператора, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области.

1.10.4. В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего ПДн, а также изменении организационно-штатной структуры, лицо, ответственное за обработку ПДн пересматривает права доступа работника к ПДн и при необходимости вносит соответствующие изменения в Перечень лиц, допущенных к обработке ПДн.

1.10.5. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию непосредственного руководителя увольняющегося работника Оператора.

1.10.6. Лицо, ответственное за организацию обработки ПДн, по мере необходимости осуществляет проверку/актуализацию работников допущенных к обработке ПДн, а также списка пользователей ИСПДн, электронного журнала обращений пользователей ИСПДн на получение ПДн (при наличии). В случае выявления работников, допущенных к обработке ПДн, которым такой доступ больше не требуется, права доступа такого работника к ПДн незамедлительно отзываются.

1.10.7. Допуск работников к обработке ПДн до прохождения процедуры предоставления доступа запрещается.

1.10.8. Доступ работников к своим ПДн осуществляется в соответствии с положениями 152-ФЗ и трудового законодательства.

1.10.9. Передача ПДн работников третьим лицам допускается с их письменного согласия, если иное не предусмотрено законодательством или не вытекает из трудовых отношений с работником.

1.11. Порядок обработки ПДн, включая сбор, запись и хранение ПДн

1.11.1. Обработка ПДн может осуществляться Оператором в случаях, предусмотренных действующим законодательством.

1.11.2. Оператором применяются следующие способы сбора (получения) ПДн субъектов:

  • заполнение субъектом ПДн соответствующих форм;

  • предоставление субъектом ПДн соответствующих документов;

  • получение ПДн от третьих лиц;

  • сбор ПДн из общедоступных источников;

  • осуществление записи видеоизображения субъекта ПДн и (или) его речи.

1.11.3. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием БД, находящихся на территории РФ, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ, а также обеспечивает соблюдение следующих принципов:

  • сбор Оператором ПДн граждан РФ, в том числе с территории иностранных государств, должен вестись только в БД, находящиеся на территории РФ;

  • передача (в т.ч. трансграничная) Оператором ПДн граждан РФ, после их сбора, может осуществляться в зарубежные БД при соблюдении следующего условия: в БД, находящихся на территории РФ, размещены ПДн граждан РФ в равном или большем объеме чем в зарубежной БД, с соблюдением их состава и актуальности; при условии уведомления Роскомнадзора о трансграничной передаче.

1.11.4. Оператор, в случаях предусмотренных 152-ФЗ, ТК РФ, сообщает субъекту ПДн о целях, способах и источниках получения его ПДн, а также о характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать письменное согласие на их получение.

1.11.5. Оператор может осуществлять запись (ввод) ПДн в ИСПДн – это процедура, связанная с кодированием ПДн в компьютерно-читаемую форму и их записью в БД ИСПДн.

1.11.6. Существуют следующие способы записи ПДн в ИСПДн Оператора:

  • ввод информации при помощи клавиатуры;

  • сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;

  • ввод существующих цифровых файлов;

  • получение информации из других информационных систем.

1.11.7. ПДн субъектов могут храниться Оператором на материальных носителях информации, содержащих сведения, в том числе, в форме документов – зафиксированной на материальном носителе информации (содержащей ПДн) с реквизитами, позволяющими ее идентифицировать и определить субъекта ПДн. Порядок хранения таких материальных носителей определяется в Перечне материальных носителей персональных данных и мест их хранения.

1.12. Порядок уничтожения ПДн

1.12.1. ПДн подлежат уничтожению в следующие сроки, определенные 152-ФЗ:

  • при отзыве субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва. При этом согласие на обработку ПДн при его отзыве не уничтожается, передается на хранение в соответствии с пунктом 441 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Росархива от 20.12.2019 № 236. По истечении установленного срока хранения согласие на обработку ПДн уничтожается в порядке, предусмотренном Политикой обработки персональных данных;

  • при достижении цели обработки ПДн или утраты необходимости в достижении этих целей – в срок, не превышающий 30 календарных дней с даты достижения цели обработки ПДн;

  • при истечении сроков хранения ПДн, установленных нормативными правовыми актами РФ – в сроки, установленные локальными нормативными актами Оператора для уничтожения архивных документов;

  • при получении требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн – в срок, не превышающий 10 рабочих дней, если иной срок не установлен в требовании;

  • при выявлении неправомерной обработки ПДн в случае, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн;

  • при получении требования субъекта ПДн или его представителя, если субъект ПДн является несовершеннолетним, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются  незаконно полученными или не являются необходимыми для заявленной цели обработки; В случае получения требования субъекта ПДн или его представителя, если субъект ПДн является несовершеннолетним, что ПДн являются неполными, неточными или неактуальными (устаревшими) – в них вносятся изменения в срок, не превышающих 7 рабочих дней со дня получения таких требований; 

  • иные сроки, установленные действующим законодательством.

1.12.2. При невозможности уничтожения ПДн в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПДн, при достижении целей обработки ПДн, а также при отзыве субъектом согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, Оператор осуществляет блокирование ПДн и уничтожает ПДн в течение 6 месяцев, если иной срок не установлен законодательством РФ.

1.12.3. Уничтожение ПДн осуществляется лицом, ответственным за организацию обработки ПДн, либо под контролем комиссии, формируемой в установленном Оператором порядке. В случае возникновения необходимости по уничтожению ПДн в удаленных местах нахождения работников Оператора лицо, ответственное за организацию обработки ПДн, путем издания соответствующего распоряжения о назначении лица, ответственного за уничтожение ПДн по месту нахождения работника.

1.12.4. Факт уничтожения ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, подтверждается Актом об уничтожении ПДн

Факт уничтожения ПДн, обработка которых осуществляется Оператором с использованием средств автоматизации, подтверждается Актом об уничтожении ПДн и выгрузкой из журнала регистрации событий в ИСПДн.

Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения ПДн.

В случае составления Акта об уничтожении в электронной форме, такой акт подписывается электронной подписью в соответствии с требованиями законодательства РФ об электронной подписи, локальными нормативными актами Оператора, регламентирующими использование электронных подписей в организации.

1.12.5. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн. Если ПДн невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПДн, и их материальный носитель.

1.12.6. Уничтожение ПДн в ИСПДн, на АРМ и на отчуждаемых машинных носителях информации осуществляется с помощью штатных средств, а также, при необходимости, с применением специализированных программных или аппаратных средств.

1.12.7. Уничтожение ПДн на бумажных носителях информации осуществляется в установленном Оператором порядке после передачи в архив и (или) истечении сроков хранения.

Как правило, уничтожение ПДн на бумажном носителе производится путем измельчения, сжигания или преобразования в целлюлозную массу указанного бумажного носителя таким образом, чтобы гарантировать невозможность их восстановления.

1.12.8. Уничтожение ПДн третьим лицом, обрабатывающим ПДн по поручению Оператора, осуществляется в порядке, установленном договором между Оператором и третьим лицом, а также с учетом требований раздела 4 Политики обработки персональных данных.

Как правило, третьему лицу направляется уведомление о необходимости удаления персональных данных субъекта персональных данных с предоставлением Оператору, подтверждающих факт удаления документов, если договором с третьим лицом не предусмотрено иное.

1.12.9. Для уничтожения (стирания) персональных данных на машинных носителях информации применяются средства и механизмы средств защиты информации информационных систем, обеспечивающие невозможность восстановления и повторного использования ПДн.

Дополнительные требования к порядку уничтожения ПДн на материальных носителях могут быть установлены локальными нормативными актами Оператора, в том числе в Перечне материальных носителей персональных данных и мест их хранения у Оператора. 

Лицо, ответственное за организацию обработки ПДн

2.1. Статус лица, ответственного за организацию обработки ПДн

2.1.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, которое при выполнении своих функций и обязанностей руководствуется Политикой обработки персональных данных, приказом о назначении лица, ответственного за организацию обработки ПДн, иными локальными нормативными актами Оператора в сфере организации обработки и обеспечения безопасности ПДн, а также требованиями действующего законодательства РФ о ПДн.

2.1.2. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа (генерального директора или иного единоличного исполнительного органа) Оператора и подотчетно ему. Ответственным за организацию по обработке ПДн может являться исполнительный орган (генеральный директор или иной единоличный исполнительный орган) Оператора, либо иное лицо, назначенное Оператором.

2.1.3. Решения об инициации Оператором новых процессов обработки ПДн или о внесении изменений в существующие процессы обработки ПДн согласовываются с лицом, ответственным за организацию обработки ПДн.

2.2. Функции и обязанности лица, ответственного за организацию обработки ПДн

2.2.1. Лицо, ответственное за организацию обработки ПДн, выполняет или обеспечивает выполнение следующих функций и обязанностей:

  • осуществление внутреннего контроля над соблюдением Оператором и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;

  • подготовку перечня структурных подразделений и должностных лиц Оператора, допущенных к обработке ПДн, в том числе в ИСПДн, для выполнения трудовых обязанностей;

  • доведение до сведения работников Оператора, включая непосредственно осуществляющих обработку ПДн, положений законодательства РФ в области ПДн, в том числе требований к защите ПДн, документов, определяющих политику Оператора в отношении обработки ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн и требований к защите ПДн, и обучение указанных работников;

  • принятие и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов. Регистрация обращений и запросов субъектов ПДн, а также их рассмотрение осуществляется в соответствии с установленным у Оператора порядком рассмотрения запросов субъектов ПДн, контрольных и надзорных органов по вопросам обработки ПДн;

  • оценку соответствия содержания и объема обрабатываемых Оператором ПДн целям обработки ПДн;

  • разработку документов, определяющих политику Оператора в отношении обработки ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ о ПДн, а также устранение последствий таких нарушений;

  • формирование на временной или постоянной основе локальных комиссий, утверждение уполномоченных лиц по уничтожению ПДн в удаленных местах нахождения работников Оператора;

  • проведение мероприятий по внутреннему контролю и (или) аудиту соответствия обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политикой обработки персональных данных, локальным нормативным актам Оператора;

  • участие в оценке вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;

  • установление правил доступа работников Оператора к ПДн, обрабатываемым в ИСПДн;

  • совместно с заинтересованными работниками Оператора осуществление взаимодействия от имени Оператора с Роскомнадзором и иными уполномоченными органами в случаях, предусмотренных законодательством РФ о ПДн;

  • своевременное формирование и направление в Роскомнадзор уведомления о намерении Оператора осуществлять обработку (об обработке Оператором) ПДн;

  • своевременное формирование и направление в Роскомнадзор уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн. Формирование и направление в Роскомнадзор информационного письма об изменениях в обработке производится не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;

  • своевременное формирование и направление в Роскомнадзор уведомлений о намерении осуществлять трансграничную передачу ПДн, уведомлений о фактах неправомерной или случайной передачи (предоставление, распространение, доступ) ПДн, повлекшей нарушение прав субъектов ПДн и иных уведомлений, предусмотренных действующим законодательством РФ;

  • осуществление регулярного мониторинга фактов включения Оператора в Единый реестр контрольных (надзорных) мероприятий, Единый реестр проверок (https://proverki.gov.ru/portal) на предмет соблюдения обязательных требований в сфере обработки ПДн;

  • организация работы по получению согласия субъектов ПДн на обработку их ПДн в случаях, предусмотренных законодательством РФ о ПДн;

  • ведение учета процессов обработки ПДн Оператором и перечня ИСПДн (включая БД с ПДн), а также поддержание в актуальном состоянии описательной документации для них;

  • ведение учета мест, предназначенных для хранения материальных носителей ПДн, и учета лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

  • организация режима безопасности помещений, в которых хранятся материальные носители ПДн;

  • совместно с работниками Оператора осуществление экспертизы локальных нормативных актов Оператора и договоров Оператора с третьими лицами на предмет их соответствия требованиям законодательством РФ о ПДн;

  • своевременное формирование и направление в Роскомнадзор уведомления о прекращении обработки ПДн в течение 10 рабочих дней с даты прекращения обработки ПДн.

2.3. Права лица, ответственного за организацию обработки ПДн

2.3.1. Лицо, ответственное за организацию обработки ПДн, обладает следующими правами:

  • требовать от работников Оператора выполнения требований локальных нормативных актов Оператора по вопросам обработки и защиты ПДн, а также законодательства РФ о ПДн;

  • запрашивать и получать от работников Оператора информацию для исполнения своих прав и обязанностей, приведенных в Политике;

  • вносить предложения о внесении изменений в процессы обработки ПДн и технологические процессы, связанные с обработкой ПДн в ИСПДн, если это обусловлено необходимостью обеспечения соответствия законодательству РФ о ПДн;

  • вносить предложения о поощрении или наложении взысканий на работников Оператора в связи с исполнением ими обязанностей, связанных с обработкой и защитой ПДн;

  • давать работникам Оператора и иным лицам, входящим в Комиссию по вопросам обработки и защиты ПДн, поручения и указания по соблюдению требований об обработке и защите ПДн, определяемых законодательством РФ, Политикой обработки персональных данных и требованиями локальных нормативных актов Оператора по защите ПДн;

  • правами, предусмотренными приказом о назначении лица, ответственного за организацию обработки ПДн, иными локальными нормативными актами Оператора в сфере организации обработки и обеспечения безопасности ПДн, а также требованиями действующего законодательства РФ о ПДн.

2.4. Ответственность лица, ответственного за организацию обработки ПДн

2.4.1. Лицо, ответственное за организацию обработки ПДн, несет следующую ответственность:

  • за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных Политикой обработки персональных данных, приказом о назначении лица, ответственного за организацию обработки ПДн и (или) иными локальными нормативными актами Оператора, устанавливающими порядок работы с ПНд, в пределах, определенных действующим трудовым законодательством РФ;

  • за правонарушения, совершенные в процессе осуществления своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ;

  • за причинение материального ущерба и морального вреда в пределах, определенных действующим трудовым и гражданским законодательством РФ.

Порядок обмена ПДн с третьим лицами и неопределенным кругом лиц

3.1. Получение ПДн

3.1. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.

3.2. Передача ПДн

3.2.1. Передача является способом обработки персональных данных и должна основываться на принципах, установленных законодательством РФ в области персональных данных, а также на положениях локальных нормативных актов Оператора.

3.2.2. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ либо договором, регламентирующим правоотношения Оператора с субъектом ПДн.

3.2.3. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме, который позволяет предоставлять минимальный необходимый объем ПДн о субъектах ПДн.

3.2.4. Работники Оператора, передающие ПДн субъектов третьим лицам, могут передавать их с составлением двустороннего акта приема-передачи документов (иных материальных носителей информации), содержащих ПДн субъектов, либо иным способом, позволяющим подтвердить факт и дату передачи ПДн. При использовании любого из указанных способов должны выполняться следующие условия:

  • уведомление получающего ПДн лица об его обязанности использовать полученные ПДн лишь в целях, для которых они сообщены;

  • предупреждение получающего ПДн лица об его ответственности за противоправную обработку ПДн в соответствии с действующим законодательством РФ.

3.2.5. Передача документов (иных материальных носителей информации), содержащих ПДн субъектов, осуществляется при наличии у лица, уполномоченного на их получение, согласия субъекта ПДн на запрос и получение запрашиваемых сведений, либо иных правовых оснований получения доступа к запрашиваемой информации, содержащей ПДн субъекта.

Запрос должен включать в себя указание на правовые основания получения доступа к запрашиваемой информации, содержащей ПДн субъекта, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию.

3.2.6. Оператором перед предоставлением ответа на запрос дополнительно проверяется наличие действующего соглашения Оператора с запрашивающим ПДн лицом, регулирующие порядок организации обработки и обеспечения безопасности ПДн (при наличии), либо наличие в действующем договоре Оператора с запрашивающим ПДн лицом пунктов о соблюдении конфиденциальности ПДн субъекта(ов) Полномочия заключать от имени Оператора соглашения с третьими лицами, регулирующие порядок организации обработки и обеспечения безопасности ПДн, определяются как Уставом Оператора, так и надлежащим образом оформленными и выданными Оператором доверенностями.

3.3. Трансграничная передача ПДн

3.3.1. Оператор имеет право осуществлять трансграничную передачу ПДн.

3.3.2. Приоритетно трансграничная передача персональных данных осуществляется в страны, обеспечивающие адекватный уровень защиты персональных данных. Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждается Роскомнадзором.

3.3.3. Передача в страны, не обеспечивающие адекватный уровень защиты персональных данных, осуществляется в случае, если это необходимо бизнес-процессом Оператора и иные страны не подходят для его организации.

3.3.4. До осуществления трансграничной передачи ПДн Оператор подает уведомление о трансграничной передаче ПДн в Роскомнадзор. Уведомление подается по форме и в соответствии с действующими нормативными правовыми актами (онлайн-формой Роскомнадзора).

3.3.5. Оператор самостоятельно или с привлечением третьих лиц осуществляет оценку соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценку соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке. Оператор вправе поручить составить данную оценку третьему лицу, которому ПДн передаются трансгранично. Оценка соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценка соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн оформляется в форме акта и хранится у Оператора. В целях составления акта, до подачи уведомления в Роскомнадзор, Оператор запрашивает у органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн следующие сведения (или получает иным образом):

  • сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, мерах по защите передаваемых ПДн и об условиях прекращения их обработки;

  • информацию о правовом регулировании в области ПДн иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача ПДн (в случае, если предполагается осуществление трансграничной передачи ПДн органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн);

  • сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача ПДн (фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

3.3.6. Взаимодействие с Роскомнадзором по вопросам трансграничной передачи определяется действующими нормативными правовыми актами.

3.3.7. Если дается запрет на трансграничную передачу, то Оператор обеспечивает уничтожение иностранным лицом ранее переданных ему ПДн в сроки, установленные нормативными правовыми актами или запретом Роскомнадзора. Факт уничтожения иностранным лицом ранее переданных ему ПДн подтверждается актом об уничтожении, разработанным иностранным лицом. Иностранное лицо направляет акт об уничтожении Оператору в течение 3 дней с момента уничтожения ранее переданных ему персональных данных. Акт об уничтожении, разработанный иностранным лицом и полученный Оператором, направляется Оператором в Роскомнадзор.

3.4. Соглашение о поручении обработки ПДн

3.4.1. В соответствии с ч.3 ст.6 152-ФЗ Оператор вправе поручить обработку ПДн другому лицу (обработчику, контрагенту) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.4.2. Поручение обработки ПДн может быть формализовано как в виде отдельного документа между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.

3.4.3. Поручение обработки ПДн должно содержать условия, предусмотренные ч. 3 ст. 6 152-ФЗ.

3.4.4. В поручении обработки ПДн устанавливается, что лицо, осуществляющее обработку ПДн по поручению Оператора, обязано уведомлять Оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных.

3.4.5. Состав и содержание информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных в уведомлениях могут быть ограничены с учетом требований применимого законодательства, а также для соблюдения прав и законных интересов субъектов ПДн, стороны, которая выявила факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, и третьих лиц.

3.5. Соглашение о защите ПДн

3.5.1. В соответствии с ч.1 ст.6, ст.7, ч.4 ст.18, ч.1 ст.19 152-ФЗ Оператор обязан проявлять должную осмотрительность при передаче ПДн без необходимости поручения их обработки иному лицу (контрагенту).

3.5.2. Проявление должной осмотрительности может быть формализовано как в виде отдельного документа между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.

3.5.3. Необходимость в проявлении должной осмотрительности возникает в том случае, если:

  • передача ПДн не является самостоятельным предметом правоотношений между Сторонами;

  • обработка ПДн ограничена только передачей (предоставлением) ПДн между Сторонами.

3.5.4. Проявление должной осмотрительности должно фиксировать следующие взаимные обязательства между Сторонами:

  • передача ПДн субъектов ведется на законном основании (ч.1 ст.6 152-ФЗ);

  • субъекты ПДн надлежащим образом уведомлены о передаче их ПДн (ч.4 ст.18 152-ФЗ);

  • обеспечивается конфиденциальность передаваемых между Сторонами ПДн (ст.7 152-ФЗ);

  • обеспечивается безопасность передаваемых между Сторонами ПДн при их обработке (ст.19 152-ФЗ).

Сведения о реализуемых требованиях к защите ПДн

4.1. Для обеспечения конфиденциальности и безопасности ПДн субъектов ПДн, защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с 152-ФЗ Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие, если обработка ПДн осуществляется лицом, действующим по поручению Оператора.

4.2. Оператором, в частности, принимаются следующие меры, направленные на обеспечение конфиденциальности и безопасности ПДн:

  • назначение лица, ответственного за организацию обработки ПДн и лица, ответственного за обеспечение безопасности ПДн, а также определение их функций и полномочий;

  • разработка и поддержание актуальности комплекта локальных нормативных актов, нормативных документов в отношении обработки и защиты ПДн;

  • периодический внутренний контроль соответствия обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;

  • проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;

  • ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и локальными нормативными актами Оператора, иными документами в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн;

  • определение угроз безопасности ПДн при их обработке в ИСПДн;

  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценка эффективности принимаемых мер по обеспечению безопасности ПНд до ввода в эксплуатацию ИСПДн;

  • учет работников, допущенных к обработке ПДн;

  • учет материальных носителей ПДн;

  • обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установление правил доступа к ПДн, обрабатываемым в ИСПДн (при наличии). А также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;

  • учет возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн;

  • применение технических мер в соответствии с угрозами безопасности ПДн при их обработке в ИСПДн;

  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (если требуется действующим законодательством).

4.3. Конкретный порядок обеспечения технической безопасности ПДн определяется отдельными локальными нормативными актами Оператора.

4.4. Комплекс мероприятий и технических средств по обеспечению безопасности ПДн формируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также установления уровня защищенности ПДн.

Ответственность за нарушение норм, регулирующих обработку ПД

5.1. Работники, виновные в нарушении норм, регулирующих обработку ПДн, могут нести административную ответственность в соответствии со ст.ст.13.11, 13.12, 13.14, а также иными статьями КоАП РФ.

5.2. Предоставление ПДн посторонним лицам, в том числе, работникам Оператора, не имеющим права их обрабатывать, распространение ПДн, утрата материальных носителей информации, содержащих ПДн субъекта, а также иные нарушения обязанностей по обработке ПДн, установленных Политикой обработки персональных данных и другими локальными нормативными актами Оператора, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.

5.3. Работник, имеющий доступ к ПДн субъектов и совершивший вышеуказанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Оператору (п.7 ст. 243 ТК РФ).

5.4. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст.ст.137, 272, 272.1, а также другими статьями УК РФ.

Приложения

Приложение 1. Реестр процессов обработки персональных данных

Защита персональных данных - это инвестиции