1. Общие положения

1.1. Настоящее Положение по защите персональных данных (далее – Положение) разработано в соответствии с:

• Конституцией Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020);
• Трудовым кодексом Российской Федерации от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника» (далее – ТК РФ);
• Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных);
• Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Иными нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок обработки персональных данных Общества с ограниченной ответственностью «МОЛИЗЕ» (ИНН: 4345513265, ОГРН: 1214300008174) (далее – Оператор).

2. Понятия

2.1. В настоящем Положении используются следующие понятия:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);

Персональные данные, разрешенные Субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Работник – физическое лицо, с которым у Оператора заключен трудовой договор;

Контрагент – физическое лицо, с которым Оператор заключает договор в рамках своей хозяйственной деятельности;

Представитель контрагента – физическое лицо, представитель контрагента – юридического лица.

3. Цели, задачи и принципы обработки персональных данных

3.1. Главной целью при организации обработки персональных данных у Оператора является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3.2. Для реализации указанной цели Оператор определяет для себя следующие задачи:

3.2.1. Установить перечень необходимых обязанностей Оператора при обработке персональных данных и обеспечить их выполнение в процессе своей деятельности.

3.2.2. Разработать эффективную систему защиты обрабатываемых персональных данных.

3.2.3. Установить необходимый объем мероприятий для выполнения предыдущих двух задач.

3.2.4. На регулярной основе обеспечивать контроль и аудит за соответствием процессов обработки персональных данных требованиям законодательства Российской Федерации.

3.3. При обработке персональных данных Оператор руководствуется следующими принципами:

3.3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

3.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Персональные данные, обрабатываемые Оператором

4.1. Оператор осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

• Работники и уволенные работники Оператора;
• Родственники работников;
• Контрагенты и их представители.

4.2. Целями обработки персональных данных являются:

• Ведение кадрового и бухгалтерского учета;
• Подготовка, заключение и исполнение гражданско-правовых договоров;
• Продвижение товаров на рынке.

4.3. Для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения установлены в Приложении к настоящему Положению.

4.4. Оператор не получает и не обрабатывает персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъектов персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни Субъекта персональных данных только с его письменного согласия.

4.5. Оператор не получает и не обрабатывает персональные данные о членстве в общественных объединениях или профсоюзной деятельности субъектов персональных данных, за исключением случаев, предусмотренных действующим законодательством.

4.6. Оператор не получает и не обрабатывает сведения, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.

4.7. Биометрические персональные данные не обрабатываются.

5. Персональные данные, обрабатываемые Оператором

5.1. Персональные данные обрабатываются работниками Оператора, должностными обязанностями которых предусмотрена работа с персональными данными. Конкретные должностные обязанности установлены в соответствующих должностных инструкциях работников, локальных актах и приказах Оператора, принятых и изданных в целях организации процессов по обработке персональных данных.

5.2. Персональные данные обрабатываются в целях, установленных разделом 3 настоящего Положения.

5.3. Сбор персональных данных.

5.3.1. Сбор персональных данных и последующая их обработка осуществляются Оператором после получения от Субъекта персональных данных согласия на обработку персональных данных за исключением случаев, установленных действующим законодательством.

5.3.2. Оператор получает все персональные данные у Субъекта персональных данных лично. Если персональные данные Субъекта персональных данных возможно получить только у третьей стороны, то такие данные получаются Оператором при обязательном предварительном получении письменного согласия Субъекта персональных данных. При получении указанного согласия Оператор сообщает о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта персональных данных дать письменное согласие на их получение.

5.3.3. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

5.3.4. Письменное согласие Субъекта персональных данных на обработку своих персональных данных должно включать в себя:

• Фамилию, имя, отчество, адрес Субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• Фамилию, имя, отчество, адрес представителя Субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя Субъекта персональных данных);
• Наименование или фамилию, имя, отчество и адрес Оператора;
• Цель обработки персональных данных;
• Перечень персональных данных, на обработку которых дается согласие Субъекта персональных данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
• Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
• Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• Подпись субъекта персональных данных.

5.3.5. В случае отказа Субъекта персональных данных от дачи согласия на обработку персональных данных Оператор разъясняет Субъекту персональных данных юридические последствия такого отказа.

5.3.6. При сборе персональных данных Оператор предоставляет Субъекту персональных данных по его просьбе следующую информацию:

• Подтверждение факта обработки персональных данных Оператором;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые Оператором способы обработки персональных данных;
• Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• Информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Законом о персональных данных;
• Иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

5.4. Запись персональных данных.

5.4.1. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, а также дальнейшие систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5.4.2. Персональные данные Субъекта персональных данных записываются (фиксируются) на материальных (бумажных) носителях и/или в электронных формах (информационные системы, базы данных).

5.4.3. Персональные данные вносятся на основании предоставленных Субъектом персональных данных информации и в соответствии с предоставленными документами.

5.4.4. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные Субъектом персональных данных, с имеющимися у Субъекта персональных данных документами.

5.4.5. Оператор принимает все необходимые меры для обеспечения достоверности персональных данных на этапе их внесения.

5.5. Систематизация персональных данных.

5.5.1. При систематизации персональные данные упорядочиваются по категориям и структурируются в соответствии с целями обработки персональных данных.

5.6. Накопление персональных данных.

5.6.1. Персональные данные в рамках накопления собираются и аккумулируются в информационных системах или архивах в пределах, необходимых для выполнения целей обработки персональных данных.

5.6.2. Оператор обеспечивает контроль за объемом хранимых персональных данных в целях исключения хранения избыточного объема персональных данных.

5.7. Хранение персональных данных.

5.7.1. При организации хранения персональных данных Оператор принимает необходимые и достаточные меры для защиты персональных данных в порядке, предусмотренном разделом 8 настоящего Положения.

5.7.2. Сроки хранения персональных данных определяются действующим законодательством и внутренними регламентирующими документами Оператора.

5.7.3. При хранении персональных данных Оператор исходит из того, что оно должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не больше, чем этого требуют цели обработки персональных данных.

5.8. Уточнение (обновления, изменения) персональных данных.

5.8.1. По запросу Субъекта персональных данных, а также при выявлении неточностей персональные данные корректируются. Изменения вносятся в исходные носители и все связанные системы.

5.8.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

5.9. Извлечение персональных данных.

5.9.1. Персональные данные извлекаются (предоставляются) уполномоченным работникам Оператора в рамках их должностных обязанностей. Обеспечивается избирательный доступ в зависимости от полномочий работника на основе принципа минимальной необходимости.

5.10. Использование персональных данных.

5.10.1. Работа с персональными данными осуществляется Оператором строго в целях, для которых они были собраны.

5.10.2. Использование персональных данных в иных целях запрещается за исключением случаев, установленных законом.

5.10.3. Работники Оператора, имеющие доступ к персональным данным Субъектов персональных данных, обязаны соблюдать правила обработки персональных данных и обеспечивать ограничение доступа к персональным данным Субъектов персональных данных лицам, не уполномоченным для получения соответствующих сведений.

5.11. Передача (распространение, предоставление, доступ) персональных данных.

5.11.1. Доступ к персональным данным Субъекта персональных данных без получения специального разрешения имеют работники Оператора, определенные приказом Оператора.

5.11.2. Работники Оператора, имеющие доступ к персональным данным, имеют право получать только те персональные данные Субъекта персональных данных, которые необходимы для выполнения должностных обязанностей.

5.11.3. При приеме на работу работники Оператора дают обязательство не разглашать персональные данные Субъекта персональных данных, которые стали известны им в связи с исполнением ими трудовых обязанностей.

5.11.4. Передача персональных данных Субъекта персональных данных третьей стороне без письменного согласия указанного Субъекта персональных данных не разрешается, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в других случаях, предусмотренных действующим законодательством.

5.11.5. Для передачи персональных данных необходимо получить письменное согласие Субъекта персональных данных, из которого должно быть понятно, кому будут передаваться персональные данные Субъекта персональных данных и с какой целью.

5.11.6. Оператор обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.11.7. При передаче персональных данных третьим лицам Оператор обеспечивает меры защиты персональных данных (шифрование, соглашение о конфиденциальности).

5.11.8. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Оператора и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Субъекте персональных данных.

5.11.9. Передача информации, содержащей сведения о персональных данных Субъекта персональных данных, по телефону, факсу, электронной почте без письменного согласия Субъекта персональных данных запрещается.

5.11.10. Оператор распространяет персональные данные Субъекта только с его разрешения, данного в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, при соблюдении условий, установленных ст. 10.1 Закона о персональных данных. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий Субъекта персональных данных на обработку его персональных данных.

5.11.11. Оператор осуществляет последующее распространение или иную обработку персональных данных, раскрытых неопределенному кругу лиц самим Субъектом персональных данных, только при наличии доказательств законности таких действий.

5.12. Обезличивание персональных данных.

5.12.1. Для аналитики, статистики или тестирования систем Оператор вправе преобразовывать персональные данные таким образом, чтобы невозможно было определить их принадлежность конкретному субъекту без дополнительной информации.

5.13. Блокирование персональных данных.

5.13.1. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

5.13.2. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.

5.14. Удаление персональных данных.

5.14.1. По истечении срока хранения персональных данных или при отзыве Субъекта персональных данных согласия на обработку персональных данных, а также в иных установленных законом случаях, Оператор исключает персональные данные Субъекта персональных данных со всех носителей (материальных и электронных) и из всех информационных систем.

5.15. Оператор прекращает обработку персональных данных или обеспечивает прекращение обработки персональных данных лицом, действующим по поручению Оператора в следующих случаях:

• При выявлении неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора;
• При достижении целей обработки персональных данных;
• При обращении Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных.

5.16. Уничтожение персональных данных.

5.16.1. Оператор уничтожает обрабатываемые персональные данные или обеспечивает их уничтожение в следующих случаях:

• При неправомерной обработке персональных данных, если обеспечить ее правомерность невозможно;
• При достижении целей обработки персональных данных;
• При обращении Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных.

5.16.2. Уничтожение персональных данных происходит путем физического или технического уничтожения материальных и электронных носителей (шредирование, стирание данных без возможности восстановления).

5.16.3. При уничтожении персональных данных Оператор обеспечивает невозможность случайного доступа третьих лиц к персональным данным Субъекта персональных данных.

5.16.4. При уничтожении персональных данных Оператор оформляется акт об уничтожении.

5.17. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено действующим законодательством. В поручении Оператор определяет:

• Перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом;
• Цели обработки персональных данных;
• Обязанность третьего лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных;
• Обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных;
• Обязанность обеспечивать безопасность персональных данных при их обработке;
• Требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.

5.18. Оператор обрабатывает персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только после предварительного согласия субъекта персональных данных.

6. Права и обязанности Оператора

6.1. Оператор вправе требовать от Субъекта персональных данных – работника предоставления достоверных персональных данных (документов и информации), перечень которых установлен действующим трудовым законодательством. Представление подложных документов или ложных сведений является основанием для расторжения трудового договора.

6.2. Оператор вправе требовать от Субъекта персональных данных предоставления обновленных персональных данных (документов и информации) в случае изменения ранее представленных персональных данных.

6.3. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

6.4. Оператор обязан заключать договор, в котором не должно быть положений, ограничивающих права и свободы Субъекта персональных данных, устанавливающих случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положений, допускающих в качестве условия заключения договора бездействие Субъекта персональных данных.

6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан уведомить уполномоченный орган о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице - в течение суток с момента выявления такого инцидента Оператором, самим уполномоченным органом или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии) - в течение трех суток.

6.6. Оператор обязан ознакомить работников, их представителей под подпись с документами Оператора, устанавливающими порядок обработки персональных данных работников, а также их права и обязанности в этой области.

6.7. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператором определен состав и перечень следующих мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных:

6.7.1. Назначение ответственного лица за организацию обработки персональных данных (далее – Ответственный сотрудник). Ответственный сотрудник обязан:

• Осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• Доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• Организовывать прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
• Выполнять иные обязанности, возложенные на него локальными актами Оператора.

Ответственный сотрудник подотчетен руководителю Оператора. Руководитель Оператора вправе возложить обязанности Ответственного сотрудника на себя;

6.7.2. Издание политики в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

6.7.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;

6.7.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике в отношении обработки персональных данных Оператора, локальным актам Оператора. Решение о проведении мероприятий по внутреннему контролю и (или) аудиту принимается руководителем Оператора. Порядок и периодичность их проведения определяется приказом Руководителя;

6.7.5. Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
Решение о проведении мероприятий по оценке вреда принимается руководителем Оператора. Порядок их проведения определяется приказом Руководителя;

6.7.6. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими Политику в отношении обработки персональных данных Оператора, локальными актами по вопросам обработки персональных данных. При необходимости для работников Оператора Ответственным сотрудником проводятся обучающие мероприятия. Ответственный сотрудник является лицом, уполномоченным давать консультации для работников Оператора при возникновении у них вопросов в части применения законодательства Российской Федерации о персональных данных и локальных актов по вопросам обработки персональных данных.

7. Права и обязанности Субъекта персональных данных

7.1. Субъект персональных данных обязан передавать Оператору достоверные персональные данные (документы и информацию), перечень которых установлен действующим трудовым законодательством.

7.2. Субъект персональных данных обязан сообщать Оператору об изменении своих персональных данных.

7.3. Субъект персональных данных вправе получать информацию об имеющихся в распоряжении Оператора персональных данных о нем и информацию, касающуюся обработки его персональных данных, а также информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о персональных данных.

7.4. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.5. Субъект персональных данных вправе требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством или соглашением Сторон.

7.6. Субъект персональных данных вправе требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.7. Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.8. Субъект персональных данных вправе требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения.

8. Система защиты персональных данных

8.1. Оператором при обработке персональных данных принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. С указанной целью Оператором создана система защиты обрабатываемых персональных данных, которая включает в себя:

• Организационную структуру системы защиты;
• Меры, принимаемые для защиты персональных данных.

8.3. Организационная структура системы защиты обрабатываемых персональных данных Оператора является централизованной и определяет субъектов защиты персональных данных у Оператора и их функциональные обязанности:

8.3.1. Руководитель Оператора осуществляет общий контроль за функционированием системы защиты обрабатываемых персональных данных. Руководитель Оператора определяет порядок осуществляемых контрольных функций (проведение проверок, их сроки, частоту и формы (отчеты, запрос документов и т.д.)) путем издания приказа по мере возникновения необходимости.

8.3.2. Ответственный сотрудник обеспечивает организацию всех необходимых мероприятий по защите персональных данных, установленных настоящим Положением, Политикой обработки персональных данных Оператора и иными локальными актами Оператора, а также осуществляет первичный контроль за их реализацией.

8.3.3. Иные работники Оператора реализуют все необходимые мероприятия по защите персональных данных, установленные настоящим Положением, Политикой обработки персональных данных Оператора и иными локальными актами Оператора. Иные работники подчиняются Ответственному сотруднику и подотчетны ему.

8.4. Оператором принимаются или обеспечивается принятие следующих мер по защите персональных данных:

8.4.1. Правовые:

1) Разработка и утверждение локальных актов Оператора: Политики в отношении обработки персональных данных, Положения о защите персональных данных, иных документов, которыми регламентируется порядок функционирования системы защиты обрабатываемых персональных данных.
Указанные локальные акты могут быть разработаны как самостоятельно Оператором, так и с привлечением третьих лиц.

2) Осуществление мониторинга действующего законодательства и поддержание в актуальности документов, указанных в предыдущем подпункте.
Обязательным основанием для актуализации указанных документов является:

• Изменения законодательства, затрагивающие процессы организации системы защиты обрабатываемых персональных данных;
• Изменение процессов обработки и защиты персональных данных у Оператора;
• Требования надзорного органа.

3) Установление режима конфиденциальности в отношении персональных данных, который обеспечивается принятием мер, предусмотренных настоящим Положением и соответствующими локальными актами Оператора, принятыми в целях установления такого режима.

8.4.2. Организационные:

1) Организация режима обеспечения безопасности помещений, в которых хранятся персональные данные и размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
Руководителем Оператора определяются меры, необходимые для исключения неконтролируемого проникновения или пребывания в лиц, не имеющих права доступа в эти помещения, в том числе путем установления конкретных требований к этим помещениям.

2) Утверждение перечня лиц, доступ которых к обрабатываемым персональным данным необходим для выполнения ими должностных обязанностей.
Перечень лиц утверждается приказом руководителя, в котором указываются должность работника, категория субъектов персональных данных, к которым он имеет право получить доступ. С приказом должны быть ознакомлены все работники, принимающиеся на работу на должности, фигурирующие в перечне. При изменении штатного расписания Оператора, а также функционала должностей, включенного в него, приказом руководителя Оператора должен быть утвержден новый перечень лиц.

3) Учет машинных носителей и обеспечение сохранности носителей персональных данных.
Учет и сохранность носителей персональных данных обеспечивается следующими процедурами:

• Определением идентифицирующих признаков носителя для фиксации его наличия в порядке, предусмотренном настоящим пунктом;
• Определением места хранения носителя, которое в обязательном порядке должно располагаться только в помещениях, в отношении которых функционирует режим обеспечения безопасности помещений, установленный в пп. 1 настоящего пункта;
• Определением ответственного за хранение носителя из числа работников, утвержденных перечнем, указанным в пп. 2 настоящего пункта с указанием фамилии, имени и отчества, в случае, если у Оператора на определенную должность принято несколько работников;
• Установлением запрета на использование носителя вне помещений, указанных в пп. 1 настоящего пункта.

Вся указанная информация фиксируется в журнале учета носителей, который ведется Ответственным сотрудником.

4) Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных (далее – оценка эффективности).
Мероприятия по оценке эффективности проводятся на основании приказа руководителя Оператора, в котором фиксируется объем и порядок проведения таких мероприятий. По итогам проведения оценки эффективности делается заключение о достаточности принимаемых мер по обеспечению безопасности персональных данных либо о необходимости организации дополнительных мер либо корректировки существующих.

5) Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
Работники Оператора обязаны предупреждать о любом факте, свидетельствующем о несанкционированном доступе к персональным данным Ответственного сотрудника.
Обнаружение компьютерных атак осуществляется путем принятия технических мер.
Ответственный сотрудник фиксирует все факты несанкционированного доступа к персональным данным и компьютерных атак; инициирует проведение внутренних расследований с целью установления причин свершившихся фактов, выявления виновных лиц; а в случаях, установленных Законом о персональных данных, информирует уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, установленные Законом о персональных данных.
Меры по ликвидации последствий несанкционированного доступа к персональным данным и компьютерных атак определяются руководителем Оператора и реализуются в установленные сроки.
По результатам проведенных внутренних расследований в обязательном порядке определяется перечень мер, направленных на устранение причин, допустившим свершение несанкционированного доступа к персональным данным и компьютерной атаки.

8.4.3. Технические:

1) Применение средств защиты информации, в том числе для уничтожения персональных данных, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
При выборе средств защиты информации Оператор отдает предпочтение средствам защиты, имеющим сертификат соответствия (при наличии таких предложений на рынке).

2) Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены. При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.
Оператор самостоятельно определяет угрозы безопасности.

3) Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Оператором обеспечивается создание резервных копий персональных данных. Доступ к носителям, на которых хранятся резервные копии персональных данных, максимально ограничивается в порядке, предусмотренном настоящим Положением.

4) Создание учетных записей в информационных системах персональных данных, позволяющих ограничить доступ работников Оператора к персональным данным, которые не требуется для выполнения им своих непосредственных трудовых обязанностей.

5) Установление паролей на персональные компьютеры с целью минимизации несанкционированного доступа к персональным данным, обрабатываемых на нем.

8.4.4. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных осуществляется руководителем Оператора.

8.5. Меры, предусмотренные п. 8.4 настоящего раздела являются процедурами, направленными на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9. Ответственность за разглашение информации, связанной с персональными данными Субъектов персональных данных

9.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных Субъектов персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами РФ.

9.2. Моральный вред, причиненный Субъекту персональных данных, вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

10. Заключительные положения

10.1. Настоящее Положение является внутренним документом Оператора и утверждается приказом Оператора.

10.2. При внесении изменений в настоящее Положение новая редакция Положения утверждается приказом Оператора.

10.3. Требования настоящего Положения распространяются на всех работников Оператора.