«УТВЕРЖДЕНО»
приказом
директора ООО «ШЭББИ»
от «02» декабря 2024 года
№ ШЭ4-ОД
Кушкиным С.Ю.
ПОЛОЖЕНИЕ
об организации работы с персональными данными
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение является локальным нормативным актом ООО «ШЭББИ» (далее – Оператор) и определяет политику Оператора в отношении обработки персональных данных, порядок работы (получения, обработки, использования, хранения, передачи и пр.) с персональными данными субъектов персональных данных, а также гарантии конфиденциальности данных сведений.
1.2. Положение об организации работы с персональными данными разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее Закон о персональных данных), Федеральным законом «Об информации, информационных технологиях и защите информации», Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и иными нормами законодательства РФ.
1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Правовые основания обработки персональных данных:
- Конституция РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», а также иные федеральные законы и нормативные акты РФ в области персональных данных;
- уставные документы Оператора;
- договоры;
- согласие Субъекта персональных данных на обработку его персональных данных.
1.5. Оператор: ООО «ШЭББИ» ИНН 3525486516, ОГРН 1233500003835, юридический адрес: 160009 г. Вологда, ул. Мира, д.82, офис 508, почтовый адрес: 160009 г. Вологда, ул. Мира, д.82, офис 508.
1.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – Поручение).
Лицо, осуществляющее обработку персональных данных по Поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В Поручении должны быть определены:
а) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
б) цели обработки персональных данных;
в) обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
г) требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом «О персональных данных».
Лицо, осуществляющее обработку персональных данных по Поручению, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
Если Оператор намерен поручить осуществление обработки персональных данных другому лицу, договор, заключенный с этим лицом должен содержать обязательства лица соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке. В договоре должны быть определены перечень действий (операций) с персональными данными и цели обработки персональных данных, а также требования к защите персональных данных в соответствии с нормами Федерального закона «О персональных данных».
Аналогичным образом ответственность определяется в случае, когда Оператору поручается сторонним оператором персональных данных обработка персональных данных субъектов персональных данных, с которыми у Оператора отсутствуют непосредственные правовые отношения. Оператор в этом случае выступает в роли лица, осуществляющего обработку персональных данных по Поручению.
2. ЦЕЛИ, СУБЪЕКТЫ, ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Цели обработки, состав и субъекты персональных данных:
|
Цель обработки |
Состав персональных данных |
Субъекты персональных данных |
|
Ведение кадрового и бухгалтерского учета |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; |
Работники; Соискатели; Родственники работников; Уволенные работники; |
|
Обеспечение соблюдения трудового законодательства РФ |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; |
Работники; Соискатели; Родственники работников; Уволенные работники; |
|
Обеспечение соблюдения налогового законодательства РФ |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); |
Работники; Родственники работников; Уволенные работники; Контрагенты; |
|
Обеспечение соблюдения пенсионного законодательства РФ |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; |
Работники; Родственники работников; Уволенные работники; Контрагенты; |
|
Обеспечение соблюдения законодательства РФ об исполнительном производстве |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес регистрации; СНИЛС; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты |
Работники; Уволенные работники; Контрагенты; |
|
Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; сведения об образовании; |
Работники; Контрагенты; |
|
Подготовка, заключение и исполнение гражданско-правового договора |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; |
Контрагенты; Представители контрагентов; |
|
Продвижение товаров, работ, услуг на рынке |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; собираемые посредством метрических программ |
Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; |
2.2. Обработка персональных данных в вышеуказанных целях осуществляется Оператором на основе следующих законодательно определенных принципов:
а) обработка персональных данных должна осуществляться на законной и справедливой основе;
б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) обработке подлежат только персональные данные, которые отвечают целям их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
е) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
з) обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
2.4. Конфиденциальность персональных данных обеспечивается тем, что лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее – Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
3.2. В соответствии с Федеральным законом «О персональных данных» (ч. 1 ст. 9) субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных (далее – Согласие) должно быть конкретным, информированным и сознательным.
Согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения Согласия от представителя субъекта персональных данных полномочия данного представителя на дачу Согласия от имени субъекта персональных данных проверяются Оператором.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью.
3.3. Текст согласия может быть включен в тексты договоров, заявлений, анкет, получаемых у субъекта персональных данных в письменном виде и остающихся на хранении у Оператора.
3.4. Субъект персональных данных вправе отозвать свое Согласие. В случае отзыва субъектом персональных данных своего Согласия ему необходимо оформить письменный запрос (далее – Запрос на отзыв) с обязательным указанием фамилии, имени, отчества, адрес места жительства (фактического и по месту регистрации), серии и номера основного документа, удостоверяющего его личность, сведений о дате выдачи указанного документа и выдавшем его органе, подписать его и передать лично или через своего представителя в подразделение, уполномоченное на прием входящей корреспонденции. Если Отзыв передается через представителя, то он должен предъявить в подразделении Документ, подтверждающий полномочия этого представителя на право представления соответствующих интересов представляемого.
4. СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных Оператором выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
4.2. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Оператора и с использованием информационно-телекоммуникационной сети «Интернет».
4.3. Оператор осуществляет передачу обрабатываемых персональных данных органам власти на основании и во исполнение действующего законодательства РФ.
4.4. Передача персональных данных на обработку третьим лицам осуществляется во исполнение требований действующего законодательства РФ, в рамках заключенных договоров между Оператором и субъектами персональных данных, или на основании письменного согласия субъекта персональных данных.
4.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст.10.1 Закона о персональных данных.
4.6. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч.2 ст.11 Закона о персональных данных.
4.7. Оператор не осуществляет трансграничную передачу персональных данных.
4.8. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных у Оператора осуществляются посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- создания документов, содержащих персональные данные, на бумажных и электронных носителях;
- внесения персональных данных в информационные системы персональных данных.
4.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.11. Оператором используются следующие информационные системы:
- корпоративная электронная почта;
- система электронного документооборота;
- система поддержки рабочего места пользователя;
- система нормативно-справочной информации;
- сервер Оператора.
4.12. В целях информационного обеспечения работников Оператором могут создаваться общедоступные источники персональных данных работников Оператора (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, адрес места работы, рабочий номер телефона, рабочий адрес электронной почты, должность и иные персональные данные (в случае необходимости), сообщаемые субъектом персональных данных.
4.12.1. Сведения о субъекте персональных данных исключаются из общедоступных источников персональных данных в случае прекращения между субъектом персональных данных и Оператором трудовых правоотношений.
4.12.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
5. ОТВЕТСТВЕННЫЙ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор распорядительным документом (приказом, распоряжением) назначает лицо, ответственное за организацию обработки персональных данных, как в информационных системах корпоративной информационной системы Оператора, в которых обрабатываются персональные данные, так и при обработке персональных данных без использования средств автоматизации (далее – Ответственный за организацию обработки персональных данных).
5.2. Ответственный за организацию обработки персональных данных получает указания непосредственно от Руководителя Оператора и подотчетен ему.
5.3. Ответственный за организацию обработки персональных данных обязан:
• осуществлять внутренний контроль за соблюдением Оператором (как оператором персональных данных) и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, внутренних нормативных документов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
• обеспечивать ведение и корректировку Списка работников Оператора, осуществляющих обработку персональных данных, в том числе в ИСПДн, либо имеющих доступ к персональным данным;
• осуществлять контроль сроков подготовки исполнителями ответов на запросы субъектов персональных данных или уполномоченного органа по защите прав субъектов персональных данных;
• обеспечивать регистрацию ответов на запросы субъектов персональных данных или уполномоченного органа по защите прав субъектов персональных данных;
• выполнять иные обязанности, предусмотренные настоящим Положением, трудовым договором с Ответственным за организацию обработки персональных данных и/или распорядительными актами Руководителя Оператора или лица, его замещающего.
На время отсутствия Ответственного за организацию обработки персональных данных его обязанности исполняет работник, замещающий его в соответствии с распорядительным актом Руководителя Оператора или лица, его замещающего.
5.4. На Ответственного за организацию обработки персональных данных возлагается задача по организации выполнения законодательных требований при обработке персональных данных Оператором.
5.5. Ответственными за организацию выполнения требований локальных нормативных актов Оператора по вопросам обработки персональных данных и их защите в структурных и обособленных подразделениях являются руководители этих подразделений. На время отсутствия руководителей ответственными являются лица, замещающие их. Руководители обособленных подразделений вправе назначить ответственными за отдельные вопросы по организации обработки персональных данных и их защите иных работников подразделения.
5.6. Ответственными за выполнение требований локальных нормативных актов Оператора по вопросам обработки персональных данных и их защите в подразделениях, работники которых в соответствии со своими должностными обязанностями уполномочены обрабатывать персональные данные, являются руководители этих подразделений. На время отсутствия этих руководителей ответственными являются лица, замещающие их.
5.7. Ответственными за выполнение требований локальных нормативных актов Оператора по вопросам обработки персональных данных и их защите на своих рабочих местах в рамках, определенных соответствующими должностными инструкциями являются лица, уполномоченные в установленном порядке обрабатывать у Оператора персональные данные.
5.8. Работники, уполномоченные обрабатывать персональные данные
5.8.1. Работники, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением, иными локальными нормативными актами Оператора, определяющими политику в отношении обработки персональных данных, и по вопросам обработки персональных данных.
5.8.2. Эти лица должны быть предупреждены о том, что обрабатываемые ими персональные данные могут быть использованы лишь в целях, установленных законодательством РФ и локальными нормативными актами Оператора, и они имеют право доступа только к тем персональным данным, обработка которых предусмотрена должностными обязанностями.
5.9. Ответственным за организацию и выполнение процедуры согласно п.п. 4.8.1 – 4.8.3 является работник структурного подразделения Оператора, уполномоченный на оформление соответствующих договорных отношений.
5.10. У Оператора должен быть установлен приказом Руководителя Оператора перечень работников, осуществляющих обработку персональных данных, в том числе в ИСПДн, либо имеющих доступ к персональным данным. Допускается указание работников в перечне (списке) на ролевой основе в соответствии с занимаемой должностью.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Процедура хранения персональных данных у Оператора проводится в порядке, который позволяет осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных,
6.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Данный порядок соответствует определенному в ч. 7 ст. 5 Федерального закона «О персональных данных» принципу обработки персональных данных.
6.3. Сроки хранения персональных данных у Оператора, в общем случае, определяются в соответствии со сроками, установленными приказом Министерства Культуры РФ от 25 августа 2010 года № 558 об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденный приказом Министерства культуры и массовых коммуникаций Российской Федерации от 31 июля 2007 года № 1182, а также иными требованиями законодательства РФ (по срокам исковой давности, по оформлению трудовых отношений и т.д.), нормативных документов федеральных органов исполнительной власти, локальных нормативных актах Оператора, документов, фиксирующих договорные отношения Оператора с субъектами персональных данных, и согласий субъектов на обработку персональных данных.
6.4. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации и локальными нормативными актами Оператора.
6.5. По истечении срока обработки персональные данные уничтожаются или обезличиваются, если иное не предусмотрено федеральным законом или нормативными документами Оператора. Хранение персональных данных после истечения срока хранения допускается только после их обезличивания.
7. ПРЕКРАЩЕНИЕ ОБРАБОТКИ, УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В случае выявления:
- неточных (неполных, устаревших) персональных данных;
- неправомерной обработки персональных данных
при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
Решение о блокировании предположительно неточных персональных данных / неправомерно обрабатываемых персональных данных соответствующего субъекта персональных данных принимает Ответственный за организацию обработки персональных данных.
Если при обращении субъекта персональных данных (его представителя) будут обнаружены неточные (неполные, устаревшие) персональные данные, которые можно в присутствии обратившегося и с его согласия оперативно скорректировать, то действия, приведенные в настоящем пункте, допускается не выполнять.
7.2. Основанием блокирования персональных данных, относящихся к соответствующему субъекту персональных данных, является:
7.2.1. Обращение или запрос субъекта персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
7.2.2. Обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
7.2.3. Обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.
7.3. Основанием для уничтожения персональных данных, обрабатываемых Оператором, является:
7.3.1. Достижение цели обработки персональных данных;
7.3.2. Утрата необходимости в достижении цели обработки персональных данных;
7.3.3. Отзыв субъектом персональных данных согласия на обработку своих персональных данных за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законом РФ или договором;
7.3.4. Выявление неправомерных действий с персональных данных и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
7.3.5. Истечение срока хранения персональных данных, установленного законодательством РФ и нормативными документами Оператора;
7.3.6. Предписание уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решение суда.
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
8.2. Основными мерами защиты персональных данных, используемыми Оператором, являются:
- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящем Положении, регулируются согласно положениям законодательства РФ.
9.2. Оператор имеет право вносить изменения в настоящее Положение. При внесении изменений в актуальной редакции указывается дата последнего обновления.
