1.     Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных (ПДн) в ООО «Параллель» (далее – Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки ПДн субъектов ПДн в ООО «Параллель» (далее – Предприятие), установления прав и обязанностей работников Предприятия при обработке ПДн, а также их ответственности за нарушения нормативных документов Предприятия и законодательства РФ при обработке ПДн.

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон), Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Трудовым кодексом РФ, а также внутренними нормативными и организационно-распорядительными документами Предприятия.

1.3. Настоящее Положение распространяется на все субъекты ПДн и работников Предприятия, а также работников Предприятия, имеющих доступ и осуществляющих обработку ПДн субъектов ПДн и работников Предприятия.

1.4. Настоящее Положение не распространяется на отношения, возникающие при:

·       организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в РФ;

·       обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.5. Настоящее положение вступает в силу в момент его утверждения отдельным приказом Генерального директора (ГД) Предприятия и действует бессрочно до его замены новым Положением. Корректировки в Положение вносятся отдельными приказами ГД Предприятия.

1.6. ПДн не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан.

1.7. Работники и их представители должны быть ознакомлены под личную роспись с документами Предприятия, которые устанавливают порядок обработки ПДн на Предприятии, а также их права и обязанности в этой области (в том числе с настоящим Положением).

1.8. Положение должно быть опубликовано на общедоступных информационных ресурсах Предприятия в течение 10 (десяти) дней после его утверждения.

 

2.     Термины, определения, сокращения.

2.1. Предприятие – ООО «Параллель», ИНН 7709909416, КПП 771601001, ОГРН 1127746620737, юридический адрес: Проезд Анадырский, д. 21, помещение V, комн. 10, Москва, 129327, Россия, почтовый адрес: пер. Доронина, 2-б, г. Шахты, Ростовской обл., 346516, Россия.

2.2. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

2.3. Оператор – государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

2.4. Информационная система персональных данных (ИСПДн) – совокупность
содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.6. Сбор персональных данных – целенаправленный процесс получения ПДн оператором непосредственно от субъекта ПДн либо через специально привлеченных для этого третьих лиц.

2.7. Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

2.8. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание ПДн в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители ПДн.

2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

2.10. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.

2.11. Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.12. Секретариат – подразделение Предприятия или должностное лицо, ответственное за ведение делопроизводства.

 

3.     Нормативно-методические документы

3.1. Нормативная и методическая документация, которой необходимо
руководствоваться при определении порядка обработки ПДн на Предприятии:

·       Конституция РФ.

·       Трудовой кодекс РФ.

·       Гражданский кодекс РФ.

·       Кодекс РФ об административных правонарушениях.

·       Уголовный кодекс РФ.

·       Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

·       Федеральный закон РФ от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».

·       Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

·       Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

 

4.     Состав ПДн, обрабатываемых на Предприятии.

4.1. На Предприятии обрабатываются ПДн следующих категорий субъектов ПДн:

4.1.1. ПДн работников (бывших работников) Предприятия:

·       Фамилия, имя, отчество (в том числе прежние, в случае их изменения).

·       Фотография.

·       Число, месяц, год рождения.

·       Место рождения.

·       Информация о гражданстве (в том числе прежние гражданства, иные гражданства).

·       Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.

·       Адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания).

·       Номер контактного телефона или сведения о других способах связи.

·       Реквизиты страхового свидетельства обязательного пенсионного страхования.

·       Идентификационный номер налогоплательщика.

·       Реквизиты свидетельств о государственной регистрации актов гражданского состояния.

·       Сведения о семейном положении, составе семьи и сведения о близких родственниках.

·       Сведения о трудовой деятельности.

·       Сведения о прохождении военной службы, воинском звании, воинском учете и реквизиты документов воинского учета.

·       Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).

·       Сведения об ученой степени.

·       Информация о владении иностранными языками, степень владения.

·       Результаты обязательного предварительного (при поступлении на работу) медицинского осмотра.

·       Реквизиты расчетного счета.

·       Реквизиты банковской карты.

·       Должность, профессия.

·       Подразделение.

·       Телефонный номер (служебный).

·       Служебный адрес электронной почты и скайп имя.

·       Сведения о переводах на другую работу.

·       Сведения об аттестации.

·       Сведения о повышении квалификации.

·       Сведения о профессиональной переподготовке.

·       Сведения о наградах (поощрениях), почетных званиях.

·       Сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством.

·       Сведения о периодических медицинских осмотрах (обследованиях), а также результаты обязательного психиатрического освидетельствования.

·       Сведения об отпусках.

·       Сведения об исполнительных листах на работников.

·       Сведения о листах временной нетрудоспособности.

·       Сведения о доходах и налогах на доходы физических лиц.

·       Сведений о пенсионных накоплениях физических лиц.

·       Сведения о налогах на фонд оплаты труда физических лиц.

·       Сведения об учете рабочего времени.

·       Другие ПДн необходимые в соответствии с законодательством РФ, для достижения нижеуказанных целей обработки ПДн.

Цели обработки ПДн работников (бывших работников) Предприятия:

·       Обеспечение соблюдения законов и иных нормативных правовых актов.

·       Содействие работникам в трудоустройстве, получении образования и продвижении по службе.

·       Обеспечение личной безопасности работников.

·       Контроль количества и качества выполняемой работы.

·       Обеспечение сохранности имущества.

Полученные ПДн, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника, в ИСПДн «Кадры и Зарплата» и других утвержденных формах документов Предприятия, в соответствии с требованиями трудового законодательства и внутренних нормативных документов Предприятия.

4.1.2. ПДн кандидатов на работу на Предприятие:

·       Фамилия, имя, отчество (в том числе прежние, в случае их изменения).

·       Фотография.

·       Число, месяц, год рождения.

·       Место рождения.

·       Информация о гражданстве (в том числе прежние гражданства, иные гражданства).

·       Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.

·       Адрес и дата регистрации по месту жительства (месту пребывания).

·       Адрес фактического места жительства.

·       Контактные данные (телефон, адрес электронной почты, скайп и т.п.).

·       СНИЛС.

·       ИНН.

·       Семейное положение.

·       Образование и квалификация, профессия.

·       Наименование учебного заведения, № диплома, дата выдачи.

·       Сведения об опыте работы (по трудовой книжке).

·       Сведения о службе в армии и органах ВД.

·       Сведения об увлечениях и хобби.

·       Контакты рекомендателей.

·       Знание иностранных языков, владение компьютером и программами.

·       Наличие водительских прав и автомобиля.

·       Личные предпочтения, качества, ожидания от работы на Предприятии.

·       Отношение к алкоголю и курению.

·       Ожидаемый уровень зарплаты.

·       Другие ПДн, необходимые для оценки пригодности кандидата для работы на Предприятии.

Цели обработки ПДн кандидатов на работу на Предприятии:

·       Содействие кандидату на работу на Предприятие в трудоустройстве, формирование базы данных кадрового резерва Предприятия.

Полученные ПДн в анкете утвержденной формы, в соответствии с внутренним регламентом работники Дирекции управления персоналом сохраняют и обрабатывают в электронном виде в ИСПДн «Кандидаты».

4.1.3. ПДн посетителей Предприятия:

·       Ф.И.О.

·       Данные удостоверения личности (паспорта, водительского удостоверения).

Цели обработки ПДн посетителей Предприятия:

·       Обеспечение однократного пропуска на территории Предприятия, его обособленных подразделений и филиалов.

Полученные ПДн обрабатываются сотрудниками Дирекции по безопасности в соответствии с требованиями внутренних нормативных документов, регламентирующих осуществление контрольно-пропускного и внутриобъектового режима на территории Предприятия и в его обособленных подразделениях и филиалах.

4.1.4. ПДн контрагентов (физических лиц) и сотрудников контрагентов Предприятия:

·       Ф.И.О. руководителей, учредителей, сотрудников контрагентов.

·       Паспортные данные руководителей, учредителей, сотрудников контрагентов.

·       Другие ПДн, необходимые для обеспечения выполнения договорных отношений.

Цель обработки ПДн контрагентов (физических лиц) и сотрудников контрагентов Предприятия:

·       Реализация уставных целей Предприятия.

·       Осуществление договоров и иных сделок.

Обработку ПДн при осуществлении хозяйственной деятельности ведут сотрудники Предприятия в соответствии с внутренними нормативными документами Предприятия и законодательством РФ, на основании утвержденных форм документов.

4.1.5. ПДн посетителей сайтов Предприятия:

·       Фамилия Имя Отчество.

·       Адрес места жительства, доставки.

·       Телефон и другие контактные данные.

·       Иные ПДн, необходимые для осуществления целей обработки ПДн.

Цель обработки ПДн посетителей сайтов:

·       Обеспечение продвижения продукции Предприятия.

·       Продажа продукции Предприятия.

ПДн обрабатываются на сайтах Предприятия (в том числе в интернет-магазинах) в соответствии с внутренними нормативными документами Предприятия, регламентирующими деятельность сайтов.

4.1.6. Общедоступные ПДн:

·       Ф.И.О.

·       Дата рождения.

·       Телефонный номер (контактный и служебный).

·       Служебный адрес электронной почты и скайп имя.

·       Профессия и должность.

·       Подразделение.

·       Фотография.

·       Иные ПДн, которые субъектом ПДн письменно соглашается сделать общедоступными.

Цель обработки общедоступных ПДн:

·       Информационное обеспечение деятельности Предприятия.

В соответствии с письменным согласием субъекта ПДн, часть ПДн признается общедоступными для размещения в общедоступных источниках ПДн (утвержденные формы справочников, адресных книг, сайтов, информационных стендов и других).

 

5.     Принципы и порядок обработки ПДн на Предприятии.

5.1. Общие принципы обработки ПДн.

5.1.1. Обработка ПДн осуществляется на основе принципа соответствия объема и характера обрабатываемых ПДн, а также способов обработки ПДн заявленным целям обработки ПДн.

5.1.2. Обработка ПДн может осуществляться только при условии согласия (в том числе, в случаях, предусмотренных законодательством РФ – письменного согласия) субъекта ПДн, за исключением случаев, предусмотренных законодательством РФ.

5.1.3. Не допускаются получение и обработка данных о работнике и
других субъектах ПДн, содержащих сведения об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также об их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

5.1.4. Обработка ПДн должна быть прекращена при достижении целей обработки ПДн, истечении срока действия согласия или отзыве согласия субъекта ПДн на обработку его ПДн, а также выявлении неправомерной обработки ПДн.

5.1.5. Согласно законодательству РФ и политике Предприятия, сведения, содержащие ПДн, относятся к информации с ограниченным доступом. На Предприятии разработана и поддерживается соответствующая разрешительная система доступа работников к ПДн.

5.1.6. Предприятие и иные лица, получившие доступ к ПДн обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

5.1.7. Во всех случаях отказ работника или другого субъекта ПДн от своих прав на сохранение конфиденциальности и защиты его ПДн (тайны) недействителен.

5.1.8. Неправомерность деятельности Предприятия при обработке ПДн может быть установлена в судебном порядке по требованию субъектов ПДн, а также в результате проверок регулирующих органов, проводимых на основании законодательства о защите ПДн.

5.1.9. Перечень ПДн, мест их обработки и хранения, способов обработки, определяется в Перечне персональных данных, утверждаемых приказом ГД Предприятия.

5.2. Перечень действий с ПДн.

На Предприятии осуществляются следующие действия с ПДн:

·       сбор,

·       систематизация,

·       накопление,

·       хранение,

·       уточнение (обновление, изменение),

·       использование,

·       передача,

·       распространение,

·       обезличивание,

·       блокирование,

·       удаление,

·       уничтожение.

5.3. Порядок сбора и хранения ПДн.

5.3.1. При сборе ПДн Предприятие обязано предоставить субъекту ПДн по его запросу информацию о целях и способах обработки его ПДн, сведения о лицах, имеющих доступ к ПДн, перечень обрабатываемых ПДн и источник их получения, сведения о сроках обработки и хранения ПДн.

5.3.2. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

5.3.3. ПДн субъектов ПДн могут обрабатываться как на бумажных носителях, так и в электронном виде. Основным инфраструктурным ресурсом Предприятия для осуществления операций с ПДн являются ИСПДн, представляющие собой:

·       Автоматизированные системы обработки ПДн, позволяющие осуществлять операции с ПДн в виде файлов, а также записей баз данных, доступ к которым регулируется в соответствии с положениями локальных нормативных актов Предприятия.

·       Информационные системы без использования средств автоматизации, в которых ведется обработка ПДн на материальных носителях, доступ к которым также осуществляется в соответствии с положениями локальных нормативных актов Предприятия.

5.3.4. При осуществлении хранения ПДн используются базы данных, находящиеся на территории РФ.

5.3.5. На Предприятии устанавливаются следующие сроки хранения ПДн:

·       Сроки хранения ПДн субъектов, относящихся к трудовым правоотношениям, составляют 75 лет.

·       Документы (анкеты, заявления, рекомендательные письма, резюме и др.) лиц, не принятых на работу, хранятся 1 год.

·       Сроки хранения договоров, содержащих ПДн субъектов, а также сопутствующих документов – 5 лет с момента окончания действия договоров.

·       Сроки хранения документов, содержащих ПДн посетителей Предприятия – 1 год с момента окончания их ведения.

·       Сроки хранения ПДн посетителей сайтов Предприятия – 3 года с момента регистрации на сайте.

5.3.6. Если обязанность хранения ПДн Предприятием в течение определенного срока прямо установлена законодательством РФ, то в течение срока хранения эти ПДн не могут быть обезличены или уничтожены. В том числе при получении отзыва согласия на обработку ПДн от субъекта ПДн.

5.4. Порядок получения ПДн работников.

5.4.1. Все ПДн работника работодатель получает от самого работника.

5.4.2. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение.

5.4.3. Информация, содержащая ПДн и представляемая работником/кандидатом на работу, должна иметь документальную форму. При заключении трудового договора или предъявлении анкеты кандидата на работу лицо, поступающее на работу или выступающее в роли кандидата на работу, предъявляет работодателю:

·       Паспорт или иной документ, удостоверяющий личность.

·       Трудовую книжку.

·       Страховое свидетельство государственного пенсионного страхования.

·       Документы воинского учета.

·       Документ об образовании и (или) о квалификации или наличии специальных знаний.

·       Свидетельство о присвоении ИНН.

При приеме на работу Служба кадров (или работник, ответственный за кадровое делопроизводство) Предприятия обеспечивает проверку вышеперечисленных документов, содержащих ПДн сотрудников, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.

При приеме анкеты кандидата на работу Служба персонала (или работник, ответственный за кадровое делопроизводство) обеспечивает проверку вышеперечисленных документов, содержащих ПДн кандидатов на работу на предмет подлинности, а также соответствия ПДн указанных в анкете данным в документах.

5.4.4. Обработка ПДн близких родственников работника осуществляется в объеме, предусмотренном законодательством РФ (получение алиментов, оформление социальных выплат и др.). В иных случаях получение согласия близких родственников работника является обязательным условием обработки их ПДн.

5.5. Порядок передачи ПДн.

5.5.1. Не допускается передача ПДн третьим лицам без письменного согласия
субъекта ПДн, за исключением случаев, когда это необходимо в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, а также в иных случаях, установленных законодательством РФ.

5.5.2. Передача ПДн субъекта в коммерческих целях без его письменного согласия не допускается. Обработка ПДн субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного письменного согласия.

5.5.3. В целях соблюдения законодательства РФ и обеспечения положений трудового договора возможна передача:

·       документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о пенсионных накоплениях физических лиц, сведений о налогах на фонд оплаты труда физических лиц в соответствии с законодательством РФ - в Федеральные органы исполнительной власти;

·       ПДн, для осуществления выдачи заработной платы или других доходов работника - в уполномоченные банковские организации;

·       ПДн, для содействия работникам в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений - в представительные органы власти, уполномоченные региональные и Федеральные органы исполнительной власти.

Передача указанных сведений и документов осуществляется с согласия работника. Согласие работника оформляется письменно в виде отдельного документа при приеме на работу. После получения согласия работника дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует и в «Журнал учета передачи ПДн» не фиксируется.

5.5.4. Передача ПДн работника представителям работников осуществляется в порядке, установленном законодательством РФ, и ограничивается только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

5.5.5. Разрешается передача ПДн субъекта без письменного согласия внутри Предприятия между его Подразделениями для обеспечения выполнения их функций. Фиксации фактов передачи в «Журнале учета передачи ПДн» в этом случае не требуется.

5.5.6. Лица, получающие ПДн субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило и режим конфиденциальности.

5.5.7. Передача ПДн третьим лицам (по запросам органов прокуратуры, других правоохранительных органов, а также органов власти и федеральных служб, уполномоченных в соответствии с действующим законодательством РФ) осуществляется на основании письменного заявления/запроса третьего лица, согласованного с ответственным за безопасность ПДн с учетом требований п. 5.5 настоящего Положения.

5.5.8. Передача ПДн третьим лицам (прочие случаи) осуществляется на основании письменного запроса должностного лица Предприятия, согласованного с ответственным за безопасность ПДн с учетом требований п. 5.5 настоящего Положения.

5.5.9. Передача ПДн третьим лицам осуществляется только в бумажном виде на официальном бланке Предприятия за подписью Генерального директора или уполномоченного им лица. При этом в «Журнале учета передачи ПДн» регистрируется факт передачи.

5.5.10. Форма «Журнала учета передачи ПДн» утверждается приказом по Предприятию. «Журнал учета передачи ПДн» ведется в Секретариате уполномоченным лицом.

5.6. Порядок уничтожения и блокирования ПДн.

5.6.1. Предприятие обязано прекратить обработку ПДн и уничтожить (либо обезличить) их в срок, не превышающий 30 дней с даты достижения цели обработки ПДн. В случаях, отдельно предусмотренных действующим законодательством РФ, после достижения цели обработки, ПДн могут быть помещены в архив (электронный или документарный).

5.6.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн Предприятие обязано прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва.

5.6.3. Временное прекращение операций по обработке ПДн (блокирование) должно возникать по требованию субъекта ПДн при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его ПДн.

5.6.4. Порядок действий по уничтожению, блокированию и обезличиванию ПДн определяется внутренним регламентом «Правила уничтожения, блокирования и обезличивания ПДн».

5.7. Порядок доступа к ПДн.

5.7.1. Доступ к ПДн субъекта имеют только специально уполномоченные сотрудники Предприятия, в объеме, который им необходим в связи с исполнением своих трудовых обязанностей.

5.7.2. Перечень сотрудников, имеющих доступ к ПДн, определяется приказом ГД Предприятия.

5.7.3. Права, обязанности, действия работников, в трудовые обязанности которых входит обработка и защита ПДн субъектов, определяется должностными инструкциями и настоящим Положением.

5.7.4. Порядок доступа к ИСПДн определяется локальными нормативными актами Предприятия.

5.8. Порядок защиты ПДн.

5.8.1. Под защитой ПДн субъекта понимается комплекс мер (организационных, технических, правовых), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн субъектов, а также от иных неправомерных действий.

5.8.2. Защита ПДн обеспечивается Предприятием за счет собственных средств, в порядке, установленном законодательством РФ.

5.8.3. Предприятие при защите ПДн субъектов принимает все необходимые правовые, организационные и технические меры, в том числе:

·                   Разработка локальных актов (включая настоящее Положение) Предприятия, реализующих требования законодательства РФ в отношении обработки и защиты ПДн.

·                   Отказ от любых способов обработки ПДн, не соответствующих целям, заранее определенных Предприятием.

·                   Назначение лиц, ответственных за организацию обработки ПДн.

·                   Назначение лиц, ответственных за обеспечение безопасности ПДн в информационных системах.

·                   Определение перечня сотрудников, имеющих доступ к ПДн, и организацию разрешительной системы доступа к ним.

·                   Ознакомление работников Предприятия, допущенных к обработке ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн и с локальными актами Предприятия по вопросам обработки ПДн.

·                   Определение в трудовых обязанностях и должностных инструкциях работников Предприятия обязанностей по обеспечению безопасности обработки ПДн и ответственности за нарушение установленного порядка.

·                   Регламентация процессов обработки ПДн.

·                   Оценка вреда, который может быть причинен субъектам ПДн при нарушении законодательства РФ по ПДн.

·                   Определение угроз безопасности ПДн при их обработке в информационных системах, формирование на их основе моделей угроз.

·                   Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

·                   Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.

·                   Учет носителей ПДн, обеспечение их сохранности.

·                   Размещение технических средств обработки ПДн в пределах охраняемой территории.

·                   Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

·                   Установление фактов несанкционированного доступа к ПДн и принятие соответствующих мер.

·                   Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, программных и аппаратных сбоев, техногенных аварий и природных катаклизмов.

·                   Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

·                   Осуществление контроля и аудита соответствия принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн, требованиям нормативных документов по ПДн.

5.9. Особенности обработки ПДн без использования средств автоматизации.

5.9.1. Под обработкой ПДн, осуществляемой без использования средств автоматизации, понимается использование, уточнение, распространение, уничтожение ПДн, осуществляемые при непосредственном участии человека.

5.9.2. ПДн при их обработке без использования средств автоматизации должны фиксироваться на отдельных материальных носителях в специальных разделах или на полях форм (бланков).

5.9.3. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой категории ПДн должен использоваться отдельный материальный носитель.

5.9.4. Работники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработке ими ПДн, категориями обрабатываемых ПДн, а также должны быть ознакомлены с внутренними нормативными и распорядительными документами Предприятия по защите ПДн.

5.9.5. В типовых формах документов, предполагающих включение ПДн (далее – типовая форма), должны содержаться сведения о цели обработки ПДн, сведения о Предприятии (наименование и адрес), сведения о субъекте ПДн (фамилия, имя, отчество и адрес субъекта), сведения об источнике получения ПДн, сведения о сроках обработки, перечень действий с ПДн в процессе их обработки и описание способов такой обработки.

5.9.6. Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку ПДн.

5.9.7. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн.

5.9.8. В типовой форме должно быть исключено объединение полей, предназначенных для внесения ПДн, цели обработки которых не совместимы.

5.9.9. В журналы (реестры, книги), необходимые для однократного пропуска субъекта ПДн на территорию Предприятия, ПДн могут заноситься не более одного раза в каждом случае пропуска. Копирование информации, содержащейся в таких журналах, не допускается.

5.9.10. При необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.

5.9.11. При необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

5.9.12. Уточнение ПДн при их обработке на бумажном носителе должно производиться путем обновления или изменения ПДн, либо путем создания нового бумажного носителя с уточненными ПДн.

5.9.13. Уничтожение или обезличивание части ПДн может производиться способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на данном бумажном носителе. Например, путем удаления или вымарывания (если это допускается возможностями бумажного носителя), при этом сведения, не подлежащие уничтожению, должны быть предварительно скопированы.

5.9.14. Уничтожение документов, содержащих ПДн, должно производиться в соответствии с общим порядком конфиденциального уничтожения документов, установленным на Предприятии.

 

6.     Права и обязанности Предприятия.

6.1. В случае выявления недостоверных ПДн или неправомерных действий с ними Предприятия, при обращении или по запросу субъекта ПДн или его законного представителя, либо уполномоченного органа по защите прав субъектов ПДн, Предприятие обязано осуществить устранение допущенных нарушений или, в случае невозможности устранения, уничтожить ПДн, а также уведомить о своих действиях субъекта ПДн или уполномоченный орган.

6.2. Должностные лица Предприятия, в обязанность которых входит обработка запросов и обращений субъектов ПДн, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их ПДн, если иное не предусмотрено законом, в соответствии с регламентом «Порядок обработки обращений субъектов ПДн».

6.3. В случае предоставления субъектом фактов о неполных, устаревших, недостоверных или незаконно полученных ПДн Предприятие обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПДн.

6.4. Предприятие обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы.

6.5. По запросу уполномоченного органа по защите прав субъектов ПДн Предприятие обязано предоставить ему необходимую информацию.

 

7.     Права и обязанности субъектов ПДн.

7.1. Права работника.

В целях обеспечения защиты своих ПДн, хранящихся на Предприятии, работник имеет право:

·       Получать полную информацию о его ПДн и обработке этих данных.

·       Получать свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн, за исключением случаев, предусмотренных законодательством РФ.

·       Определять своих представителей для защиты своих ПДн.

·       Требовать исключения, блокировки, удаления, исправления неверных или неполных ПДн, а также данных, обработанных с нарушением требований законодательства РФ. При отказе Предприятия исключить или исправить ПДн работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

·       Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

·       Обжаловать в суде любые неправомерные действия или бездействия Предприятия при обработке и защите его ПДн.

Порядок регистрации обращений работников и выдачи им требуемой информации определяется регламентом «Порядок обработки обращений субъектов ПДн».

 

В части обработки ПДн субъекта работник имеет право:

·       Получать необходимые полномочия для осуществления и контроля обработки ПДн, в рамках своих трудовых обязанностей.

·       Получать консультационную поддержку со стороны руководства и компетентных работников по порядку обработки ПДн.

7.2. Права субъекта ПДн.

7.2.1. Субъект ПДн или его законный представитель имеет право на получение информации в доступной форме, касающейся обработки его ПДн, в соответствии с действующим законодательством РФ.

7.2.2. Субъект ПДн имеет право в любой момент отозвать свое согласие, предоставленное ранее Предприятию, на обработку своих ПДн.

7.2.3. Субъект ПДн вправе требовать от Предприятия уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2.4. Если субъект ПДн считает, что Предприятие осуществляет обработку
его ПДн с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействия Предприятия в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

7.2.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.3. Обязанности работника.

В части своих ПДн работник обязан:

·       Передавать Предприятию достоверные документы, содержащие ПДн, состав которых установлен Трудовым кодексом РФ, а также иными требованиями законодательства Российской Федерации.

·       Не предоставлять неверные ПДн, а в случае изменений в ПДн, обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом Предприятию.

В части обработки ПДн субъекта работник обязан:

·       Осуществлять операции с ПДн в соответствии с требованиями настоящего Положения и других нормативных документов Предприятия.

·       Соблюдать конфиденциальность операций с ПДн.

·       Обеспечивать сохранность и целостность ПДн.

·       Информировать своего непосредственного руководителя, Дирекцию по безопасности о всех нештатных ситуациях, связанных с обработкой ПДн.

7.4. Обязанности работника.

Субъект ПДн обязан не предоставлять Предприятию неверные ПДн, а в случае изменений в ПДн, обнаружения ошибок или неточностей в них, незамедлительно сообщить об этом Предприятию.

 

8.     Ответственность за нарушение норм, регулирующих обработку и защиту ПДн.

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн субъекта и работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

8.2. Работники Предприятия, допущенные к обработке ПДн субъектов и работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством РФ.

8.3. Работники Предприятия, получающие для работы документы, содержащие ПДн, несут персональную ответственность за их сохранность.

8.4. В случае, когда нарушение норм, регулирующих обработку ПДн повлекло за собой какие-либо финансовые потери для Предприятия, виновные работники обязаны возместить причиненный ущерб.

 

9.     Заключительные положения.

9.1. В случаях, не указанных в настоящем Положении, следует руководствоваться действующими федеральными законами и нормативными правовыми актами РФ, регулирующими порядок обработки ПДн.

9.2. Если при изменении законодательства РФ отдельные пункты Положения вступают в противоречие с ним, то эти пункты утрачивают силу, и до момента внесения изменений в Положение работники Предприятия руководствуются действующим законодательством РФ, при этом факт прекращения действия одного или нескольких пунктов не влияет на действие Положения в целом.

9.3. Разработчиком Положения, также отвечающим за его актуализацию, является ответственный за организацию обработки ПДн, назначенный приказом ГД Предприятия.