1.Общие положения
1.1 Положение об обработке персональных данных ООО «СИНЕРДЖИ БИЗНЕС СОЛЮШЕНЗ» («Положение») определяет правила обработки персональных данных («ПД») и устанавливает требования по организации и непосредственному функционированию процессов обработки персональных данных в ООО «СИНЕРДЖИ БИЗНЕС СОЛЮШЕНЗ» («Компания») в соответствии с требованиями нормативных правовых актов Российской Федерации в области обработки и защиты ПД.1.2 Положение является локальным нормативным актом Компании и обязательно для исполнения всеми подразделениями и Работниками, обрабатывающими ПД.
1.3 Требования Положения распространяются на все процессы обработки ПД в Компании, независимо от формы представления ПД.
1.4 Положение должно быть доведено до каждого работника Компании, осуществляющего обработку ПД, под подпись.
1.5 Цели разработки Положения:
• определение порядка обработки субъектов ПД;
• обеспечение защиты прав и свобод субъектов ПД, а также обеспечение безопасности ПД при обработке;
• определение необходимых для этого мер и процедур.
1.6 Положение разработано в т.ч. в соответствии со следующими нормативными актами, которыми также необходимо руководствоваться при работе с ПД во всех случаях, не урегулированных локальными нормативными актами Компании:
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» («Закон о персональных данных»);
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ («Трудовой кодекс»);
• Гражданский кодекс Российской Федерации от 21.10.1994 № 51-ФЗ;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Требования к защите персональных данных при их обработке в информационных системах персональных данных (утверждены Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
• Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утверждено Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
• Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены Приказом ФСТЭК России от 18.02.2013 № 21);
• Положение о государственном контроле (надзоре) за обработкой персональных данных (утверждено Постановлением Правительства Российской Федерации от 29.06.2021 № 1046).
2.Термины, определения и сокращения
2.1 Персональные данные («ПД») — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).2.2 Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
2.3 Информационная система персональных данных («ИСПД») — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
2.4 Работник — физическое лицо, с которым Компания имеет либо имела трудовые отношения.
2.5 Роскомнадзор — Федеральная служба России по надзору в сфере связи, информационных технологий и массовых коммуникаций, уполномоченный орган по защите прав субъектов ПД.
2.6 Субъект ПД — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД.
3.Обрабатываемые ПД
3.1 В Компании разработан и утвержден «Перечень обрабатываемых персональных данных, информационных систем персональных данных, лиц, допущенных к обработке персональных данных, а также помещений, в которых происходит обработка персональных данных» («Перечень ПД»).
В Перечне ПД в том числе устанавливаются:
• категории субъектов ПД, чьи ПД обрабатываются в Компании,
• группы и категории обрабатываемых ПД,
• цели обработки ПД,
• правовые основания обработки ПД,
• способы обработки ПД,
• сроки обработки (хранения) ПД,
• порядок уничтожения ПД.
Перечень ПД подлежит пересмотру Ответственным за организацию обработки ПД в Компании не реже одного раза в год и по мере необходимости при изменении процессов обработки ПД с целью обеспечения точности, достоверности и актуальности ПД, в том числе по отношению к целям обработки ПД. Перечень содержится и актуализируется в электронном виде. Актуальная версия Перечня доступна у Ответственного за организацию обработки ПД.
3.2 Компания осуществляет обработку ПД следующих категорий субъектов ПД:
• соискатели;
• рекомендатели;
• Работники;
• родственники Работников;
• контрагенты;
• лица, предоставившие согласие на маркетинговые коммуникации;
• иные лица.
3.3 В случае если правовым основанием для обработки ПД предусматривается необходимость получения согласия субъекта ПД на обработку его ПД, то данное согласие получается Компанией либо иным третьим лицом (например, контрагентом Компании), которое передает ПД Компании и обеспечивает правомерность передачи и обработки ПД Компанией в соответствии с условиями договора между таким третьим лицом и Компанией.
3.4 Обработка ПД, которая не соответствует целям или составу, определенным Положением, в Компании запрещена. Проверка данного соответствия осуществляется Ответственным за организацию обработки ПД в Компании при изменениях процессов обработки ПД и/или ИСПД.
3.5 В Компании не допускается обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, сведений о судимости, биометрических ПД.
В Компании допускается обработка следующих специальных категорий ПД Работников с их письменного согласия:
• сведения об инвалидности,
• иные сведения о состоянии здоровья для целей выполнения требований законодательства в области здравоохранения и заключения трудового договора на замещение вакантной должности, в случае если таковая требует прохождения медицинского осмотра.
3.1 В Компании разработан и утвержден «Перечень обрабатываемых персональных данных, информационных систем персональных данных, лиц, допущенных к обработке персональных данных, а также помещений, в которых происходит обработка персональных данных» («Перечень ПД»).
В Перечне ПД в том числе устанавливаются:
• категории субъектов ПД, чьи ПД обрабатываются в Компании,
• группы и категории обрабатываемых ПД,
• цели обработки ПД,
• правовые основания обработки ПД,
• способы обработки ПД,
• сроки обработки (хранения) ПД,
• порядок уничтожения ПД.
Перечень ПД подлежит пересмотру Ответственным за организацию обработки ПД в Компании не реже одного раза в год и по мере необходимости при изменении процессов обработки ПД с целью обеспечения точности, достоверности и актуальности ПД, в том числе по отношению к целям обработки ПД. Перечень содержится и актуализируется в электронном виде. Актуальная версия Перечня доступна у Ответственного за организацию обработки ПД.
3.2 Компания осуществляет обработку ПД следующих категорий субъектов ПД:
• соискатели;
• рекомендатели;
• Работники;
• родственники Работников;
• контрагенты;
• лица, предоставившие согласие на маркетинговые коммуникации;
• иные лица.
3.3 В случае если правовым основанием для обработки ПД предусматривается необходимость получения согласия субъекта ПД на обработку его ПД, то данное согласие получается Компанией либо иным третьим лицом (например, контрагентом Компании), которое передает ПД Компании и обеспечивает правомерность передачи и обработки ПД Компанией в соответствии с условиями договора между таким третьим лицом и Компанией.
3.4 Обработка ПД, которая не соответствует целям или составу, определенным Положением, в Компании запрещена. Проверка данного соответствия осуществляется Ответственным за организацию обработки ПД в Компании при изменениях процессов обработки ПД и/или ИСПД.
3.5 В Компании не допускается обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, сведений о судимости, биометрических ПД.
В Компании допускается обработка следующих специальных категорий ПД Работников с их письменного согласия:
• сведения об инвалидности,
• иные сведения о состоянии здоровья для целей выполнения требований законодательства в области здравоохранения и заключения трудового договора на замещение вакантной должности, в случае если таковая требует прохождения медицинского осмотра.
4.Правила обработки ПД
4.1 Принципы обработки ПД
4.1.1 Обработка ПД в Компании осуществляется в соответствии со следующими принципами:
• обработка ПД осуществляется на законной и справедливой основе;
• обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка ПД, несовместимая с целями сбора ПД;
• не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПД, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;
• при обработке ПД обеспечивается точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД, принимаются необходимые меры по удалению или уточнению неполных или неточных ПД;
• хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, согласием на обработку ПД, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
• обрабатываемые ПД уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка ПД не используется в целях причинения имущественного и/или морального вреда субъектам ПД, затруднения реализации их прав и свобод.
4.1.2 В Компании проводится анализ соответствия процессов обработки ПД заявленным принципам в случае:
• создания новых или внесения изменений в существующие или прекращения процессов обработки ПД;
• создания новых или внесения изменений в существующие или снятие с эксплуатации ИСПД;
• изменения нормативной базы и правоприменительной практики, затрагивающей принципы и/или процессы обработки ПД в Компании;
• проведения внутренних и/или внешних контрольных мероприятий на предмет оценки соответствия процессов обработки ПД заявленным принципам.
4.2 Сбор ПД
4.2.1 Компания получает ПД из следующих источников (самостоятельно или через лицо, обрабатывающее ПД по поручению Компании):
• непосредственно от субъекта ПД или представителя субъекта ПД;
• от третьих лиц в целях исполнения договорных обязательств или исполнения требований законодательства РФ;
• из общедоступных источников, а также источников, организующих распространение ПД с разрешения субъектов при соблюдении установленных условий и запретов;
• от другого субъекта ПД в целях реализации его законных прав или исполнения требований законодательства РФ.
4.2.2 При необходимости получения согласия на обработку ПД, такое согласие предоставляется субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме (в том числе электронной).
В случае получения согласия на обработку ПД от представителя субъекта ПД, полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Работником, осуществляющим взаимодействие с представителем.
В Компании могут собираться согласия на обработку ПД следующих категорий субъектов ПД:
• Работники;
• соискатели;
• другие лица в случаях, установленных локальными нормативными актами Компании или законодательством.
4.2.3 Сбор согласий на обработку ПД осуществляется Работником, осуществляющим непосредственное взаимодействие с указанными лицами в силу возложенных на него полномочий/функций.
4.2.4 В случае возникновения необходимости получения письменного согласия на обработку ПД его форма должна соответствовать требованиям статьи 9 Закона о персональных данных, а именно содержать:
• фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• при получении согласия от представителя субъекта: фамилию, имя, отчество, адрес представителя субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
• наименование и адрес Компании;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Компанией способов обработки ПД;
• срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта и дату предоставления согласия.
Письменное согласие может быть получено Компанией в электронной форме при обеспечении соответствия законодательству РФ такой формы (в частности, если такое согласие подписано соответствующей законодательству электронной подписью субъекта).
В случае необходимости получения согласия на обработку ПД, разрешенных субъектом ПД для распространения, Компания учитывает требования, установленные к такому типу согласий.
4.2.5 Если предоставление ПД является обязательным в соответствии с законодательством РФ, и субъект ПД отказывается представить его ПД, Работник, осуществляющий сбор ПД, должен разъяснить субъекту ПД юридические последствия такого отказа. Последствия определяются исходя из целей обработки ПД, для которых субъект ПД отказывается предоставлять свои ПД.
4.2.6 При сборе ПД и их последующей обработке субъекту ПД представляется следующая информация по его запросу:
• подтверждение факта обработки ПД;
• правовые основания и цели обработки ПД;
• применяемые в Компании способы обработки ПД;
• наименование и фактический адрес Компании, сведения о лицах (за исключением Работников), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Компанией или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных Законом о персональных данных;
• информация об осуществляемой или о предполагаемой трансграничной передаче ПД;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
• о способах исполнения Компанией обязанностей, установленных в статье 181 Закона о персональных данных;
• иные сведения, предусмотренные к представлению Законом о персональных данных, другими федеральными законами, внутренними документами Компании (если применимо).
Вышеперечисленные данные предоставляются субъекту ПД в свободной форме устно либо в виде информационного сообщения на бумажном носителе или в электронном виде в зависимости от того, в какой форме поступил в Компанию запрос и в какой форме осуществляется взаимодействие с субъектом ПД по соответствующему вопросу. Ответственным за предоставление данной информации является Работник (представитель Компании), который обеспечивает получение у субъекта ПД согласия на обработку ПД. Согласие может быть подписано средствами электронной подписи в информационных системах.
4.2.7 Если ПД получены не от субъекта ПД или его представителя, то до начала обработки таких ПД субъекту ПД предоставляется следующая информация:
• наименование и адрес Компании;
• цель обработки ПД и ее правовое основание;
• перечень ПД;
• предполагаемые пользователи ПД;
• права субъекта ПД, установленные Законом о персональных данных;
• источник получения ПД.
Указанная информация не предоставляется в следующих случаях:
• субъект ПД уведомлен об осуществлении обработки его ПД Компанией (например, контрагентом, передавшим ПД Компании);
• ПД получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД получены из общедоступного источника;
• представление субъекту ПД указанных сведений нарушает права и законные интересы третьих лиц.
4.2.8 В случае, если ПД субъекта получены Компанией от третьего лица, то соответствующим договором между Компанией и таким третьим лицом может быть предусмотрено иное распределение функций/обязанностей информирования субъекта ПД.
4.3 Хранение и учёт ПД
4.3.1 ПД субъектов ПД обрабатываются и хранятся в ИСПД (внутренних или внешних компонентах), а также на материальных носителях ПД. Руководители структурных подразделений, Работники которых имеют доступ к ПД, осуществляют организацию соблюдения порядка обращения с носителями ПД в соответствующих структурных подразделениях. Владельцы ИСПД (ее компонентов) и руководители структурных подразделений осуществляют организацию соблюдения порядка обработки ПД в ИСПД (ее компонентах) Работниками Компании, которые имеют доступ к ПД в ИСПД.
4.3.2 В Компании обеспечивается раздельное хранение ПД при различных целях обработки и запрещается на одном носителе фиксация ПД, цели обработки которых не совместимы. Запрещается совместное хранение носителей ПД с другими документами, не содержащими ПД, кроме случаев, когда носители ПД являются приложениями к другим документам или наоборот.
4.3.3 По возможности Компания старается обеспечивать хранение ПД в разных базах данных, документах, шкафах для предотвращения ознакомления с избыточным составом ПД при выполнении процесса, требующего меньшего состава ПД, а также для обеспечения возможности уничтожения или блокирования ПД при достижении целей обработки.
4.3.4 По возможности Компания старается обеспечивать хранение документов на бумажных носителях, содержащих ПД, хранятся в Компании в шкафах, комнатах, тумбочках, запираемых на ключ.
Хранение машинных носителей ПД осуществляется в условиях, исключающих возможность хищения, нарушения целостности или уничтожения содержащейся на них информации. Не допускается оставлять без присмотра отчуждаемые машинные носители ПД с резервными копиями.
Для хранения носителей ПД допускается привлечение третьего лица, оказывающего соответствующие услуги Компании. В этом случае с таким третьим лицом заключается среди прочего договор поручения обработки ПД в виде хранения, соответствующий требованиям законодательства.
4.3.5 Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, согласием на обработку ПД, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
Обрабатываемые ПД подлежат уничтожению в следующих случаях, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД, в том числе в форме согласия на обработку ПД, действующим законодательством РФ:
• по достижении цели обработки ПД или в случае утраты необходимости в достижении этих целей (если только не предаются на архивное хранение);
• при отзыве субъектом ПД согласия на обработку его ПД, если хранение ПД более не требуется для целей обработки ПД и отсутствуют иные законные основания обработки ПД;
• если ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при выявлении неправомерной обработки ПД, осуществляемой Компанией или лицом, действующим по ее поручению, если обеспечить правомерность обработки ПД невозможно;
• при направлении субъектом ПД запроса о прекращении обработки ПД, если отсутствуют иные законные основания обработки ПД.
При этом, в случаях, предусмотренных архивным законодательством, обработка ПД прекращается не уничтожением ПД, а передачей на архивное хранение по правилам, предусмотренным п. 4.9 Положения.
4.3.6 Сроки хранения ПД определяются на основании целей обработки, а также применимых оснований обработки ПД (например, срока действия согласий на обработку ПД, договоров, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, сроков, установленных законодательством РФ).
4.3.7 Определенные сроки хранения ПД для стандартных процессов обработки ПД в Компании могут включаться в соответствующие локальные нормативные акты, регулирующие такие процессы.
4.4 Использование ПД
4.4.1 В Компании запрещено принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы.
В случае если какое-либо решение формируется в рамках работы ИСПД, то данное решение обязательно должен подтвердить Работник.
4.4.2 В Компании запрещается использование ПД посторонними лицами, за исключением случаев передачи ПД или предоставления доступа к ПД третьим лицам по правилам, установленным Положением.
4.5 Передача ПД третьим лицам
4.5.1 Компания вправе поручить обработку и/или передать (предоставить доступ к) ПД третьему лицу при наличии надлежащего правового основания при условии заключения с этим лицом соответствующего договора.
Такое третье лицо («Контрагент») обязано соблюдать принципы и правила обработки ПД, предусмотренные действующим законодательством.
4.5.2 Компания передает ПД Контрагенту в соответствии с заключенным договором в составе и объеме, необходимом для достижения заявленных целей обработки, а также в соответствии с требованиями действующего законодательства.
4.5.3 При поручении Контрагенту обработки ПД, с таким Контрагентом должен быть подписан договор поручения обработки ПД.
При передаче (предоставлении доступа к) ПД Контрагенту, который является самостоятельным оператором ПД, должен быть подписан договор, регламентирующий передачу (предоставление доступа к) ПД и взаимные обязанности обеих сторон.
Допускается оформление договоров в форме отдельного соглашения, соглашения о конфиденциальности и/или путем включения соответствующих положений в основной договор с Контрагентом. В Компании используются стандартные формы положений для поручения обработки и передачи ПД. В случае использования нестандартных формулировок и (или) изменения положений стандартных форм перед их подписанием с Контрагентом необходимо согласование таких формулировок и (или) изменений с Ответственным за организацию обработки ПД.
4.5.4 В договоре поручения обработки ПД в обязательном порядке должны быть определены:
• перечень действий (операций) с ПД, которые будут совершаться Контрагентом, в соответствии с действиями, заявленными субъекту в договоре, согласии и т.д.;
• цели обработки в соответствии с целями, заявленными субъекту в договоре, в согласии и т.д.;
• перечень категорий субъектов ПД, а также категорий ПД, которые будут обрабатываться Контрагентом;
• обязанность Контрагента соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, соблюдать принципы и правила обработки ПД, предусмотренные законодательством РФ а также, если применимо, соблюдать требования, установленные законодательством РФ в отношении обработки ПД без использования средств автоматизации, включая информирование Работников о факте и особенностях обработки ими ПД без использования средств автоматизации;
• требования к защите ПД, в том числе требование об уведомлении Компании об инциденте ПД, повлекшем неправомерное раскрытие ПД;
• требования, предусмотренные частью 5 статьи 18, статьями 18.1 и 19 Закона о персональных данных, обязанность по запросу Компании в течение срока действия поручения Компании, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Компании требований;
• порядок передачи ПД (или предоставления доступа к ним).
4.5.5 При поручении обработки ПД должны соблюдаться нижеперечисленные критерии, за обеспечение которых отвечает лицо (подразделение Компании), инициирующее привлечение Контрагента:
• Ответственный за организацию обработки ПД уведомляется о привлечении такого Контрагента;
• Контрагент выбирается на основании его пригодности для обеспечения требуемых технических и организационных защитных мер;
• перед началом обработки данных Контрагентом Компания предпринимает разумные и обоснованные действия, чтобы убедиться в соблюдении Контрагентом его обязанностей, для чего может использоваться стандартная форма анкеты / опросника, которая может быть утверждена Ответственным за организацию обработки ПД.
4.5.6 Компания в ходе своей деятельности кроме передачи ПД третьим лицам может также предоставлять доступ третьим лицам к ПД, которые хранятся и обрабатываются в ИСПД (внутренних или внешних компонентах), либо в помещениях Компании. В этом случае необходимо обеспечить выполнение требований п. 4.5.1 – 4.5.5 Положения.
Прекращение доступа третьих лиц к ПД осуществляется в случаях:
• отзыва субъектом ПД согласия на обработку (как у Компании, так и отдельно на передачу данному третьему лицу) или запрос о прекращении обработки ПД, если иное не предусмотрено законодательством РФ;
• достижения целей обработки ПД, если иное не предусмотрено согласием на обработку ПД, законодательством РФ;
• прекращения договорных отношений с третьим лицом, которому был предоставлен доступ (с учётом сроков обработки, предусмотренных в договорах, согласиях на обработку ПД, сроками исковой давности);
• иных случаях прекращения обработки ПД Компанией.
4.5.7 В случае, если субъект осуществил частичный отзыв согласия на обработку ПД, то прекращение доступа осуществляется в отношении тех процессов обработки ПД, которые указаны в заявлении такого субъекта на отзыв согласия или тесно связаны с указанным, если отсутствует иное законное основание обработки.
4.6 Прекращение обработки ПД
4.6.1 Под прекращением обработки ПД понимается остановка процессов обработки ПД в Компании с обязательным осуществлением их блокирования, уничтожения или архивации. Указанные действия с ПД также являются обработкой ПД, и их выполнение свидетельствует о прекращении процессов обработки ПД.
4.6.2 Случаи, когда необходимо прекратить обработку и осуществить блокирование или уничтожение ПД, а также порядок осуществления этих мероприятий, описаны в п. 4.7 – 4.9 Положения.
4.6.3 Допускаются следующие способы осуществления прекращения обработки:
• автоматический – при проверке выполнения критериев достижения сроков и целей обработки ПД в ИСПД;
• ручной – при проверке достижения сроков и целей обработки ПД на бумажных носителях и в ИСПД на периодической основе;
• ручной – по результатам проведения контрольных мероприятий, выявления неправомерной обработки, запросов субъектов ПД и т.д.
4.6.4 Решение о прекращении обработки ПД оформляется в виде внутренних распорядительных документов Компании. Инициаторами представленного процесса могут быть:
• Ответственный за организацию обработки ПД;
• руководители подразделений Компании;
• иные Работники.
В указанных распорядительных документах должно быть определено следующее:
• приемлемый способ прекращения обработки (блокирование, уничтожение);
• лица, ответственные за прекращение обработки ПД соответствующим способом;
• формат подтверждения факта прекращения обработки ПД (акт об уничтожении ПД).
4.6.5 При подтверждении в результате проведенной проверки факта неправомерной обработки ПД, в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, Компания обязана прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Компании.
В случае если обеспечить правомерность обработки ПД невозможно по различным причинам, то Компания в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки ПД, обязана уничтожить такие ПД или проконтролировать их уничтожение лицом, действующим по поручению Компании. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта ПД, а также, при необходимости, его представителя и/или Роскомнадзор.
В случае отсутствия возможности уничтожения ПД в течение указанного срока Компания действует в порядке, предусмотренном п. 4.7 Положения.
4.7 Блокирование ПД
4.7.1 Блокирование ПД подразумевает:
• запрет редактирования и использования ПД в ИСПД;
• информирование Контрагентов, осуществляющих обработку ПД по поручению Компании, о необходимости блокирования ПД;
• запрет передачи ПД (если передача не требуется согласно законодательству) и иных способов обработки ПД;
• изъятие бумажных документов, относящихся к субъекту ПД и содержащих его ПД, из внутреннего документооборота Компании и запрет их использования, если иное не предусмотрено законодательством.
4.7.2 Компания по умолчанию блокирует любые обрабатываемые ПД с последующим уничтожением ПД по достижении срока обработки ПД, установленного в Перечне ПД Компании, а также при отсутствии возможности уничтожения ПД в течение срока, установленного Законом о персональных данных. При этом уничтожение ПД в любом случае производится не позднее шести месяцев со дня их блокирования.
4.7.3 Компания также блокирует обрабатываемые ПД при выявлении недостоверности обрабатываемых ПД (например, если выявлены неполные, устаревшие, неточные ПД) или неправомерных действий в отношении субъекта ПД (например, если ПД являются незаконно полученными или не являются необходимыми для установленной цели обработки) в следующих случаях:
• по требованию субъекта ПД или его представителя;
• по требованию Роскомнадзора;
• по результатам внутренних контрольных мероприятий.
4.7.4 В случае выявления неточных ПД блокирование ПД может быть осуществлено, если оно не нарушает права и законные интересы субъекта ПД или третьих лиц.
4.7.5 Разблокирование ПД может быть осуществлено после уточнения ПД, для исполнения требований законодательства, а также если причины, в результате которых было осуществлено блокирование, были устранены.
4.7.6 Компания по возможности автоматизирует процесс блокирования ПД в ИСПД Компании для обеспечения своевременной реакции на необходимость блокирования ПД.
4.8 Уничтожение ПД
4.8.1 Компания, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД, в том числе в форме согласия на обработку ПД, уничтожает ПД в следующих случаях:
• по достижении цели обработки ПД или в случае утраты необходимости в достижении этих целей, либо если Компания не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных законодательством РФ;
• если субъектом ПД отозвано согласие на обработку его ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД, и запрос субъекта на отзыв согласия не противоречит требованиям законодательства РФ;
• если ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• если субъектом ПД направлено требования о прекращении обработки ПД и отсутствует иное законное основание для обработки ПД;
• если выявлена неправомерная обработка ПД, осуществляемая Компанией или Контрагентом, и обеспечить правомерность обработки ПД невозможно;
• если получено соответствующее предписание Роскомнадзора;
• если печатный документ, содержащий ПД, был составлен неправильно или содержит неточные персональные данные;
• если были подготовлены лишние копии документа с ПД (распечатаны, скопированы или иным образом размножены), и они больше не требуются в целях обработки;
• если для выполнения бизнес-процесса были созданы временные документы с ПД, которые после завершения данного бизнес-процесса не имеют целей обработки;
• если срок хранения ПД истек и отсутствуют основания для дальнейшей обработки;
• если электронный носитель информации с ПД должен быть повторно использован или отдан на восстановление или уничтожен.
4.8.2 Порядок уничтожения ПД, а также форма акта уничтожения ПД установлены в Компании Регламентом уничтожения ПД.
4.9 Архивация ПД
4.9.1 В случаях, установленных законодательством (в частности, Федеральном законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а также принятым в соответствии с ним Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным Приказом Росархива от 20.12.2019 № 236), прекращение обработки ПД может быть осуществлено путем передачи бумажного или электронного документа или иного материального носителя ПД, а также электронного образа документа на архивное хранение.
4.9.2 Архивация может быть организована следующими способами:
• путем создания в Компании архива в виде специализированного помещения для хранения носителей ПД или защищенного электронного пространства для хранения файлов, содержащих ПД, и/или
• путем передачи носителей ПД на архивное хранение третьим лицам, оказывающим Компании соответствующие услуги с соблюдением требований законодательства об архивном деле.
4.9.3 Порядок и особенности организации и функционирования архивного дела в Компании установлены Положением об архиве Компании.
4.10 Обеспечение точности, достаточности и актуальности ПД
4.10.1 При обработке ПД должны быть обеспечены точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПД.
По умолчанию, при сборе ПД Компания предполагает, что субъект ПД представляет точные, достаточные и актуальные данные.
Точность, достаточность и актуальность ПД в процессе обработки ПД достигается следующими методами:
• выявлением Компанией неточности, недостоверности и последующими мероприятиями Компании для целей уточнения данных либо подтверждения их точности, достоверности и актуальности;
• получением уведомлений от субъектов ПД об изменениях их ПД.
4.10.2 В случае выявления в рамках текущей деятельности Компании неточных, недостаточных или неактуальных ПД осуществляется следующая совокупность действий:
• блокирование ПД, если выявленное может повлиять на деятельность Компании или права субъекта за время уточнения ПД и если данные действия не нарушают прав и законных интересов субъекта ПД или третьих лиц;
• уточнение ПД, в результате которых снимается блокирование ПД.
Работник Компании, который выявил неточные, недостаточные или неактуальные ПД должен уведомить об этом Ответственного за организацию обработки ПД. Ответственный за организацию обработки ПД должен обеспечить выполнение указанных выше операций и привлечь к этому необходимых Работников.
4.10.3 Необходимость обеспечения точности, достаточности и актуальности возникает на момент выполнения Компанией действий, в результате которых могут возникнуть следующие события:
• представление неверных сведений о субъекте в органы государственной власти и местного самоуправления, во внебюджетные фонды и иные организации;
• проведение денежных или имущественных операций с субъектом (или где субъект является выгодоприобретателем), в результате которых субъект получает убытки или недополучает прибыль в результате неверных сведений;
• опубликование или предоставление неверной информации о субъекте, в результате которой могут возникнуть различные негативные последствия для субъекта;
• неточная или неактуальная информация о субъекте может повлечь убытки Компании;
• другие события, так или иначе негативно влияющие на деятельность субъекта ПД и/или Компании.
4.11 Особенности обработки ПД без использования средств автоматизации
4.11.1 В связи с тем, что в Компании происходит обработка ПД на материальных носителях ПД (бумажные документы), то в Компании в том числе осуществляется обработка ПД без использования средств автоматизации.
4.11.2 Обработка ПД, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
4.11.3 ПД при их обработке без использования средств автоматизации, обособляются от иной информации путем фиксации их на отдельных материальных (бумажных) носителях ПД, в специальных разделах или на полях форм (бланков).
4.11.4 При фиксации ПД субъектов на материальных носителях не допускается запись на одном материальном носителе ПД, цели обработки которых заведомо не совместимы. Необходимо обеспечивать раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях. Перечень мест хранения материальных носителей ПД предусмотрен в Перечне.
4.11.5 Обработка ПД, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ.
4.11.6 В случае утверждения в качестве типовой формы в установленном в Компании порядке (в частности, приказом), оформленная на бумажном носителе (журнал, реестр, перечень, анкета, книга учета, отчет и т.п.), а также с использованием ИСПД, если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека, типовая форма документа, характер информации в которой предполагает или допускает ручное включение в него ПД, должна соответствовать требованиям Постановления Правительства Российской Федерации от 15.09.2008 № 687.
4.11.7 Работники Компании, осуществляющие обработку ПД без использования средств автоматизации, должны быть проинформированы о факте такой обработки ими ПД, а также о вышеуказанных особенностях такой обработки, в частности путем ознакомления с настоящим Положением в установленном в Компании порядке. Аналогичная обязанность должна быть установлена для Контрагента, привлекаемого Компанией для обработки ПД по поручению.
4.1 Принципы обработки ПД
4.1.1 Обработка ПД в Компании осуществляется в соответствии со следующими принципами:
• обработка ПД осуществляется на законной и справедливой основе;
• обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка ПД, несовместимая с целями сбора ПД;
• не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПД, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;
• при обработке ПД обеспечивается точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД, принимаются необходимые меры по удалению или уточнению неполных или неточных ПД;
• хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, согласием на обработку ПД, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
• обрабатываемые ПД уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка ПД не используется в целях причинения имущественного и/или морального вреда субъектам ПД, затруднения реализации их прав и свобод.
4.1.2 В Компании проводится анализ соответствия процессов обработки ПД заявленным принципам в случае:
• создания новых или внесения изменений в существующие или прекращения процессов обработки ПД;
• создания новых или внесения изменений в существующие или снятие с эксплуатации ИСПД;
• изменения нормативной базы и правоприменительной практики, затрагивающей принципы и/или процессы обработки ПД в Компании;
• проведения внутренних и/или внешних контрольных мероприятий на предмет оценки соответствия процессов обработки ПД заявленным принципам.
4.2 Сбор ПД
4.2.1 Компания получает ПД из следующих источников (самостоятельно или через лицо, обрабатывающее ПД по поручению Компании):
• непосредственно от субъекта ПД или представителя субъекта ПД;
• от третьих лиц в целях исполнения договорных обязательств или исполнения требований законодательства РФ;
• из общедоступных источников, а также источников, организующих распространение ПД с разрешения субъектов при соблюдении установленных условий и запретов;
• от другого субъекта ПД в целях реализации его законных прав или исполнения требований законодательства РФ.
4.2.2 При необходимости получения согласия на обработку ПД, такое согласие предоставляется субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме (в том числе электронной).
В случае получения согласия на обработку ПД от представителя субъекта ПД, полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Работником, осуществляющим взаимодействие с представителем.
В Компании могут собираться согласия на обработку ПД следующих категорий субъектов ПД:
• Работники;
• соискатели;
• другие лица в случаях, установленных локальными нормативными актами Компании или законодательством.
4.2.3 Сбор согласий на обработку ПД осуществляется Работником, осуществляющим непосредственное взаимодействие с указанными лицами в силу возложенных на него полномочий/функций.
4.2.4 В случае возникновения необходимости получения письменного согласия на обработку ПД его форма должна соответствовать требованиям статьи 9 Закона о персональных данных, а именно содержать:
• фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• при получении согласия от представителя субъекта: фамилию, имя, отчество, адрес представителя субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
• наименование и адрес Компании;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Компанией способов обработки ПД;
• срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта и дату предоставления согласия.
Письменное согласие может быть получено Компанией в электронной форме при обеспечении соответствия законодательству РФ такой формы (в частности, если такое согласие подписано соответствующей законодательству электронной подписью субъекта).
В случае необходимости получения согласия на обработку ПД, разрешенных субъектом ПД для распространения, Компания учитывает требования, установленные к такому типу согласий.
4.2.5 Если предоставление ПД является обязательным в соответствии с законодательством РФ, и субъект ПД отказывается представить его ПД, Работник, осуществляющий сбор ПД, должен разъяснить субъекту ПД юридические последствия такого отказа. Последствия определяются исходя из целей обработки ПД, для которых субъект ПД отказывается предоставлять свои ПД.
4.2.6 При сборе ПД и их последующей обработке субъекту ПД представляется следующая информация по его запросу:
• подтверждение факта обработки ПД;
• правовые основания и цели обработки ПД;
• применяемые в Компании способы обработки ПД;
• наименование и фактический адрес Компании, сведения о лицах (за исключением Работников), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Компанией или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных Законом о персональных данных;
• информация об осуществляемой или о предполагаемой трансграничной передаче ПД;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
• о способах исполнения Компанией обязанностей, установленных в статье 181 Закона о персональных данных;
• иные сведения, предусмотренные к представлению Законом о персональных данных, другими федеральными законами, внутренними документами Компании (если применимо).
Вышеперечисленные данные предоставляются субъекту ПД в свободной форме устно либо в виде информационного сообщения на бумажном носителе или в электронном виде в зависимости от того, в какой форме поступил в Компанию запрос и в какой форме осуществляется взаимодействие с субъектом ПД по соответствующему вопросу. Ответственным за предоставление данной информации является Работник (представитель Компании), который обеспечивает получение у субъекта ПД согласия на обработку ПД. Согласие может быть подписано средствами электронной подписи в информационных системах.
4.2.7 Если ПД получены не от субъекта ПД или его представителя, то до начала обработки таких ПД субъекту ПД предоставляется следующая информация:
• наименование и адрес Компании;
• цель обработки ПД и ее правовое основание;
• перечень ПД;
• предполагаемые пользователи ПД;
• права субъекта ПД, установленные Законом о персональных данных;
• источник получения ПД.
Указанная информация не предоставляется в следующих случаях:
• субъект ПД уведомлен об осуществлении обработки его ПД Компанией (например, контрагентом, передавшим ПД Компании);
• ПД получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД получены из общедоступного источника;
• представление субъекту ПД указанных сведений нарушает права и законные интересы третьих лиц.
4.2.8 В случае, если ПД субъекта получены Компанией от третьего лица, то соответствующим договором между Компанией и таким третьим лицом может быть предусмотрено иное распределение функций/обязанностей информирования субъекта ПД.
4.3 Хранение и учёт ПД
4.3.1 ПД субъектов ПД обрабатываются и хранятся в ИСПД (внутренних или внешних компонентах), а также на материальных носителях ПД. Руководители структурных подразделений, Работники которых имеют доступ к ПД, осуществляют организацию соблюдения порядка обращения с носителями ПД в соответствующих структурных подразделениях. Владельцы ИСПД (ее компонентов) и руководители структурных подразделений осуществляют организацию соблюдения порядка обработки ПД в ИСПД (ее компонентах) Работниками Компании, которые имеют доступ к ПД в ИСПД.
4.3.2 В Компании обеспечивается раздельное хранение ПД при различных целях обработки и запрещается на одном носителе фиксация ПД, цели обработки которых не совместимы. Запрещается совместное хранение носителей ПД с другими документами, не содержащими ПД, кроме случаев, когда носители ПД являются приложениями к другим документам или наоборот.
4.3.3 По возможности Компания старается обеспечивать хранение ПД в разных базах данных, документах, шкафах для предотвращения ознакомления с избыточным составом ПД при выполнении процесса, требующего меньшего состава ПД, а также для обеспечения возможности уничтожения или блокирования ПД при достижении целей обработки.
4.3.4 По возможности Компания старается обеспечивать хранение документов на бумажных носителях, содержащих ПД, хранятся в Компании в шкафах, комнатах, тумбочках, запираемых на ключ.
Хранение машинных носителей ПД осуществляется в условиях, исключающих возможность хищения, нарушения целостности или уничтожения содержащейся на них информации. Не допускается оставлять без присмотра отчуждаемые машинные носители ПД с резервными копиями.
Для хранения носителей ПД допускается привлечение третьего лица, оказывающего соответствующие услуги Компании. В этом случае с таким третьим лицом заключается среди прочего договор поручения обработки ПД в виде хранения, соответствующий требованиям законодательства.
4.3.5 Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, согласием на обработку ПД, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
Обрабатываемые ПД подлежат уничтожению в следующих случаях, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД, в том числе в форме согласия на обработку ПД, действующим законодательством РФ:
• по достижении цели обработки ПД или в случае утраты необходимости в достижении этих целей (если только не предаются на архивное хранение);
• при отзыве субъектом ПД согласия на обработку его ПД, если хранение ПД более не требуется для целей обработки ПД и отсутствуют иные законные основания обработки ПД;
• если ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при выявлении неправомерной обработки ПД, осуществляемой Компанией или лицом, действующим по ее поручению, если обеспечить правомерность обработки ПД невозможно;
• при направлении субъектом ПД запроса о прекращении обработки ПД, если отсутствуют иные законные основания обработки ПД.
При этом, в случаях, предусмотренных архивным законодательством, обработка ПД прекращается не уничтожением ПД, а передачей на архивное хранение по правилам, предусмотренным п. 4.9 Положения.
4.3.6 Сроки хранения ПД определяются на основании целей обработки, а также применимых оснований обработки ПД (например, срока действия согласий на обработку ПД, договоров, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, сроков, установленных законодательством РФ).
4.3.7 Определенные сроки хранения ПД для стандартных процессов обработки ПД в Компании могут включаться в соответствующие локальные нормативные акты, регулирующие такие процессы.
4.4 Использование ПД
4.4.1 В Компании запрещено принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы.
В случае если какое-либо решение формируется в рамках работы ИСПД, то данное решение обязательно должен подтвердить Работник.
4.4.2 В Компании запрещается использование ПД посторонними лицами, за исключением случаев передачи ПД или предоставления доступа к ПД третьим лицам по правилам, установленным Положением.
4.5 Передача ПД третьим лицам
4.5.1 Компания вправе поручить обработку и/или передать (предоставить доступ к) ПД третьему лицу при наличии надлежащего правового основания при условии заключения с этим лицом соответствующего договора.
Такое третье лицо («Контрагент») обязано соблюдать принципы и правила обработки ПД, предусмотренные действующим законодательством.
4.5.2 Компания передает ПД Контрагенту в соответствии с заключенным договором в составе и объеме, необходимом для достижения заявленных целей обработки, а также в соответствии с требованиями действующего законодательства.
4.5.3 При поручении Контрагенту обработки ПД, с таким Контрагентом должен быть подписан договор поручения обработки ПД.
При передаче (предоставлении доступа к) ПД Контрагенту, который является самостоятельным оператором ПД, должен быть подписан договор, регламентирующий передачу (предоставление доступа к) ПД и взаимные обязанности обеих сторон.
Допускается оформление договоров в форме отдельного соглашения, соглашения о конфиденциальности и/или путем включения соответствующих положений в основной договор с Контрагентом. В Компании используются стандартные формы положений для поручения обработки и передачи ПД. В случае использования нестандартных формулировок и (или) изменения положений стандартных форм перед их подписанием с Контрагентом необходимо согласование таких формулировок и (или) изменений с Ответственным за организацию обработки ПД.
4.5.4 В договоре поручения обработки ПД в обязательном порядке должны быть определены:
• перечень действий (операций) с ПД, которые будут совершаться Контрагентом, в соответствии с действиями, заявленными субъекту в договоре, согласии и т.д.;
• цели обработки в соответствии с целями, заявленными субъекту в договоре, в согласии и т.д.;
• перечень категорий субъектов ПД, а также категорий ПД, которые будут обрабатываться Контрагентом;
• обязанность Контрагента соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, соблюдать принципы и правила обработки ПД, предусмотренные законодательством РФ а также, если применимо, соблюдать требования, установленные законодательством РФ в отношении обработки ПД без использования средств автоматизации, включая информирование Работников о факте и особенностях обработки ими ПД без использования средств автоматизации;
• требования к защите ПД, в том числе требование об уведомлении Компании об инциденте ПД, повлекшем неправомерное раскрытие ПД;
• требования, предусмотренные частью 5 статьи 18, статьями 18.1 и 19 Закона о персональных данных, обязанность по запросу Компании в течение срока действия поручения Компании, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Компании требований;
• порядок передачи ПД (или предоставления доступа к ним).
4.5.5 При поручении обработки ПД должны соблюдаться нижеперечисленные критерии, за обеспечение которых отвечает лицо (подразделение Компании), инициирующее привлечение Контрагента:
• Ответственный за организацию обработки ПД уведомляется о привлечении такого Контрагента;
• Контрагент выбирается на основании его пригодности для обеспечения требуемых технических и организационных защитных мер;
• перед началом обработки данных Контрагентом Компания предпринимает разумные и обоснованные действия, чтобы убедиться в соблюдении Контрагентом его обязанностей, для чего может использоваться стандартная форма анкеты / опросника, которая может быть утверждена Ответственным за организацию обработки ПД.
4.5.6 Компания в ходе своей деятельности кроме передачи ПД третьим лицам может также предоставлять доступ третьим лицам к ПД, которые хранятся и обрабатываются в ИСПД (внутренних или внешних компонентах), либо в помещениях Компании. В этом случае необходимо обеспечить выполнение требований п. 4.5.1 – 4.5.5 Положения.
Прекращение доступа третьих лиц к ПД осуществляется в случаях:
• отзыва субъектом ПД согласия на обработку (как у Компании, так и отдельно на передачу данному третьему лицу) или запрос о прекращении обработки ПД, если иное не предусмотрено законодательством РФ;
• достижения целей обработки ПД, если иное не предусмотрено согласием на обработку ПД, законодательством РФ;
• прекращения договорных отношений с третьим лицом, которому был предоставлен доступ (с учётом сроков обработки, предусмотренных в договорах, согласиях на обработку ПД, сроками исковой давности);
• иных случаях прекращения обработки ПД Компанией.
4.5.7 В случае, если субъект осуществил частичный отзыв согласия на обработку ПД, то прекращение доступа осуществляется в отношении тех процессов обработки ПД, которые указаны в заявлении такого субъекта на отзыв согласия или тесно связаны с указанным, если отсутствует иное законное основание обработки.
4.6 Прекращение обработки ПД
4.6.1 Под прекращением обработки ПД понимается остановка процессов обработки ПД в Компании с обязательным осуществлением их блокирования, уничтожения или архивации. Указанные действия с ПД также являются обработкой ПД, и их выполнение свидетельствует о прекращении процессов обработки ПД.
4.6.2 Случаи, когда необходимо прекратить обработку и осуществить блокирование или уничтожение ПД, а также порядок осуществления этих мероприятий, описаны в п. 4.7 – 4.9 Положения.
4.6.3 Допускаются следующие способы осуществления прекращения обработки:
• автоматический – при проверке выполнения критериев достижения сроков и целей обработки ПД в ИСПД;
• ручной – при проверке достижения сроков и целей обработки ПД на бумажных носителях и в ИСПД на периодической основе;
• ручной – по результатам проведения контрольных мероприятий, выявления неправомерной обработки, запросов субъектов ПД и т.д.
4.6.4 Решение о прекращении обработки ПД оформляется в виде внутренних распорядительных документов Компании. Инициаторами представленного процесса могут быть:
• Ответственный за организацию обработки ПД;
• руководители подразделений Компании;
• иные Работники.
В указанных распорядительных документах должно быть определено следующее:
• приемлемый способ прекращения обработки (блокирование, уничтожение);
• лица, ответственные за прекращение обработки ПД соответствующим способом;
• формат подтверждения факта прекращения обработки ПД (акт об уничтожении ПД).
4.6.5 При подтверждении в результате проведенной проверки факта неправомерной обработки ПД, в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, Компания обязана прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Компании.
В случае если обеспечить правомерность обработки ПД невозможно по различным причинам, то Компания в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки ПД, обязана уничтожить такие ПД или проконтролировать их уничтожение лицом, действующим по поручению Компании. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта ПД, а также, при необходимости, его представителя и/или Роскомнадзор.
В случае отсутствия возможности уничтожения ПД в течение указанного срока Компания действует в порядке, предусмотренном п. 4.7 Положения.
4.7 Блокирование ПД
4.7.1 Блокирование ПД подразумевает:
• запрет редактирования и использования ПД в ИСПД;
• информирование Контрагентов, осуществляющих обработку ПД по поручению Компании, о необходимости блокирования ПД;
• запрет передачи ПД (если передача не требуется согласно законодательству) и иных способов обработки ПД;
• изъятие бумажных документов, относящихся к субъекту ПД и содержащих его ПД, из внутреннего документооборота Компании и запрет их использования, если иное не предусмотрено законодательством.
4.7.2 Компания по умолчанию блокирует любые обрабатываемые ПД с последующим уничтожением ПД по достижении срока обработки ПД, установленного в Перечне ПД Компании, а также при отсутствии возможности уничтожения ПД в течение срока, установленного Законом о персональных данных. При этом уничтожение ПД в любом случае производится не позднее шести месяцев со дня их блокирования.
4.7.3 Компания также блокирует обрабатываемые ПД при выявлении недостоверности обрабатываемых ПД (например, если выявлены неполные, устаревшие, неточные ПД) или неправомерных действий в отношении субъекта ПД (например, если ПД являются незаконно полученными или не являются необходимыми для установленной цели обработки) в следующих случаях:
• по требованию субъекта ПД или его представителя;
• по требованию Роскомнадзора;
• по результатам внутренних контрольных мероприятий.
4.7.4 В случае выявления неточных ПД блокирование ПД может быть осуществлено, если оно не нарушает права и законные интересы субъекта ПД или третьих лиц.
4.7.5 Разблокирование ПД может быть осуществлено после уточнения ПД, для исполнения требований законодательства, а также если причины, в результате которых было осуществлено блокирование, были устранены.
4.7.6 Компания по возможности автоматизирует процесс блокирования ПД в ИСПД Компании для обеспечения своевременной реакции на необходимость блокирования ПД.
4.8 Уничтожение ПД
4.8.1 Компания, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД, в том числе в форме согласия на обработку ПД, уничтожает ПД в следующих случаях:
• по достижении цели обработки ПД или в случае утраты необходимости в достижении этих целей, либо если Компания не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных законодательством РФ;
• если субъектом ПД отозвано согласие на обработку его ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД, и запрос субъекта на отзыв согласия не противоречит требованиям законодательства РФ;
• если ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• если субъектом ПД направлено требования о прекращении обработки ПД и отсутствует иное законное основание для обработки ПД;
• если выявлена неправомерная обработка ПД, осуществляемая Компанией или Контрагентом, и обеспечить правомерность обработки ПД невозможно;
• если получено соответствующее предписание Роскомнадзора;
• если печатный документ, содержащий ПД, был составлен неправильно или содержит неточные персональные данные;
• если были подготовлены лишние копии документа с ПД (распечатаны, скопированы или иным образом размножены), и они больше не требуются в целях обработки;
• если для выполнения бизнес-процесса были созданы временные документы с ПД, которые после завершения данного бизнес-процесса не имеют целей обработки;
• если срок хранения ПД истек и отсутствуют основания для дальнейшей обработки;
• если электронный носитель информации с ПД должен быть повторно использован или отдан на восстановление или уничтожен.
4.8.2 Порядок уничтожения ПД, а также форма акта уничтожения ПД установлены в Компании Регламентом уничтожения ПД.
4.9 Архивация ПД
4.9.1 В случаях, установленных законодательством (в частности, Федеральном законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», а также принятым в соответствии с ним Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным Приказом Росархива от 20.12.2019 № 236), прекращение обработки ПД может быть осуществлено путем передачи бумажного или электронного документа или иного материального носителя ПД, а также электронного образа документа на архивное хранение.
4.9.2 Архивация может быть организована следующими способами:
• путем создания в Компании архива в виде специализированного помещения для хранения носителей ПД или защищенного электронного пространства для хранения файлов, содержащих ПД, и/или
• путем передачи носителей ПД на архивное хранение третьим лицам, оказывающим Компании соответствующие услуги с соблюдением требований законодательства об архивном деле.
4.9.3 Порядок и особенности организации и функционирования архивного дела в Компании установлены Положением об архиве Компании.
4.10 Обеспечение точности, достаточности и актуальности ПД
4.10.1 При обработке ПД должны быть обеспечены точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПД.
По умолчанию, при сборе ПД Компания предполагает, что субъект ПД представляет точные, достаточные и актуальные данные.
Точность, достаточность и актуальность ПД в процессе обработки ПД достигается следующими методами:
• выявлением Компанией неточности, недостоверности и последующими мероприятиями Компании для целей уточнения данных либо подтверждения их точности, достоверности и актуальности;
• получением уведомлений от субъектов ПД об изменениях их ПД.
4.10.2 В случае выявления в рамках текущей деятельности Компании неточных, недостаточных или неактуальных ПД осуществляется следующая совокупность действий:
• блокирование ПД, если выявленное может повлиять на деятельность Компании или права субъекта за время уточнения ПД и если данные действия не нарушают прав и законных интересов субъекта ПД или третьих лиц;
• уточнение ПД, в результате которых снимается блокирование ПД.
Работник Компании, который выявил неточные, недостаточные или неактуальные ПД должен уведомить об этом Ответственного за организацию обработки ПД. Ответственный за организацию обработки ПД должен обеспечить выполнение указанных выше операций и привлечь к этому необходимых Работников.
4.10.3 Необходимость обеспечения точности, достаточности и актуальности возникает на момент выполнения Компанией действий, в результате которых могут возникнуть следующие события:
• представление неверных сведений о субъекте в органы государственной власти и местного самоуправления, во внебюджетные фонды и иные организации;
• проведение денежных или имущественных операций с субъектом (или где субъект является выгодоприобретателем), в результате которых субъект получает убытки или недополучает прибыль в результате неверных сведений;
• опубликование или предоставление неверной информации о субъекте, в результате которой могут возникнуть различные негативные последствия для субъекта;
• неточная или неактуальная информация о субъекте может повлечь убытки Компании;
• другие события, так или иначе негативно влияющие на деятельность субъекта ПД и/или Компании.
4.11 Особенности обработки ПД без использования средств автоматизации
4.11.1 В связи с тем, что в Компании происходит обработка ПД на материальных носителях ПД (бумажные документы), то в Компании в том числе осуществляется обработка ПД без использования средств автоматизации.
4.11.2 Обработка ПД, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
4.11.3 ПД при их обработке без использования средств автоматизации, обособляются от иной информации путем фиксации их на отдельных материальных (бумажных) носителях ПД, в специальных разделах или на полях форм (бланков).
4.11.4 При фиксации ПД субъектов на материальных носителях не допускается запись на одном материальном носителе ПД, цели обработки которых заведомо не совместимы. Необходимо обеспечивать раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях. Перечень мест хранения материальных носителей ПД предусмотрен в Перечне.
4.11.5 Обработка ПД, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ.
4.11.6 В случае утверждения в качестве типовой формы в установленном в Компании порядке (в частности, приказом), оформленная на бумажном носителе (журнал, реестр, перечень, анкета, книга учета, отчет и т.п.), а также с использованием ИСПД, если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека, типовая форма документа, характер информации в которой предполагает или допускает ручное включение в него ПД, должна соответствовать требованиям Постановления Правительства Российской Федерации от 15.09.2008 № 687.
4.11.7 Работники Компании, осуществляющие обработку ПД без использования средств автоматизации, должны быть проинформированы о факте такой обработки ими ПД, а также о вышеуказанных особенностях такой обработки, в частности путем ознакомления с настоящим Положением в установленном в Компании порядке. Аналогичная обязанность должна быть установлена для Контрагента, привлекаемого Компанией для обработки ПД по поручению.
5.Ознакомление с локальными нормативными актами и правилами обработки ПД
5.1 Все Работники должны быть ознакомлены с локальными нормативными актами Компании в области обработки и безопасности ПД, включая Положение, в соответствии с установленным в Компании порядком.
5.2 Централизованное обучение по вопросам обработки и защиты ПД осуществляется в Компании посредством тренингов по вопросам обработки и защиты ПД. Обучение правилам обработки ПД в рамках бизнес-процессов Компании также проводит либо организует непосредственный руководитель Работника, Ответственный за организацию обработки ПД или иное лицо, обладающее необходимыми знаниями.
5.1 Все Работники должны быть ознакомлены с локальными нормативными актами Компании в области обработки и безопасности ПД, включая Положение, в соответствии с установленным в Компании порядком.
5.2 Централизованное обучение по вопросам обработки и защиты ПД осуществляется в Компании посредством тренингов по вопросам обработки и защиты ПД. Обучение правилам обработки ПД в рамках бизнес-процессов Компании также проводит либо организует непосредственный руководитель Работника, Ответственный за организацию обработки ПД или иное лицо, обладающее необходимыми знаниями.
6.Управление доступом к ПД
6.1 Работники обязаны получать доступ только к тем ПД, доступ к которым необходим в связи с исполнением ими должностных обязанностей.
6.2 Работник допускается к обработке ПД только после:
• ознакомления под подпись с требованиями Положения и иными локальными организационно-распорядительными документами Компании по обработке и защите ПД, выполнение требований которых обязательно для соответствующего Работника;
• подписания документа-информирования о факте обработки ПД и обязательства о неразглашении информации, содержащей ПД или в составе трудового договора и (или) должностной инструкции.
6.3 Хранение подписанного обязательства о неразглашении информации, содержащей ПД, должно осуществляться Работниками, выполняющими функции кадрового администрирования.
6.4 Прекращение доступа Работников к ПД осуществляется в случаях:
• выявления несоблюдения Работником требований Компании в области обработки и защиты ПД;
• выявления неправомерного или недобросовестного использования Работником ПД, в том числе использования в личных целях;
• прекращения трудовых отношений.
6.5 Управление доступом Контрагентов к ПД определяется договором между Компанией и Контрагентом. Ответственность за управление доступом работников Контрагента несет непосредственно Контрагент.
6.1 Работники обязаны получать доступ только к тем ПД, доступ к которым необходим в связи с исполнением ими должностных обязанностей.
6.2 Работник допускается к обработке ПД только после:
• ознакомления под подпись с требованиями Положения и иными локальными организационно-распорядительными документами Компании по обработке и защите ПД, выполнение требований которых обязательно для соответствующего Работника;
• подписания документа-информирования о факте обработки ПД и обязательства о неразглашении информации, содержащей ПД или в составе трудового договора и (или) должностной инструкции.
6.3 Хранение подписанного обязательства о неразглашении информации, содержащей ПД, должно осуществляться Работниками, выполняющими функции кадрового администрирования.
6.4 Прекращение доступа Работников к ПД осуществляется в случаях:
• выявления несоблюдения Работником требований Компании в области обработки и защиты ПД;
• выявления неправомерного или недобросовестного использования Работником ПД, в том числе использования в личных целях;
• прекращения трудовых отношений.
6.5 Управление доступом Контрагентов к ПД определяется договором между Компанией и Контрагентом. Ответственность за управление доступом работников Контрагента несет непосредственно Контрагент.
7.ИСПД
7.1 Комплексы баз данных, средств вычислительной техники, технических средств обработки ПД объединяются в ИСПД Компании (внутренняя ИСПД). При этом в ИСПД Компании может входить множество компонентов. Классификация уровня защищенности ИСПД Компании осуществляется Ответственным за обеспечение безопасности ПД.
7.2 К компонентам ИСПД Компании относятся следующие информационные системы, базы данных и файловые ресурсы:
• в которых осуществляется обработка ПД, оператором которых или лицом, обрабатывающим которые по поручению, является Компания; и
• в которых осуществляется обработка ПД с использованием программного обеспечения и технических средств, принадлежащих Компании или права использования которых предоставлены Компании; и
• в отношении которых Компания является ответственной за принятие мер по обеспечению безопасности и конфиденциальности обрабатываемых ПД.
Все компоненты ИСПД Компании должны быть учтены в Перечне ПД.
При этом Компания отдельно учитывает внешние компоненты ИСПД. Внешние компоненты в составе ИСПД включают используемые Компанией информационные системы, в отношении которых не Компания, а провайдер соответствующего сервиса (третье лицо) несет ответственность за принятие мер по обеспечению безопасности и конфиденциальности обрабатываемых ПД. Компания в этом случае устанавливает требования к обеспечению безопасности и конфиденциальности обрабатываемых ПД в рамках договора с таким провайдером.
7.3 Запрещается объединение баз ПД, обработка которых осуществляется в целях, несовместимых между собой (например, недопустимо объединение баз ПД Работников и контрагентов Компании, однако допустимо объединение баз ПД контрагентов, чьи ПД обрабатываются на различных основаниях). Мероприятия по определению возможности объединения баз ПД осуществляются на этапе оценки возможности создания (модернизации) ИСПД.
При формировании отдельных файлов (отчетов, реестров и т.д.) Работниками, если они не будут отнесены к ИСПД, Работники должны самостоятельно определять возможность объединения баз ПД.
7.4 При моделировании угроз безопасности ПД при их обработке в ИСПД Компании проводится оценка вреда, который может быть причинен субъектам ПД в случае нарушения законодательства, и определение перечня актуальных угроз безопасности ПД в конкретных условиях функционирования.
7.1 Комплексы баз данных, средств вычислительной техники, технических средств обработки ПД объединяются в ИСПД Компании (внутренняя ИСПД). При этом в ИСПД Компании может входить множество компонентов. Классификация уровня защищенности ИСПД Компании осуществляется Ответственным за обеспечение безопасности ПД.
7.2 К компонентам ИСПД Компании относятся следующие информационные системы, базы данных и файловые ресурсы:
• в которых осуществляется обработка ПД, оператором которых или лицом, обрабатывающим которые по поручению, является Компания; и
• в которых осуществляется обработка ПД с использованием программного обеспечения и технических средств, принадлежащих Компании или права использования которых предоставлены Компании; и
• в отношении которых Компания является ответственной за принятие мер по обеспечению безопасности и конфиденциальности обрабатываемых ПД.
Все компоненты ИСПД Компании должны быть учтены в Перечне ПД.
При этом Компания отдельно учитывает внешние компоненты ИСПД. Внешние компоненты в составе ИСПД включают используемые Компанией информационные системы, в отношении которых не Компания, а провайдер соответствующего сервиса (третье лицо) несет ответственность за принятие мер по обеспечению безопасности и конфиденциальности обрабатываемых ПД. Компания в этом случае устанавливает требования к обеспечению безопасности и конфиденциальности обрабатываемых ПД в рамках договора с таким провайдером.
7.3 Запрещается объединение баз ПД, обработка которых осуществляется в целях, несовместимых между собой (например, недопустимо объединение баз ПД Работников и контрагентов Компании, однако допустимо объединение баз ПД контрагентов, чьи ПД обрабатываются на различных основаниях). Мероприятия по определению возможности объединения баз ПД осуществляются на этапе оценки возможности создания (модернизации) ИСПД.
При формировании отдельных файлов (отчетов, реестров и т.д.) Работниками, если они не будут отнесены к ИСПД, Работники должны самостоятельно определять возможность объединения баз ПД.
7.4 При моделировании угроз безопасности ПД при их обработке в ИСПД Компании проводится оценка вреда, который может быть причинен субъектам ПД в случае нарушения законодательства, и определение перечня актуальных угроз безопасности ПД в конкретных условиях функционирования.
8.Система защиты ПД
8.1 С целью выполнения требований законодательства РФ в сфере защиты ПД в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПД («СЗПД»), которая состоит из следующих компонентов:
• участники обработки и ответственные лица;
• организационно-распорядительные документы;
• средства обработки ПД;
• меры и средства обеспечения безопасности ПД.
8.2 СЗПД Компании основана на следующих принципах:
• вовлеченности и контроля со стороны руководства Компании;
• соответствия мер и средств защиты актуальным угрозам безопасности ПД;
• соответствия мер и средств защиты требованиям законодательства РФ в области обработки и обеспечения безопасности ПД;
• комплексности организационных и технических мер для обеспечения безопасности ПД;
• учета при построении и модернизации СЗПД в Компании вопросов удобства персонала и минимизации возможных затруднений в работе со средствами защиты и при выполнении основных процедур обеспечения безопасности ПД;
• непрерывности повышения уровня знаний Работников в сфере обеспечения безопасности ПД;
• стремления к постоянному совершенствованию СЗПД.
8.3 Третьи лица, оказывающие услуги Компании в области защиты ПД, в случаях, установленных законодательством РФ, должны иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Третьи лица, оказывающие услуги Компании в области средств криптографической защиты, должны иметь соответствующие лицензии ФСБ России.
8.4 Мероприятия по защите ПД от несанкционированного физического доступа могут включать:
• контроль доступа на территорию Компании;
• контроль доступа в помещения с оборудованием ИСПД;
• контроль доступа к техническим средствам ИСПД;
• контроль перемещений физических компонентов ИСПД.
8.5 В целях восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, в ИСПД, в которых необходимо обеспечить целостность и (или) доступность ПД, должно проводиться резервное копирование ПД. Периодичность резервного копирования ПД должна быть не реже одного раза в неделю. Срок хранения резервных копий должен составлять не менее одного месяца.
8.6 Хранение машинных носителей с резервными копиями осуществляется вне пределов серверной комнаты в запираемых металлических шкафах. Доступ к машинным носителям и серверам с резервными копиями предоставлен только уполномоченным Работникам Компании.
8.7 Восстановление ПД из резервных копий происходит в случаях их удаления, утраты целостности или доступности после отказа оборудования, сбоев программного обеспечения, ошибок персонала и чрезвычайных обстоятельств (стихийные бедствия, пожар и т.п.).
8.8 В Компании также применяются системы антивирусной защиты для внутренних компонентов ИСПД. Задачами антивирусной защиты являются:
• предотвращение заражения информационных систем вредоносным программным обеспечением (вирусами);
• предотвращение потери ПД и нарушения целостности программного обеспечения информационных систем Компании и минимизация ущерба, связанного с простоем вычислительных средств и сетевого оборудования во время вирусных эпидемий;
• определение состава и регламента запуска антивирусных диагностических средств, регламента их ревизии и обновления;
• проведение профилактических проверок с применением антивирусных диагностических средств;
• непрерывное обеспечение защиты информации от действия вирусов на всех этапах эксплуатации информационных систем Компании.
8.9 Объектами антивирусной защиты являются:
• информационные системы Компании, в том числе внутренние компоненты ИСПД;
• автоматизированные рабочие места пользователей информационных систем Компании;
• внешние электронные носители информации (флеш-накопители, съемные жесткие диски, компакт-диски и др.).
8.10 Все компьютеры Компании должны оснащаться системами антивирусной защиты. Обновления антивирусного программного обеспечения должны быть автоматизированными и проводиться не реже одного раза в день (не более 24 часов между обновлениями).
8.11 Антивирусный контроль включает:
• контроль факта запуска антивирусного программного обеспечения;
• проверку файлов на серверах и рабочих станция пользователей на наличие вредоносного программного обеспечения;
• проверку съемных носителей информации при подключении на наличие вредоносного программного обеспечения;
• проверку на наличие уязвимостей в информационной системе.
8.12 Антивирусный контроль всей информации на серверах и автоматизированных рабочих местах должен проводиться по мере необходимости, но не реже одного раза в неделю. В обязательном порядке проводится антивирусный контроль информации, записанной на внешних машинных носителях, в том числе, поступивших из сторонних организаций. При этом возможно проведение выборочного антивирусного контроля больших партий внешних носителей информации, в том случае, если на них записана одинаковая информация.
8.13 В целях предотвращения заражения вирусами Работники обязаны:
• не открывать для прочтения электронные сообщения и вложенные файлы от неизвестных подозрительных отправителей и сообщать подразделению, выполняющему функции информационной безопасности, о факте получения таких сообщений;
• при возникновении подозрения на наличие вредоносного программного обеспечения (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.) провести внеочередной антивирусный контроль автоматизированного рабочего места или сообщить подразделению, выполняющему функции информационной безопасности, о факте получения таких сообщений;
• при обнаружении на вверенном компьютере признаков работы постороннего лица и искажения информации оставить компьютер без изменений и сообщить подразделению, выполняющему функции информационной безопасности;
• сообщать подразделению, выполняющему функции информационной безопасности, о факте получения сообщений о случаях неуспешного лечения, неработоспособности антивирусных средств на своем рабочем компьютере.
8.14 При обнаружении вирусов в процессе обработки информации Работник обязан:
• приостановить работу;
• в средстве антивирусной защиты информации запустить процедуру лечения зараженного файла, при невозможности лечения выбрать вариант удаления файла;
• сообщить подразделению, выполняющему функции информационной безопасности, о факте обнаружения вируса;
• после уничтожения вирусов и восстановления зараженных программ и файлов с данными еще раз выполнить проверку наличия вирусов, используя антивирусные программы.
8.15 Вход в ИСПД должен осуществляться только с использованием пароля. Пароли доступа в ИСПД должны генерироваться и распределяться централизованно, либо создаваться пользователями информационных систем самостоятельно с учетом следующих требований:
• возможно использование русских и/или латинских символов с цифрами и специальными символами (восклицательный знак, вопросительный знак, точки, тире, нижнее подчеркивание, круглые скобки, и пр.);
• возможно использование одновременно верхнего регистра (заглавные буквы) и нижнего регистра (строчные буквы);
• длина пароля должна быть не менее 8 символов;
• в состав пароля должна входить минимум одна цифра, одна заглавная буква и один специальный символ;
• пароль не должен включать в себя легко вычисляемые сочетания символов (последовательность «qwerty», имя самого пользователя, последовательность цифр «12345» и пр.).
8.16 После пяти последовательных попыток ввода неправильного пароля должна осуществляться временная блокировка возможности авторизации под указанным логином с сохранением факта выполнения неудачной авторизации в системном журнале.
8.17 Пароли по умолчанию, устанавливаемые производителями оборудования и программного обеспечения, должны быть заменены в обязательном порядке после первого входа в ИСПД.
8.18 В случае прекращения доступа пользователя к ИСПД, например, при увольнении, должна производиться немедленная блокировка учетной записи данного пользователя.
8.19 При использовании пароля необходимо соблюдать следующие требования:
• пароль пользователя должен изменяться не реже, чем каждые 180 дней;
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
• повторное использование одного и того же пароля пользователем допускается по истечении 1095 дней.
8.20 В целях предотвращения компрометации паролей Работникам запрещается:
• использовать функцию сохранения пароля приложениями;
• записывать данные аутентификации и пароли на бумажных и иных носителях, доступных для других лиц;
• сообщать данные для аутентификации и личный пароль кому бы то ни было, включая подразделение, выполняющее функции информационной безопасности, и другие подразделения Компании.
В случае возникновения ситуации, когда пароль пользователя мог стать известен третьим лицам, Работник должен незамедлительно сменить пароль.
8.1 С целью выполнения требований законодательства РФ в сфере защиты ПД в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПД («СЗПД»), которая состоит из следующих компонентов:
• участники обработки и ответственные лица;
• организационно-распорядительные документы;
• средства обработки ПД;
• меры и средства обеспечения безопасности ПД.
8.2 СЗПД Компании основана на следующих принципах:
• вовлеченности и контроля со стороны руководства Компании;
• соответствия мер и средств защиты актуальным угрозам безопасности ПД;
• соответствия мер и средств защиты требованиям законодательства РФ в области обработки и обеспечения безопасности ПД;
• комплексности организационных и технических мер для обеспечения безопасности ПД;
• учета при построении и модернизации СЗПД в Компании вопросов удобства персонала и минимизации возможных затруднений в работе со средствами защиты и при выполнении основных процедур обеспечения безопасности ПД;
• непрерывности повышения уровня знаний Работников в сфере обеспечения безопасности ПД;
• стремления к постоянному совершенствованию СЗПД.
8.3 Третьи лица, оказывающие услуги Компании в области защиты ПД, в случаях, установленных законодательством РФ, должны иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Третьи лица, оказывающие услуги Компании в области средств криптографической защиты, должны иметь соответствующие лицензии ФСБ России.
8.4 Мероприятия по защите ПД от несанкционированного физического доступа могут включать:
• контроль доступа на территорию Компании;
• контроль доступа в помещения с оборудованием ИСПД;
• контроль доступа к техническим средствам ИСПД;
• контроль перемещений физических компонентов ИСПД.
8.5 В целях восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, в ИСПД, в которых необходимо обеспечить целостность и (или) доступность ПД, должно проводиться резервное копирование ПД. Периодичность резервного копирования ПД должна быть не реже одного раза в неделю. Срок хранения резервных копий должен составлять не менее одного месяца.
8.6 Хранение машинных носителей с резервными копиями осуществляется вне пределов серверной комнаты в запираемых металлических шкафах. Доступ к машинным носителям и серверам с резервными копиями предоставлен только уполномоченным Работникам Компании.
8.7 Восстановление ПД из резервных копий происходит в случаях их удаления, утраты целостности или доступности после отказа оборудования, сбоев программного обеспечения, ошибок персонала и чрезвычайных обстоятельств (стихийные бедствия, пожар и т.п.).
8.8 В Компании также применяются системы антивирусной защиты для внутренних компонентов ИСПД. Задачами антивирусной защиты являются:
• предотвращение заражения информационных систем вредоносным программным обеспечением (вирусами);
• предотвращение потери ПД и нарушения целостности программного обеспечения информационных систем Компании и минимизация ущерба, связанного с простоем вычислительных средств и сетевого оборудования во время вирусных эпидемий;
• определение состава и регламента запуска антивирусных диагностических средств, регламента их ревизии и обновления;
• проведение профилактических проверок с применением антивирусных диагностических средств;
• непрерывное обеспечение защиты информации от действия вирусов на всех этапах эксплуатации информационных систем Компании.
8.9 Объектами антивирусной защиты являются:
• информационные системы Компании, в том числе внутренние компоненты ИСПД;
• автоматизированные рабочие места пользователей информационных систем Компании;
• внешние электронные носители информации (флеш-накопители, съемные жесткие диски, компакт-диски и др.).
8.10 Все компьютеры Компании должны оснащаться системами антивирусной защиты. Обновления антивирусного программного обеспечения должны быть автоматизированными и проводиться не реже одного раза в день (не более 24 часов между обновлениями).
8.11 Антивирусный контроль включает:
• контроль факта запуска антивирусного программного обеспечения;
• проверку файлов на серверах и рабочих станция пользователей на наличие вредоносного программного обеспечения;
• проверку съемных носителей информации при подключении на наличие вредоносного программного обеспечения;
• проверку на наличие уязвимостей в информационной системе.
8.12 Антивирусный контроль всей информации на серверах и автоматизированных рабочих местах должен проводиться по мере необходимости, но не реже одного раза в неделю. В обязательном порядке проводится антивирусный контроль информации, записанной на внешних машинных носителях, в том числе, поступивших из сторонних организаций. При этом возможно проведение выборочного антивирусного контроля больших партий внешних носителей информации, в том случае, если на них записана одинаковая информация.
8.13 В целях предотвращения заражения вирусами Работники обязаны:
• не открывать для прочтения электронные сообщения и вложенные файлы от неизвестных подозрительных отправителей и сообщать подразделению, выполняющему функции информационной безопасности, о факте получения таких сообщений;
• при возникновении подозрения на наличие вредоносного программного обеспечения (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.) провести внеочередной антивирусный контроль автоматизированного рабочего места или сообщить подразделению, выполняющему функции информационной безопасности, о факте получения таких сообщений;
• при обнаружении на вверенном компьютере признаков работы постороннего лица и искажения информации оставить компьютер без изменений и сообщить подразделению, выполняющему функции информационной безопасности;
• сообщать подразделению, выполняющему функции информационной безопасности, о факте получения сообщений о случаях неуспешного лечения, неработоспособности антивирусных средств на своем рабочем компьютере.
8.14 При обнаружении вирусов в процессе обработки информации Работник обязан:
• приостановить работу;
• в средстве антивирусной защиты информации запустить процедуру лечения зараженного файла, при невозможности лечения выбрать вариант удаления файла;
• сообщить подразделению, выполняющему функции информационной безопасности, о факте обнаружения вируса;
• после уничтожения вирусов и восстановления зараженных программ и файлов с данными еще раз выполнить проверку наличия вирусов, используя антивирусные программы.
8.15 Вход в ИСПД должен осуществляться только с использованием пароля. Пароли доступа в ИСПД должны генерироваться и распределяться централизованно, либо создаваться пользователями информационных систем самостоятельно с учетом следующих требований:
• возможно использование русских и/или латинских символов с цифрами и специальными символами (восклицательный знак, вопросительный знак, точки, тире, нижнее подчеркивание, круглые скобки, и пр.);
• возможно использование одновременно верхнего регистра (заглавные буквы) и нижнего регистра (строчные буквы);
• длина пароля должна быть не менее 8 символов;
• в состав пароля должна входить минимум одна цифра, одна заглавная буква и один специальный символ;
• пароль не должен включать в себя легко вычисляемые сочетания символов (последовательность «qwerty», имя самого пользователя, последовательность цифр «12345» и пр.).
8.16 После пяти последовательных попыток ввода неправильного пароля должна осуществляться временная блокировка возможности авторизации под указанным логином с сохранением факта выполнения неудачной авторизации в системном журнале.
8.17 Пароли по умолчанию, устанавливаемые производителями оборудования и программного обеспечения, должны быть заменены в обязательном порядке после первого входа в ИСПД.
8.18 В случае прекращения доступа пользователя к ИСПД, например, при увольнении, должна производиться немедленная блокировка учетной записи данного пользователя.
8.19 При использовании пароля необходимо соблюдать следующие требования:
• пароль пользователя должен изменяться не реже, чем каждые 180 дней;
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
• повторное использование одного и того же пароля пользователем допускается по истечении 1095 дней.
8.20 В целях предотвращения компрометации паролей Работникам запрещается:
• использовать функцию сохранения пароля приложениями;
• записывать данные аутентификации и пароли на бумажных и иных носителях, доступных для других лиц;
• сообщать данные для аутентификации и личный пароль кому бы то ни было, включая подразделение, выполняющее функции информационной безопасности, и другие подразделения Компании.
В случае возникновения ситуации, когда пароль пользователя мог стать известен третьим лицам, Работник должен незамедлительно сменить пароль.
9.Взаимодействие с субъектами ПД и органами власти
9.1 Взаимодействие с субъектами ПД
9.1.1 Субъекты ПД или их представители могут направлять Компании следующие обращения и запросы, в том числе:
• заявление на получение информации об обработке ПД, в том числе:
o подтверждение факта обработки ПД Компанией;
o правовые основания и цели обработки ПД;
o цели и применяемые Компанией способы обработки ПД;
o наименование и место нахождения Компании, сведения о лицах (за исключением Работников), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Компанией или на основании федерального закона;
o обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
o сроки обработки ПД, в том числе сроки их хранения;
o порядок осуществления субъектом ПД прав;
o информация об осуществленной или о предполагаемой трансграничной передаче данных;
o наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
o о способах исполнения Компанией обязанностей, установленных в статье 181 Закона о персональных данных;
o иные сведения, предусмотренные к представлению Законом о персональных данных, другими федеральными законами, внутренними документами Компании (если применимо).
• заявление на уточнение неполных, неточных или неактуальных ПД;
• заявление на прекращение обработки ПД;
• заявление на отзыв согласия на обработку ПД;
• отказ от получения рекламы;
• заявление на изменение условий и запретов на распространение ПД;
• претензия в связи с незаконно полученными или избыточными по отношению к заявленной цели обработки ПД или неправомерной обработкой ПД.
9.1.2 Обращения и запросы от субъектов ПД могут поступать в Компанию:
• при личном посещении офиса Компании субъектом ПД или его представителем,
• путем обращения субъекта ПД (его (законного) представителя) в Компанию посредством почтовой связи, электронной связи с использованием усиленной квалифицированной электронной подписи
• путем направления по электронной почте скан-копий подписанных субъектом заявлений/обращений без использования электронной подписи или
• путем направления обращения через форму обратной связи на сайте Компании.
9.1.3 Все поступившие запросы и обращения субъектов ПД передаются Работником, который его получил, Ответственному за организацию обработки ПД. Ответственный за организацию обработки ПД регистрирует запросы и обращения в журнале регистрации запросов и обращений, форму журнала устанавливает Ответственный за организацию обработки ПД. Журнал регистрации запросов и обращений может вестись в электронном виде в информационных системах Компании.
9.1.4 Ответственный за организацию обработки ПД должен осуществить первичную проверку соответствия запроса требованиям законодательства. В случае необходимости, Ответственный за организацию обработки ПД может запросить дополнительную информацию у субъекта ПД (или его представителя), в частности, когда исполнение запроса или обращения не представляется возможным или влечет существенные риски нарушения прав и законных интересов третьих лиц без получения дополнительной информации о личности субъекта ПД.
В случае, если обращение или запрос не соответствуют требованиям, Ответственный за организацию обработки ПД должен подготовить и направить ответ субъекту ПД, содержащий информацию о приемлемых методах направления запроса или обращения в Компанию.
9.1.5 В случае соответствия обращения или запроса требованиям законодательства, Ответственный за организацию обработки ПД должен определить, к какому из процессов обработки ПД относится обращение или запрос, и скоординировать работу над формированием ответа совместно с Работником (подразделением Компании), ответственным за такой процесс.
9.1.6 Сведения предоставляются субъекту ПД или его представителю в доступной форме и достаточном содержании.
Ответы на обращения и запросы не должны содержать ПД иных субъектов, если иное не установлено законодательством, а также иной избыточной информации.
Ответ субъекту ПД направляется тем же способом и средством связи, которым было получено соответствующее обращение или запрос, если иное не указано в соответствующем обращении или запросе.
9.1.7 Ответ на обращение или запрос субъекта ПД должен быть подготовлен и направлен Компанией в сроки, предусмотренные законодательством, которые приведены в Приложении № 2 к настоящему положению. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПД мотивированного уведомления с указанием причин.
9.1.8 Ответственность за организацию процесса обработки обращений и запросов субъектов ПД, а также за соблюдение установленных сроков возложена на Ответственного за организацию обработки ПД.
В случае если обработка ПД, в отношении которых поступил запрос или обращение, осуществляется Контрагентом по поручению Компании, Ответственный за организацию обработки ПД обязан обеспечить выполнение действий таким Контрагентом.
9.2 Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами
9.2.1 Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами осуществляется в соответствии с законодательством РФ.
9.2.2 В целях исполнения требований законодательства РФ Компания уведомляет Роскомнадзор о своем намерении осуществлять обработку ПД, о намерении осуществлять трансграничную передачу, об инцидентах с данными путем направления соответствующего уведомления, по формам, предусмотренным действующим законодательством РФ и правилами Роскомнадзора.
• До начала трансграничной передачи Ответственный за организацию обработки ПД проводит сбор информации и оценку адекватности защиты прав субъектов ПД на территории иностранного государства, куда планируется передача ПД, в порядке, установленном ст. 12 Закона о персональных данных, а также дополнительно уведомляет Роскомнадзор об осуществлении трансграничной передачи. Формы запроса сведений от иностранных лиц для осуществления оценки соблюдения иностранными лицами конфиденциальности и безопасности ПД утверждаются Ответственным за организацию обработки ПД.
• После направления уведомления Компания вправе осуществлять трансграничную передачу ПД на территорию стран, обеспечивающих адекватную защиту прав субъектов ПД. Передача ПД на территорию стран, не обеспечивающих адекватную защиту прав субъектов ПД, возможна только после истечения 10 рабочих дней со дня направления уведомления в Роскомнадзор и отсутствия запретов (ограничений) на осуществление трансграничной передачи ПД.
9.2.3 В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи Компания обязана обеспечить уничтожение ранее переданных ПД.
9.2.4 В случае изменения сведений, указанных в уведомлении об обработке ПД или уведомлении об осуществлении трансграничной передачи, или прекращения всех процессов обработки ПД в Компании (например, в связи с ее ликвидацией или реорганизацией) Компания обязана уведомить об этом Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения или была прекращена обработка ПД. За организацию формирования и предоставления соответствующего информационного письма отвечает Ответственный за организацию обработки ПД.
9.2.5 Надзор за деятельностью Компании по обработке ПД осуществляется Роскомнадзором в соответствии с нормативно-правовыми актами, в том числе Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных (утверждены Постановлением Правительства Российской Федерации от 29.06.2021 № 1046) и Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
ФСБ России и ФСТЭК России могут быть наделены решением Правительства РФ полномочиями по контролю выполнения Компанией организационных и технических мер по обеспечению безопасности ПД без права ознакомления с ПД, обрабатываемыми в ИСПД.
9.2.6Ответственность за организацию взаимодействия с регулирующими органами по вопросам обработки и обеспечения защиты ПД, в том числе при получении запросов Роскомнадзора, проведении плановых и внеплановых проверок, а также за координацию Работников при проведении проверок возлагается на Ответственного за организацию обработки ПД.
9.2.7 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, с момента выявления такого инцидента в течение 24 (двадцати четырех) часов Компания уведомляет Роскомнадзор:
• о произошедшем инциденте;
• о предполагаемых причинах, повлекших нарушение прав субъектов ПД;
• о предполагаемом вреде, нанесенном правам субъектов ПД;
• о принятых мерах по устранению последствий соответствующего инцидента;
• о контактном лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
В течение 72 (семидесяти двух) часов Компания уведомляет Роскомнадзор:
• о результатах внутреннего расследования выявленного инцидента;
• предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.2.8 В случае проведения проверки и иных контрольно-надзорных мероприятий во взаимодействии с контролируемым лицом Роскомнадзором для взаимодействия с его представителями привлекается Ответственный за организацию обработки ПД, а также иные Работники (при необходимости).
9.2.9 Перед началом проверки должностное лицо регулятора предъявляет Ответственному за организацию обработки ПД копию приказа о проведении проверки, заверенную гербовой печатью регулятора, и служебное удостоверение. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица регулятора, Ответственный за организацию обработки ПД проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.
9.2.10 Проверка может проводиться только должностными лицами Роскомнадзора, которые указаны в приказе о ее проведении.
9.2.11 Результаты проверки оформляются актом, который составляется должностными лицами регулятора непосредственно после завершения проверки. В акте указывается:
• дата, время и место составления акта проверки;
• наименование органа федерального государственного контроля (надзора);
• дата и номер приказа о проведении проверки;
• должности, фамилии, имена и отчества должностных лиц, проводивших проверку;
• наименование Компании, а также должности, фамилии, имена, отчества лиц, присутствовавших при проведении проверки;
• дата, время, продолжительность и место проведения проверки;
• сведения о результатах проверки, в том числе о выявленных нарушениях законодательства об обработке ПД, об их характере и о лицах, допустивших указанные нарушения;
• сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя или иного уполномоченного представителя Компании, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи;
• сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Компании указанного журнала.
Акт закрепляется подписями должностных лиц Роскомнадзора, проводивших проверку, и должен содержать одно из следующих заключений:
• об отсутствии в деятельности Компании нарушений требований законодательства Российской Федерации в области ПД;
• о наличии выявленных в деятельности Компании нарушениях требований законодательства Российской Федерации в области ПД с указанием конкретных нарушенных статей и (или) пунктов нормативных правовых актов.
9.2.12 В случае выявления по результатам проверки нарушения требований законодательства, вместе с актом выдается предписание об устранении выявленных нарушений, в котором указываются:
• наименование органа федерального государственного контроля (надзора);
• дата выдачи предписания об устранении выявленных нарушений;
• номер предписания об устранении выявленных нарушений;
• наименование Компании;
• регистрационный номер Компании в реестре операторов ПД;
• наименование вида деятельности;
• дата и номер акта проверки;
• содержание нарушения;
• основание выдачи предписания;
• срок устранения нарушения;
• срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения;
• подписи должностных лиц, проводивших проверку.
9.2.13 Роскомнадзор может направлять Компании мотивированные запросы о предоставлении информации, касающейся обработки и обеспечения безопасности ПД.
9.3 Ответы на такие запросы должны быть подготовлены и направлены Роскомнадзору в течение 10 (десяти) дней с даты их получения, если иное не установлено соответствующим запросом. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес Роскомнадзора мотивированного уведомления с указанием причин.
Ответственность за подготовку ответов, координацию получения необходимой информации для подготовки, а также соблюдение сроков возлагается на Ответственного за организацию обработки ПД.
Регистрация поступивших запросов, а также ответов на них осуществляется в соответствии с правилами документооборота Компании. Запросы, а также ответы на них хранятся в Компании бессрочно.
9.1 Взаимодействие с субъектами ПД
9.1.1 Субъекты ПД или их представители могут направлять Компании следующие обращения и запросы, в том числе:
• заявление на получение информации об обработке ПД, в том числе:
o подтверждение факта обработки ПД Компанией;
o правовые основания и цели обработки ПД;
o цели и применяемые Компанией способы обработки ПД;
o наименование и место нахождения Компании, сведения о лицах (за исключением Работников), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Компанией или на основании федерального закона;
o обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
o сроки обработки ПД, в том числе сроки их хранения;
o порядок осуществления субъектом ПД прав;
o информация об осуществленной или о предполагаемой трансграничной передаче данных;
o наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
o о способах исполнения Компанией обязанностей, установленных в статье 181 Закона о персональных данных;
o иные сведения, предусмотренные к представлению Законом о персональных данных, другими федеральными законами, внутренними документами Компании (если применимо).
• заявление на уточнение неполных, неточных или неактуальных ПД;
• заявление на прекращение обработки ПД;
• заявление на отзыв согласия на обработку ПД;
• отказ от получения рекламы;
• заявление на изменение условий и запретов на распространение ПД;
• претензия в связи с незаконно полученными или избыточными по отношению к заявленной цели обработки ПД или неправомерной обработкой ПД.
9.1.2 Обращения и запросы от субъектов ПД могут поступать в Компанию:
• при личном посещении офиса Компании субъектом ПД или его представителем,
• путем обращения субъекта ПД (его (законного) представителя) в Компанию посредством почтовой связи, электронной связи с использованием усиленной квалифицированной электронной подписи
• путем направления по электронной почте скан-копий подписанных субъектом заявлений/обращений без использования электронной подписи или
• путем направления обращения через форму обратной связи на сайте Компании.
9.1.3 Все поступившие запросы и обращения субъектов ПД передаются Работником, который его получил, Ответственному за организацию обработки ПД. Ответственный за организацию обработки ПД регистрирует запросы и обращения в журнале регистрации запросов и обращений, форму журнала устанавливает Ответственный за организацию обработки ПД. Журнал регистрации запросов и обращений может вестись в электронном виде в информационных системах Компании.
9.1.4 Ответственный за организацию обработки ПД должен осуществить первичную проверку соответствия запроса требованиям законодательства. В случае необходимости, Ответственный за организацию обработки ПД может запросить дополнительную информацию у субъекта ПД (или его представителя), в частности, когда исполнение запроса или обращения не представляется возможным или влечет существенные риски нарушения прав и законных интересов третьих лиц без получения дополнительной информации о личности субъекта ПД.
В случае, если обращение или запрос не соответствуют требованиям, Ответственный за организацию обработки ПД должен подготовить и направить ответ субъекту ПД, содержащий информацию о приемлемых методах направления запроса или обращения в Компанию.
9.1.5 В случае соответствия обращения или запроса требованиям законодательства, Ответственный за организацию обработки ПД должен определить, к какому из процессов обработки ПД относится обращение или запрос, и скоординировать работу над формированием ответа совместно с Работником (подразделением Компании), ответственным за такой процесс.
9.1.6 Сведения предоставляются субъекту ПД или его представителю в доступной форме и достаточном содержании.
Ответы на обращения и запросы не должны содержать ПД иных субъектов, если иное не установлено законодательством, а также иной избыточной информации.
Ответ субъекту ПД направляется тем же способом и средством связи, которым было получено соответствующее обращение или запрос, если иное не указано в соответствующем обращении или запросе.
9.1.7 Ответ на обращение или запрос субъекта ПД должен быть подготовлен и направлен Компанией в сроки, предусмотренные законодательством, которые приведены в Приложении № 2 к настоящему положению. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПД мотивированного уведомления с указанием причин.
9.1.8 Ответственность за организацию процесса обработки обращений и запросов субъектов ПД, а также за соблюдение установленных сроков возложена на Ответственного за организацию обработки ПД.
В случае если обработка ПД, в отношении которых поступил запрос или обращение, осуществляется Контрагентом по поручению Компании, Ответственный за организацию обработки ПД обязан обеспечить выполнение действий таким Контрагентом.
9.2 Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами
9.2.1 Взаимодействие с Роскомнадзором, органами государственной власти и иными третьими лицами осуществляется в соответствии с законодательством РФ.
9.2.2 В целях исполнения требований законодательства РФ Компания уведомляет Роскомнадзор о своем намерении осуществлять обработку ПД, о намерении осуществлять трансграничную передачу, об инцидентах с данными путем направления соответствующего уведомления, по формам, предусмотренным действующим законодательством РФ и правилами Роскомнадзора.
• До начала трансграничной передачи Ответственный за организацию обработки ПД проводит сбор информации и оценку адекватности защиты прав субъектов ПД на территории иностранного государства, куда планируется передача ПД, в порядке, установленном ст. 12 Закона о персональных данных, а также дополнительно уведомляет Роскомнадзор об осуществлении трансграничной передачи. Формы запроса сведений от иностранных лиц для осуществления оценки соблюдения иностранными лицами конфиденциальности и безопасности ПД утверждаются Ответственным за организацию обработки ПД.
• После направления уведомления Компания вправе осуществлять трансграничную передачу ПД на территорию стран, обеспечивающих адекватную защиту прав субъектов ПД. Передача ПД на территорию стран, не обеспечивающих адекватную защиту прав субъектов ПД, возможна только после истечения 10 рабочих дней со дня направления уведомления в Роскомнадзор и отсутствия запретов (ограничений) на осуществление трансграничной передачи ПД.
9.2.3 В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи Компания обязана обеспечить уничтожение ранее переданных ПД.
9.2.4 В случае изменения сведений, указанных в уведомлении об обработке ПД или уведомлении об осуществлении трансграничной передачи, или прекращения всех процессов обработки ПД в Компании (например, в связи с ее ликвидацией или реорганизацией) Компания обязана уведомить об этом Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения или была прекращена обработка ПД. За организацию формирования и предоставления соответствующего информационного письма отвечает Ответственный за организацию обработки ПД.
9.2.5 Надзор за деятельностью Компании по обработке ПД осуществляется Роскомнадзором в соответствии с нормативно-правовыми актами, в том числе Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных (утверждены Постановлением Правительства Российской Федерации от 29.06.2021 № 1046) и Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
ФСБ России и ФСТЭК России могут быть наделены решением Правительства РФ полномочиями по контролю выполнения Компанией организационных и технических мер по обеспечению безопасности ПД без права ознакомления с ПД, обрабатываемыми в ИСПД.
9.2.6Ответственность за организацию взаимодействия с регулирующими органами по вопросам обработки и обеспечения защиты ПД, в том числе при получении запросов Роскомнадзора, проведении плановых и внеплановых проверок, а также за координацию Работников при проведении проверок возлагается на Ответственного за организацию обработки ПД.
9.2.7 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, с момента выявления такого инцидента в течение 24 (двадцати четырех) часов Компания уведомляет Роскомнадзор:
• о произошедшем инциденте;
• о предполагаемых причинах, повлекших нарушение прав субъектов ПД;
• о предполагаемом вреде, нанесенном правам субъектов ПД;
• о принятых мерах по устранению последствий соответствующего инцидента;
• о контактном лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
В течение 72 (семидесяти двух) часов Компания уведомляет Роскомнадзор:
• о результатах внутреннего расследования выявленного инцидента;
• предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.2.8 В случае проведения проверки и иных контрольно-надзорных мероприятий во взаимодействии с контролируемым лицом Роскомнадзором для взаимодействия с его представителями привлекается Ответственный за организацию обработки ПД, а также иные Работники (при необходимости).
9.2.9 Перед началом проверки должностное лицо регулятора предъявляет Ответственному за организацию обработки ПД копию приказа о проведении проверки, заверенную гербовой печатью регулятора, и служебное удостоверение. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица регулятора, Ответственный за организацию обработки ПД проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.
9.2.10 Проверка может проводиться только должностными лицами Роскомнадзора, которые указаны в приказе о ее проведении.
9.2.11 Результаты проверки оформляются актом, который составляется должностными лицами регулятора непосредственно после завершения проверки. В акте указывается:
• дата, время и место составления акта проверки;
• наименование органа федерального государственного контроля (надзора);
• дата и номер приказа о проведении проверки;
• должности, фамилии, имена и отчества должностных лиц, проводивших проверку;
• наименование Компании, а также должности, фамилии, имена, отчества лиц, присутствовавших при проведении проверки;
• дата, время, продолжительность и место проведения проверки;
• сведения о результатах проверки, в том числе о выявленных нарушениях законодательства об обработке ПД, об их характере и о лицах, допустивших указанные нарушения;
• сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя или иного уполномоченного представителя Компании, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи;
• сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Компании указанного журнала.
Акт закрепляется подписями должностных лиц Роскомнадзора, проводивших проверку, и должен содержать одно из следующих заключений:
• об отсутствии в деятельности Компании нарушений требований законодательства Российской Федерации в области ПД;
• о наличии выявленных в деятельности Компании нарушениях требований законодательства Российской Федерации в области ПД с указанием конкретных нарушенных статей и (или) пунктов нормативных правовых актов.
9.2.12 В случае выявления по результатам проверки нарушения требований законодательства, вместе с актом выдается предписание об устранении выявленных нарушений, в котором указываются:
• наименование органа федерального государственного контроля (надзора);
• дата выдачи предписания об устранении выявленных нарушений;
• номер предписания об устранении выявленных нарушений;
• наименование Компании;
• регистрационный номер Компании в реестре операторов ПД;
• наименование вида деятельности;
• дата и номер акта проверки;
• содержание нарушения;
• основание выдачи предписания;
• срок устранения нарушения;
• срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения;
• подписи должностных лиц, проводивших проверку.
9.2.13 Роскомнадзор может направлять Компании мотивированные запросы о предоставлении информации, касающейся обработки и обеспечения безопасности ПД.
9.3 Ответы на такие запросы должны быть подготовлены и направлены Роскомнадзору в течение 10 (десяти) дней с даты их получения, если иное не установлено соответствующим запросом. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес Роскомнадзора мотивированного уведомления с указанием причин.
Ответственность за подготовку ответов, координацию получения необходимой информации для подготовки, а также соблюдение сроков возлагается на Ответственного за организацию обработки ПД.
Регистрация поступивших запросов, а также ответов на них осуществляется в соответствии с правилами документооборота Компании. Запросы, а также ответы на них хранятся в Компании бессрочно.
10.Права субъектов ПД
10.1 Субъект ПД имеет право осуществлять действия, предусмотренные п. 9.1 Положения в части уточнения, блокирования, уничтожения ПД, а также ознакомления с информацией об обработке ПД.
10.2 Субъект ПД имеет право на извещение Компанией всех лиц, которым ранее были сообщены неверные или неполные ПД, обо всех изменениях его ПД.
10.3 Субъект ПД имеет право обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействия Компании при обработке его ПД.
10.1 Субъект ПД имеет право осуществлять действия, предусмотренные п. 9.1 Положения в части уточнения, блокирования, уничтожения ПД, а также ознакомления с информацией об обработке ПД.
10.2 Субъект ПД имеет право на извещение Компанией всех лиц, которым ранее были сообщены неверные или неполные ПД, обо всех изменениях его ПД.
10.3 Субъект ПД имеет право обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействия Компании при обработке его ПД.
11.Организационная структура Компании в сфере обработки ПД
11.1 С целью организации и контроля обработки и обеспечения безопасности ПД в Компании вводятся следующие роли, которые составляют основу организационной структуры в сфере обработки ПД:
• Ответственный за организацию обработки ПД;
• Ответственный за обеспечение безопасности ПД.
Роли Ответственных может также выполнять юридическое лицо на основании заключенного с Компанией договора, устанавливающего, среди прочего, перечень и порядок осуществления обязанностей соответствующего Ответственного таким лицом.
11.2 К числу основных контролирующих органов / лиц за соблюдением требований настоящего Положения в Компании относятся:
• Генеральный директор;
• Ответственный за организацию обработки ПД;
• Ответственный за обеспечение безопасности ПД;
• Руководители структурных подразделений или назначенные ими ответственные работники;
• Владельцы ИСПД / ее компонентов.
11.3 Генеральный директор и Ответственный за организацию обработки ПД осуществляют:
• принятие стратегических решений в сфере обработки и защиты ПД;
• утверждение внутренних нормативных документов, регламентирующих обработку и защиту ПД (применительно к единоличному исполнительному органу).
11.4 Ответственный за организацию обработки ПД также осуществляет:
• контроль за приемом и обработкой обращений и запросов субъектов ПД;
• доведение до сведения Работников Компании положений законодательства о ПД, локальных нормативных актов по вопросам обработки ПД, требований к защите ПД;
• внутренний контроль за соблюдением законодательства о ПД.
Подробные полномочия и обязанности Ответственного за организацию обработки ПД установлены в его утвержденной инструкции.
11.5 Ответственный за обеспечение безопасности ПД осуществляет:
• текущий контроль за обеспечением безопасности ПД;
• контроль за соблюдение законодательства в области обеспечения безопасности ПД;
• взаимодействие с органами по контролю и надзору в сфере защиты информации и безопасности ПД по вопросам инцидентов с ПД.
Подробные полномочия и обязанности Ответственного за обеспечение безопасности ПД установлены в его утвержденной инструкции.
11.6 Руководители структурных подразделений Компании или назначенные ими ответственные Работники осуществляют:
• постоянный контроль выполнения Работниками структурных подразделений процедур, предусмотренных Положением и иными локальными актами в области обработки и защиты ПД;
• принятие решения об уничтожении документов, содержащих ПД, или передаче на архивное хранение;
• выявление новых Процессов обработки ПД и информирование о них Ответственного за организацию обработки ПД;
• информирование Ответственного за организацию обработки ПД о любых изменениях в Процессах обработки ПД, появлении новых контрагентов, обрабатывающих ПД по поручению Компании, уничтожении ПД;
• иные функции, которые могут быть установлены локальными актами Компании.
Права и обязанности Работников, в служебные обязанности которых входит обработка ПД, могут быть дополнительно детализированы или определены в организационно-распорядительной документации в сфере защиты ПД Компании, а также в их должностных инструкциях.
11.1 С целью организации и контроля обработки и обеспечения безопасности ПД в Компании вводятся следующие роли, которые составляют основу организационной структуры в сфере обработки ПД:
• Ответственный за организацию обработки ПД;
• Ответственный за обеспечение безопасности ПД.
Роли Ответственных может также выполнять юридическое лицо на основании заключенного с Компанией договора, устанавливающего, среди прочего, перечень и порядок осуществления обязанностей соответствующего Ответственного таким лицом.
11.2 К числу основных контролирующих органов / лиц за соблюдением требований настоящего Положения в Компании относятся:
• Генеральный директор;
• Ответственный за организацию обработки ПД;
• Ответственный за обеспечение безопасности ПД;
• Руководители структурных подразделений или назначенные ими ответственные работники;
• Владельцы ИСПД / ее компонентов.
11.3 Генеральный директор и Ответственный за организацию обработки ПД осуществляют:
• принятие стратегических решений в сфере обработки и защиты ПД;
• утверждение внутренних нормативных документов, регламентирующих обработку и защиту ПД (применительно к единоличному исполнительному органу).
11.4 Ответственный за организацию обработки ПД также осуществляет:
• контроль за приемом и обработкой обращений и запросов субъектов ПД;
• доведение до сведения Работников Компании положений законодательства о ПД, локальных нормативных актов по вопросам обработки ПД, требований к защите ПД;
• внутренний контроль за соблюдением законодательства о ПД.
Подробные полномочия и обязанности Ответственного за организацию обработки ПД установлены в его утвержденной инструкции.
11.5 Ответственный за обеспечение безопасности ПД осуществляет:
• текущий контроль за обеспечением безопасности ПД;
• контроль за соблюдение законодательства в области обеспечения безопасности ПД;
• взаимодействие с органами по контролю и надзору в сфере защиты информации и безопасности ПД по вопросам инцидентов с ПД.
Подробные полномочия и обязанности Ответственного за обеспечение безопасности ПД установлены в его утвержденной инструкции.
11.6 Руководители структурных подразделений Компании или назначенные ими ответственные Работники осуществляют:
• постоянный контроль выполнения Работниками структурных подразделений процедур, предусмотренных Положением и иными локальными актами в области обработки и защиты ПД;
• принятие решения об уничтожении документов, содержащих ПД, или передаче на архивное хранение;
• выявление новых Процессов обработки ПД и информирование о них Ответственного за организацию обработки ПД;
• информирование Ответственного за организацию обработки ПД о любых изменениях в Процессах обработки ПД, появлении новых контрагентов, обрабатывающих ПД по поручению Компании, уничтожении ПД;
• иные функции, которые могут быть установлены локальными актами Компании.
Права и обязанности Работников, в служебные обязанности которых входит обработка ПД, могут быть дополнительно детализированы или определены в организационно-распорядительной документации в сфере защиты ПД Компании, а также в их должностных инструкциях.
12.Процедуры внутреннего контроля
12.1 В целях осуществления внутреннего контроля соответствия обработки ПД требованиям законодательства, локальных нормативных актов Компании, а также обеспечения соблюдения прав субъектов ПД в Компании проводятся периодические проверки процессов обработки ПД.
12.2 Проверки осуществляются Ответственным за организацию обработки ПД либо специальной комиссией, созданной по инициативе Ответственного за организацию обработки ПД либо на основании приказа руководителя Компании.
12.3 Проверки проводятся в Компании не реже чем один раз в 3 (Три) года на основании утверждаемого руководителем Компании или Ответственным за организацию обработки ПД плана осуществления внутреннего контроля (плановые проверки) или на основании поступившего письменного заявления о нарушениях правил обработки ПД (внеплановые проверки).
Проведение внеплановой проверки организуется в течение 10 (Десяти) рабочих дней с момента поступления соответствующего заявления.
12.4 При проведении проверки должна быть обеспечена разумная степень уверенности в следующем:
• порядок и условия применения правовых, организационных и технических мер по обеспечению безопасности ПД при их обработке, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищенности ПД;
• соблюдение и эффективность мер по обеспечению безопасности ПД, обрабатываемых в ИСПД;
• соблюдение правил доступа к ПД;
• наличие (отсутствие) фактов несанкционированного доступа к ПД и принятие необходимых мер;
• осуществление мероприятий по обеспечению целостности ПД;
• соблюдение порядка уточнения, блокирования и уничтожения ПД;
• соблюдение порядка организации хранения ПД;
• соблюдение правил по работе с обращениями субъектов ПД;
• соблюдение правил передачи ПД третьим лицам;
• иные обстоятельства, влияющие на соответствие законодательству.
12.5 В ходе проверки Ответственный за организацию обработки ПД и (или) члены комиссии имеют право:
• запрашивать у Работников информацию, необходимую для реализации полномочий;
• требовать от Работников уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПД;
• принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований законодательства Российской Федерации;
• представлять руководителю Компании предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности ПД при их обработке;
• представлять руководителю Компании предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки ПД.
12.6 По результатам проведенной проверки составляется акт, в котором указывается план устранения выявленных нарушений, а также план проведения следующей плановой проверки.
12.1 В целях осуществления внутреннего контроля соответствия обработки ПД требованиям законодательства, локальных нормативных актов Компании, а также обеспечения соблюдения прав субъектов ПД в Компании проводятся периодические проверки процессов обработки ПД.
12.2 Проверки осуществляются Ответственным за организацию обработки ПД либо специальной комиссией, созданной по инициативе Ответственного за организацию обработки ПД либо на основании приказа руководителя Компании.
12.3 Проверки проводятся в Компании не реже чем один раз в 3 (Три) года на основании утверждаемого руководителем Компании или Ответственным за организацию обработки ПД плана осуществления внутреннего контроля (плановые проверки) или на основании поступившего письменного заявления о нарушениях правил обработки ПД (внеплановые проверки).
Проведение внеплановой проверки организуется в течение 10 (Десяти) рабочих дней с момента поступления соответствующего заявления.
12.4 При проведении проверки должна быть обеспечена разумная степень уверенности в следующем:
• порядок и условия применения правовых, организационных и технических мер по обеспечению безопасности ПД при их обработке, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищенности ПД;
• соблюдение и эффективность мер по обеспечению безопасности ПД, обрабатываемых в ИСПД;
• соблюдение правил доступа к ПД;
• наличие (отсутствие) фактов несанкционированного доступа к ПД и принятие необходимых мер;
• осуществление мероприятий по обеспечению целостности ПД;
• соблюдение порядка уточнения, блокирования и уничтожения ПД;
• соблюдение порядка организации хранения ПД;
• соблюдение правил по работе с обращениями субъектов ПД;
• соблюдение правил передачи ПД третьим лицам;
• иные обстоятельства, влияющие на соответствие законодательству.
12.5 В ходе проверки Ответственный за организацию обработки ПД и (или) члены комиссии имеют право:
• запрашивать у Работников информацию, необходимую для реализации полномочий;
• требовать от Работников уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПД;
• принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований законодательства Российской Федерации;
• представлять руководителю Компании предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности ПД при их обработке;
• представлять руководителю Компании предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки ПД.
12.6 По результатам проведенной проверки составляется акт, в котором указывается план устранения выявленных нарушений, а также план проведения следующей плановой проверки.
13.Заключительные положения
13.1 Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
13.2 Положение вступает в силу с момента его утверждения и действует до момента внесения изменений и/или принятия заменяющего документа.
13.1 Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
13.2 Положение вступает в силу с момента его утверждения и действует до момента внесения изменений и/или принятия заменяющего документа.