Поиск по сайту
Расскажите о себе и мы перестроим сайт под ваши задачи
Я не отношусь ни к одной из категорий
связаться с нами


Спасибо, Ваше сообщение принято, мы свяжемся с Вами в ближайшее время

Политика сбора, хранения и обработки персональных данных

Утверждено приказом генерального директора

Общества с ограниченной ответственностью «НОВЫЕ РЕШЕНИЯ ДРАЙВА»

№2 от 31 декабря 2019 года

 

 

ПОЛОЖЕНИЕ (ПОЛИТИКА) ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Москва, 2019

 



1.   ОБЩИЕ ПОЛОЖЕНИЯ

1.1.         Настоящее Положение (Политика) об обработке и защите персональных данных (далее – Положение) определяет цели и способы обработки персональных данных в Обществе с ограниченной ответственностью «НОВЫЕ РШЕНИЯ ДРАЙВА» (далее – Предприятие), устанавливает порядок обработки и обеспечения безопасности персональных данных на Предприятии и учитывает требования Федерального закона от  27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), и иных нормативных правовых актов в сфере обработки и обеспечения безопасности персональных данных.

1.2.         Требования настоящего Положения распространяются на все процессы и информационные системы, в которых осуществляется обработка персональных данных на Предприятии.

1.3.         Положение обязательно для исполнения всеми работниками Предприятия, внешними совместителями и лицами, являющимися стороной по договору гражданско-правового характера или договору оказания услуг, участвующими в процессе обработки и обеспечения безопасности персональных данных на Предприятии.

1.4.         Персональные данные относятся к сведениям конфиденциального характера.  Необходимость обеспечения конфиденциальности персональных данных снимается в случае обработки обезличенных или общедоступных персональных данных или в случаях, предусмотренных законодательством Российской Федерации.

1.5.         Порядок обработки запросов субъектов персональных данных (или их представителей), а также уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, по вопросам обработки персональных данных на Предприятии определен во внутреннем регулирующем документе Предприятия «Регламент обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных». 

1.6.         Все лица, осуществляющие обработку и защиту персональных данных на Предприятии, в обязательном порядке должны быть ознакомлены с настоящим Положением, знать и соблюдать приведенные в нем требования. 

1.7.         Обработка и обеспечение безопасности персональных данных на предприятии осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации.

1.8.         В настоящем Положении используются следующие основные понятия:

-        персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-        оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

-        обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

-        автоматизированная обработка персональных данных - обработка персональных данных с помощью средств автоматизированная обработка персональных данных вычислительной техники;

-        неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

-        распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-        предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

-        блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

-        уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

-        обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 

2.   ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.         Предприятие осуществляет обработку ПДн следующих категорий субъектов персональных данных:

-      кандидаты на вакантные должности;

-      работники Предприятия, родственники работников Предприятия, в пределах, определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;

-      лица, входящие в органы управления Предприятия и не являющимися работниками;

-      физические лица, с которыми Предприятием заключаются договоры гражданско-правового характера;

-      представители юридических лиц – контрагентов Предприятия; 

-      посетители сайтов Предприятия;

-      физические лица, ПДн которых обрабатываются в интересах третьих лиц – операторов ПДн на основании договора (поручения операторов ПДн).

 

2.2.         Предприятие осуществляет обработку ПДн субъектов в следующих целях: ­ 

-      осуществления возложенных на Предприятие законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с законодательством, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом «О бухгалтерском учете» от 06.12.2011 г. № 402-ФЗ, Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Постановлением Правительства РФ от 23 ноября 2012 г. № 1213 «О требованиях к тахографам, категориях и видах оснащаемых ими транспортных средств, порядке оснащения транспортных средств тахографами, правилах их использования, обслуживания и контроля их работы, приказом Министерства транспорта Российской Федерации от 13 февраля 2013 г. № 36 «Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства» (Зарегистрировано в Минюсте РФ 7 марта 2013 г. Регистрационный N27574), а также уставом и локальными актами оператора ПДн. 

Работников в целях: ­ 

-      соблюдения трудового, налогового и пенсионного законодательства Российской Федерации; 

-      содействия работникам в трудоустройстве, обучении и продвижении по службе; 

-      расчета и начисления заработной платы; 

-      организация деловых поездок (командировок) работников; 

-      оформления доверенностей (в том числе для представления интересов Предприятия перед третьими лицами);

-      обеспечения личной безопасности работников; 

-      контроля количества и качества выполняемой работы; 

-      обеспечения сохранности имущества; 

-      соблюдения пропускного режима в помещениях Предприятия; 

-      учета рабочего времени; 

-      пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Предприятия; 

-      добровольного страхования жизни, здоровья и/или от несчастных случаев. 

 

Кандидатов на вакантные должности в целях: ­ 

-      принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии; 

 

Лиц, входящих в органы управления Предприятия, не являющихся работниками, в целях: ­

-      выполнения требований, предусмотренных законодательством, в т.ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок. 

 

Контрагентов-физических лиц в целях: ­ 

-      заключения и исполнения договора, одной из сторон которого является физическое лицо; ­ 

-      рассмотрения возможностей дальнейшего сотрудничества;

-      проведения информационных и рекламных рассылок;

-      организации участия заинтересованных лиц в конференциях;

-      создания и доступа к личным кабинетам сайтов;

-      рассмотрения и подготовки ответа на обращения физических лиц.

 

Представителей юридических лиц – контрагентов Предприятия в целях: ­ 

-      ведения переговоров, заключение и исполнение договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Предприятия;

-      рассмотрения возможностей дальнейшего сотрудничества;

-      проведения информационных и рекламных рассылок;

-      организации участия заинтересованных лиц в конференциях;

-      создания и доступа к личным кабинетам сайтов.

 

Физических лиц (владельцы и получатели карт тахографа), ПДн которых обрабатываются в интересах третьих лиц – операторов ПДн на основании договора в целях: ­ 

-      исполнения договоров – поручений операторов ПДн.

 

Родственников работников Предприятия в целях: ­ 

-      исполнения требований законодательства Российской Федерации; ­ 

-      предоставления дополнительных льгот; 

-      участия в корпоративных мероприятиях. 

 

Лиц, подписавшихся на рассылку информационных и рекламных сообщений, лиц, зарегистрированных на сайте Предприятия:

-      проведения информационных и рекламных рассылок; 

-      создания и доступа к личным кабинетам сайтов;

-      рассмотрения и ответа на обращения физических лиц.

 

2.3.         Предприятие не имеет права получать и обрабатывать ПДн, касающиеся расовой, национальнойпринадлежности, политических взглядов, религиозных или философских убеждений, состоянияздоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

2.4.         Перечень действий с ПДн, которые могут осуществляться Предприятием при обработке ПДн субъектов:

-      сбор;

-      запись;

-      систематизация; 

-      накопление;

-      хранение;

-      уточнение (обновление, изменение); 

-      извлечение;

-      использование;

-      передача (распространение, предоставление, доступ);

-      обезличивание;

-      блокирование; 

-      удаление;

-      уничтожение.

2.5.         Предприятие осуществляет обработку ПДн, как с использованием средств автоматизации, так и безиспользования таких средств.

 

3.   УСЛОВИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.         Обработка ПДн на Предприятии осуществляется только с соблюдением следующих принципов:

¾    обработка ПДн осуществляется на законной и справедливой основе;

¾    ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, судопроизводства;

¾    определение конкретных законных целей до начала обработки (в т.ч. сбора) ПДн;

¾    ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;

¾    объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой не допускается; 

¾    обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

¾    обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей;

¾    обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2.         Содержание, объем и способы обработки ПДн должны соответствовать заявленным целям обработки.Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

3.3.         При обработке ПДн должны быть обеспечены их точность, достаточность и актуальность по отношениюк целям обработки ПДн. Необходимо принимать меры либо обеспечивать их принятие по удалениюили уточнению неполных или неточных ПДн.

3.4.         Предприятие не имеет права основываться на ПДн, полученных исключительно в результатеих автоматизированной обработки или электронного получения, при принятии решений,затрагивающих интересы субъекта и порождающих юридические последствия.

3.5.         Работникам, получившим доступ к ПДн, обрабатываемым на Предприятии, запрещаетсяраскрывать их работникам Предприятия, не имеющим отношение к обработке ПДн, а такжетретьим лицам (не являющимся работниками       или внешними совместителями Предприятия) и распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.

3.6.         В целях организации трудового взаимодействия и поддержания корпоративной культуры наПредприятии могут создаваться общедоступные источники ПДн. Сведения о работниках включаютсяв данные источники только после получения соответствующего согласия (см. Приложение 1 настоящего Положения).

3.7.         Сроки хранения ПДн не должны быть дольше, чем этого требуют цели обработки ПДн, или должныопределяться в соответствии с требованиями федеральных законов, сроками действия договоровстороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

 

4.   ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1.      ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.1         При приеме на работу на Предприятие с работников Предприятия взимается согласие на обработкуПДн в соответствии с формой, приведенной в Приложении 1 настоящего Положения.

4.1.2         Если ПДн работника возможно получить только у третьей стороны, то работник должен бытьуведомлен об этом заранее, и от него должно быть получено письменное согласие. Предприятиедолжно сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также охарактере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение.

4.1.3         Типовая форма анкеты кандидата на вакантную должность должна содержать согласие кандидата на обработку его персональных данных на Предприятии.

4.1.4         В       случае         получения    резюме        кандидата    посредством  электронной почты и заинтересованности в дальнейшем сотрудничестве Предприятию необходимо провести дополнительные мероприятия, направленные на подтверждение факта направления, указанного резюме самимкандидатом (личная встреча, обратная связь посредством электронной почты и пр.). В случаеневозможности однозначного определения физического лица, направившего резюмепосредством электронной почты, или незаинтересованности в дальнейшем сотрудничестве с данным кандидатом, данное резюме должно быть уничтожено в день поступления.

4.1.5         С контрагентов Предприятия согласие на обработку ПДн взимается:

-       в рамках дополнения к анкете контрагента до заключения договора;

-       в рамках дополнения к договору, стороной которого является контрагент Предприятия; 

-       при предоставлении услуг, которые предполагают обработку ПДн до заключения договора;

-       в электронной форме на официальном сайте Предприятия при регистрации.

4.1.6         Согласие с контрагентов взимается отдельным документом (см. Приложение 2 настоящего Положения). 

4.1.7         Согласие, подлежащее включению в виде дополнения к договору, подписываемый и/или заключаемый     с контрагентом юридическим лицом, предоставляющим Предприятию сведения, содержащие персональные данные уполномоченных лиц такого юридического лица, должно содержать все положения типовой формы согласия, приведенной в Приложении 2 настоящего Положения, при этом, в случае необходимости, структура и содержание данного согласия могут быть дополнены иной информацией или изменены, в зависимости от характера заключаемого договора. В таком случае согласие должно быть согласовано с Ответственным за организацию обработки ПДн.

4.1.8         Согласие на обработку ПДн клиентов контрагентов Предприятия взимается контрагентом Предприятия до передачи ПДн субъекта ПДн Предприятию в целях исполнения договора. Форма согласия в данном случае устанавливается контрагентом Предприятия. 

4.1.9         Если получение ПДн возможно только у третьей стороны, субъект ПДн должен быть заранееуведомлен об этом в соответствии с ч.3 ст. 18 ФЗ № 152-ФЗ «О персональных данных». Предприятиеможет не уведомлять о получении ПДн субъекта персональных данных в случаях, если:

-      ПДн получены в связи с исполнением договора, стороной которого либо выгодоприобретателем илипоручителем, по которому является субъект ПДн; 

-      персональные данные получены из общедоступного источника;

-      в иных случаях, предусмотренных законодательством РФ.

4.1.10         Получение согласия субъекта ПДн Предприятием не требуется, если Предприятие обрабатываетПДн, на основании договора, заключенного с оператором этих ПДн.

 

4.2.      ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИСПОЛЬЗОВАНИЕ НОСИТЕЛЕЙ

4.2.1         Хранение ПДн субъектов ПДн не должны быть дольше, чем этого требуют цели обработки ПДн,или должны определяться в соответствии с требованиями федеральных законов, срокамидействия договоров стороной которого, выгодоприобретателем или поручителем, по которомуявляется субъект ПДн, в информационных системах ПДн и (или) на материальных носителях(электронных, бумажных). Персональные данные на бумажных носителях должны храниться в течениеустановленных сроков. Хранение ПДн в информационных системах ПДн и на электронных носителяхдолжно быть прекращено в случае достижения целей хранения ПДн (если иное не установлено требованиями федеральных законов или договором с субъектом ПДн). 

4.2.2         При хранении материальных носителей на Предприятии должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный   доступ к ним третьих лиц. Материальные, в том числе съемные, носители ПДн должны храниться в сейфе или запираемом шкафу.

4.2.3         На Предприятии должен осуществляться учет машинных носителей ПДн, использование которыхнеобходимо для выполнения должностных обязанностей и исполнения локальных актов Предприятия, а именно:

-флеш-накопителей;

-внешних жестких дисков;

-иных съемных машинных носителей персональных данных.

4.2.4         Использование съемных носителей ПДн разрешено только для производственных целей и исполнения должностных обязанностей. Допускается использование           только учтенных носителей, которые являются собственностью Предприятия.

4.2.5         При использовании съемных носителей информации для записи и хранения ПДн они подлежатобязательному учету Ответственным за учет носителей ПДн в Журнале учета съемныхносителей ПДн, приведенном в Приложении 4 настоящего Положения.

 

4.3.      ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

4.3.1         Передача ПДн сторонним лицам (организациям) возможна только с согласия субъектаперсональных данных или в случаях и порядке, предусмотренном действующим законодательством РФ и настоящим Положением.

4.3.2         Передача   носителей   ПДн осуществляется лично работником Предприятия или с использованиемкурьерской службы, обеспечивающей необходимые требования по защите передаваемых носителей.Необходимо осуществлять передачу ПДн в защищенном от несанкционированного доступа виде,что гарантирует конфиденциальность и целостность передаваемых данных.

4.3.3         Передача ПДн по каналам связи осуществляется с использованием защищенных каналов или сприменением средств защиты информации от раскрытия и модификации.

4.3.4         Если Предприятие на основании договора передает другому лицу (в том числе предоставляетдоступ) к ПДн субъектов ПДн, существенным условием договора с этим лицом являетсяобязанность обеспечения указанным лицом конфиденциальности ПДн и их безопасности при обработке.

4.3.5         Если Предприятие поручает обработку ПДн с согласия субъекта ПДн другому лицу, в данномдоговоре в обязательном порядке должны быть определены:

-      перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПДн;

-      цели обработки;

-      должна быть установлена обязанность такого лица соблюдать конфиденциальность персональныхданных и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования кзащите обрабатываемых ПДн в соответствии со статьёй 19 152-ФЗ «О персональных данных» изаконодательством Российской Федерации в области защиты персональных данных.

4.3.6         Ответственность за действия лица, которое обрабатывает ПДн по поручению, несет Предприятие.Лицо, которое обрабатывает ПДн по поручению, несет ответственность перед Предприятием.

4.3.7         Руководители подразделений, инициирующих заключение договоров на передачу ПДн и (или) поручение их обработки, должны учитывать требования пп. 5.3.4, 5.3.5 настоящего Положения.

4.3.8         При заключении договоров с юридическими или физическими лицами на услуги, включающие, втом числе, передачу Предприятием ПДн вышеуказанным лицам, руководители подразделений,инициирующих такое заключение, должны предоставить Ответственному за организацию обработки ПДн следующую информацию:

-    наименование или фамилия, имя, отчество третьего лица;

-    адрес третьего лица;

-    цели передачи персональных данных,

-    также информировать Ответственного за организацию обработки персональных данных об изменении вышеуказанных сведений.

4.3.9         Работники Предприятия, получающие ПДн, обязаны использовать эти данные исключительно вцелях, для которых они сообщены. Передача ПДн возможна только работникам, которым доступ кпередаваемым ПДн необходим для исполнения должностных обязанностей.

4.3.10         В целях исполнения запросов иностранных партнеров Предприятие может осуществлять трансграничную передачу ПДн, обеспечивающую адекватную защиту прав субъектов ПДн.

4.3.11         В случаях осуществления трансграничной передачи необходимым условием является наличиесоответствующего согласия субъекта ПДн. Предприятие может осуществлять передачу ПДн, приусловиях обеспечения адекватной защиты прав субъектов ПДн и наличия соответствующего согласия со стороны субъектов ПДн.

 

4.4.      ПРЕКРАЩЕНИЕ ОБРАБОТКИ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.4.1         Прекращение обработки и при необходимости уничтожение ПДн на Предприятии осуществляется вследующих случаях с соблюдением требований законодательства РФ:

-      истечение определенного срока хранения и обработки ПДн;

-      достижение или утрата необходимости в достижении цели обработки ПДн;

-      отзыв субъектом персональных данных (или его представителя) согласия на обработку своих ПДн(присутствии других законных оснований на обработку ПДн);

-      выявление недостоверных персональных данных или неправомерной обработки ПДн;

-      истечение срока или прекращения действия договора с оператором ПДн, в соответствии скоторым Предприятием осуществляется обработка и хранение ПДн.

4.4.2         Предприятие незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн, еслииное не предусмотрено законодательством РФ, в течение 30 (тридцати) дней с момента наступления следующих случаев:

-      достижение целей обработки ПДн;

-      отзыв субъектом персональных данных или его представителем согласия на обработку своих ПДн.

4.4.3         В случае выявления неправомерной обработки ПДн Предприятие в течение 3 (трех) рабочих дней сдаты такого выявления прекращает обработку этих данных. В случае невозможности устранениядопущенных нарушений Предприятие проводит уничтожение ПДн в течение 10 (десяти) рабочих днейс даты выявления неправомерной обработки ПДн, и уведомляет об этом субъекта ПДн (или его представителя) или уполномоченного органа по защите прав субъектов.

4.4.4         В случае невозможности уничтожения ПДн в течение указанного срока Предприятие осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Предприятия) и обеспечивает уничтожение ПДн в срок не более чем в шесть месяцев, если иной срок не установлен федеральными законами. 

4.4.5         В случае истечения срока или прекращения действия договора с оператором ПДн, в соответствии с которым Предприятием осуществляется обработка ПДн, прекращение обработки и уничтожение ПДносуществляется в соответствии с положениями соответствующего договора с учетом требованийзаконодательства РФ.

4.4.6         Процедуры прекращения обработки ПДн при получении запросов от субъекта ПДн (или егопредставителя) или уполномоченного органа по защите прав субъектов ПДн описаны в Регламенте обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных. 

4.4.7         Уничтожение ПДн должно быть выполнено необратимым (не позволяющим восстановить данные впоследствии) способом.

 

4.5.     ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

 

4.5.1       При обработке на Предприятии ПДн на бумажных носителях должны соблюдаться требования«Положение об особенностях обработки персональных данных, осуществляемой    без использования  средств автоматизации», утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.

4.5.2       При обработке ПДн без использования средств автоматизации ПДн должны обособляться от инойинформации, в частности, путем их фиксации на отдельных материальных носителях ПДн, вспециальных разделах. Не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы.

4.5.3       При использовании типовых форм документов, характер информации в которых предполагаетили допускает включение в них ПДн, данные типовые формы или документы, связанные с ними(инструкции по их заполнению, карточки, реестры, журналы) должны содержать:

-    сведения о целях обработки персональных данных; 

-    наименование и адрес Предприятия;

-    фамилию, имя, отчество и адрес субъекта ПДн; 

-    источник получения персональных данных;

-    сроки обработки персональных данных;

-    перечень действий с ПДн, которые будут совершаться в процессе их обработки;

-    общее описание используемых Предприятием способов обработки ПДн;

-    согласие на обработку ПДн без использования средств автоматизации (при необходимости получения письменного согласия).

4.5.4       Типовая форма документа должна исключать объединение полей, предназначенных для внесенияперсональных данных, которые будут обрабатываться в целях несовместимых между собой. Типоваяформа документа должна позволять субъекту ПДн ознакомиться со своими ПДн, содержащимися вдокументе, не нарушая прав и законных интересов иных субъектов персональных данных.

4.5.5       Материальные носители ПДн (бумажные носители), по достижении целей обработки или окончаниясроков хранения содержащихся на них ПДн, подлежат уничтожению в соответствии с п. 5.4 настоящего Положения, если иное не предусмотрено законодательством РФ.

4.5.6       Обработка ПДн на бумажных носителях должна осуществляться таким образом, чтобы в отношениикаждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

4.5.7       Перечень работников, имеющих доступ к материальным носителям ПДн (бумажным носителям)определяется на основании Перечня мест хранения материальных носителей      ПДн, обрабатываемых без использования средств автоматизации в соответствии с формой в Приложении 4.

4.5.8       Перечень мест хранения материальных носителей ПДн, обрабатываемых без использования средствавтоматизации, определяется отдельно для каждого подразделения, в котором персональныеданные хранятся на бумажных носителях, и ведется руководителем данного подразделения.

 

5.   ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

5.1.       Работники Предприятия имеют право получать доступ только к тем ПДн субъектов ПДн, которые имнеобходимы для выполнения должностных обязанностей. Перечень работников, имеющих доступ кПДн в связи с выполнением должностных обязанностей, определяется штатным расписаниемПредприятием.

5.2.       Доступ к информационным системам персональных данных Предприятия предоставляется в соответствиис должностной инструкцией работника. 

5.3.       Работники допускаются к обработке ПДн только после ознакомления с настоящим Положением.

5.4.       Предоставление доступа к ПДн и их обработка работниками Предприятия осуществляется в помещениях в пределах                    контролируемой зоны Предприятия.

5.5.       В случае если Предприятию оказывают услуги физические или юридические лица, доступ к ПДн этимилицами осуществляется на основании договора на оказание услуг Предприятию, содержащегообязательства данного лица о неразглашении конфиденциальной информации согласно п. 5.3.4настоящего Положения, и при наличии согласия субъекта ПДн или других законных оснований.

5.6.       Представители органов государственной власти получают доступ к ПДн, обрабатываемым на Предприятии,в объеме и порядке, установленном законодательством РФ.

 

6.     МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1.        ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.1.   Предприятием обеспечивается защита ПДн от неправомерного или случайного доступа к ним,уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иныхнеправомерных действий при обработке ПДн. Защите подлежат:  

-      документы, содержащие ПДн;

-      электронные носители информации, содержащие ПДн; 

-      информационные системы ПДн;

-      компьютерная сеть передачи информации.

6.1.2.   Для каждой информационной системы персональных данных должны быть определены: 

-      цель и сроки обработки ПДн;

-      состав обрабатываемых ПДн;

-      категории субъектов ПДн, к которым относятся обрабатываемые в информационной системе ПДн данные;

-      перечень действий с персональными данными и способы их обработки;

6.1.3.   Для организации ограничения доступа к помещениям, в которых осуществляется обработка ПДн,используются следующие меры:

-      определение контролируемой зоны и помещений, предназначенных для обработки ПДн;

-      предотвращение несанкционированного доступа в данные помещения; 

-      установление пропускного режима;

-      использование технических средств охраны и сигнализации.

 

6.2.        ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.2.1.   Безопасность ПДн при их обработке в информационных системах ПДн обеспечивается с помощьюсистемы защиты ПДн, реализующей совокупность организационных и технических мероприятий позащите информации.

6.2.2.   К таким мерам в соответствии с Законом, в частности, относятся: ­ 

-      назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн; ­ 

-      разработка и утверждение локальных актов по вопросам обработки и защиты ПДн; ­

·      применение правовых, организационных и технических мер по обеспечению безопасности ПДн: определение угроз безопасности ПДн при их обработке в информационных системах ПДн; 

·      применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн; 

·      применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

·      оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн; 

·      учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;

·      обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;

·      восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;  

·      установление правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных. ­ 

-      контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн; ­ 

-      оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Предприятием мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом; ­

-      соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн; ­ 

-      ознакомление работников Предприятия, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Предприятия.

7.    ОСОБЕННОСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОБИРАЕМЫХ  ПРЕДПРИЯТИЕМ С ИСПОЛЬЗОВАНИЕМ СЕТИ ИНТЕРНЕТ

7.1.        Предприятие обрабатывает и защищает ПДн, поступающие от пользователей Cайта www.atoldrive.ru, www.partners.atoldrive.ru, а также поступающие на адрес корпоративной почты Предприятия, заканчивающиеся на @atol.ru. 

7.2.        Сбор ПДн осуществляется посредствам предоставления ПДн (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) субъектами ПДн путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Предприятия. 

7.3.        Предприятие вправе пользоваться предоставленными ПДн в соответствии с заявленными целями их сбора при наличии согласия субъекта ПДн, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области ПДн.

7.4.        Предприятие может поручать обработку ПДн третьим лицам исключительно с согласия субъекта ПДн. Также ПДн могут передаваться третьим лицам в следующих случаях: 

а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр. 

б) ПДн не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта ПДн.  

7.5.        Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация, в том числе ссылки на такие ресурсы как: https://facebook.com/atoldrivehttps://vk.com/atoldrivehttps://t.me/atoldrivehttp://ok.ru/atoldrivehttps://youtube.com/atoldrivehttps://instagram.com/atoldrive

7.6.        При этом действие настоящего Положения не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с положениями (политиками) об обработке ПДн, размещенными на таких сайтах.

7.7.        Пользователь Сайта может в любое время отозвать свое согласие на обработку ПДн, направив электронное сообщение по адресу электронной почты: tacho@atol.ru, либо направив письменное уведомление по адресу Предприятия: 127015, Россия, г. Москва, ул. Новодмитровская Б, д.14, строение 2, этаж техн. пом. I ком. 3. После получения такого сообщения обработка ПДн пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.

7.8.        Сайт, интерактивные услуги, сообщения электронной почты и любые иные коммуникации от лица Предприятия могут использовать идентификационные файлы, включая, но не ограничиваясь cookies и такие как: пиксельные ярлыки (pixel tags), веб-маяки (web beacons). Такие технологии помогают нам лучше понимать поведение пользователей, сообщают нам, какие разделы нашего сайта были посещены пользователями, и измеряют эффективность рекламы и сетевых поисков. Мы собираем и рассматриваем информацию, собираемую файлами cookies и иными технологиями как информацию обезличенную или не являющуюся персональной

7.9.        Нашей целью в таких случаях является обеспечение более удобного и персонального взаимодействия с Предприятием. Например, зная имя Пользователя Сайта, Предприятие может использовать его в коммуникациях. Зная, что кто-либо, используя компьютер или устройство Пользователя, приобрел определённый продукт или воспользовался определенной услугой, Предприятие может обеспечивать более полное соответствие интересам Пользователя рекламных сообщений и сообщений электронной почты. В конечном итоге все эти данные помогают Предприятию предоставлять Пользователю Сайта обслуживание высшего качества.

7.10.     Если Пользователь Сайта отключит cookies в настройках используемого веб-браузера или мобильного устройства, следует учесть, что некоторые функции Сайта могут стать недоступными после их отключения.

7.11.     Пиксельные ярлыки позволяют Предприятию направлять сообщения электронной почты в формате, читаемом Пользователями Сайта, и сообщают Предприятию, были ли такие сообщения прочитаны. Мы можем использовать такую информацию для ограничения количества направляемых потребителям сообщений или прекращения их направления.

8.    ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.        Субъект ПДн имеет право на получение сведений об обработке своих ПДн, вправе требовать ихуточнения, блокирования или уничтожения в случае, если персональные данные являются неполными,устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.2.        Субъект ПДн при обращении на Предприятие имеет право на получение информации, касающейся обработкиего персональных данных, в том числе содержащей:

-      подтверждение факта обработки его ПДн;

-      правовые основания, цели и способы обработки ПДн; 

-      наименование и место нахождения Предприятия;

-      сведения о лицах (за исключением работников Предприятия), которые имеют доступ к ПДн или которыммогут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

-      состав обрабатываемых ПДн субъекта ПДн, источник их получения;

-      сроки обработки ПДн, в том числе сроки их хранения;

-      порядок осуществления субъектом ПДн прав, предусмотренных Законом;

-      информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

-      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн попоручению Предприятия, если такая обработка осуществляется;

-      сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его ПДн.

-      иные сведения, предусмотренные ст. 89 ТК РФ и иными нормативными и правовыми документами РФ.

8.3.        Право субъекта ПДн на доступ к своим ПДн может быть ограничено в соответствии с федеральнымизаконами, в том числе если:

-      обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации(отмыванию) доходов, полученных преступным путем, и финансированию терроризма или иныминормативными актами;

-      доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

8.4.        Субъект ПДн имеет право обжаловать в уполномоченный орган по защите прав субъектов ПДн или всудебном порядке неправомерные действия или бездействия Предприятия при обработке и защите его ПДн.

8.5.        Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

9.     ОТВЕТСТВЕННОСТЬ

9.1.           Ответственный за организацию обработки ПДн, обеспечивает:

-           внутренний контроль над соблюдением Предприятием и работниками законодательства о ПДн,внутренних регулирующих документов, в том числе требований к защите ПДн;

-           доведение до сведения работников Предприятия положения законодательства о ПДн, внутреннихрегулирующих документов по вопросам обработки ПДн, требований к защите ПДн;

-           контроль приема и обработки обращений и запросов субъектов ПДн или их представителей иуполномоченного органа по защите прав субъектов ПДн.

9.2.           Администрация Предприятия несет ответственность за организацию и обеспечение защиты ПДн,обрабатываемых на Предприятии.

9.3.           Ответственный за организацию хранения носителей ПДн обеспечивает: 

-           регистрацию и учет съемных носителей ПДн;

-           контроль над соблюдением работниками Предприятия сохранности съемных носителей ПДн.

9.4.           Руководители  подразделений несут ответственность за соблюдение требований настоящего Положения в подчиненном подразделении. 

9.5.           Руководители подразделений, в которых обрабатываются ПДн на бумажных носителях, являютсяответственными за организацию хранения материальных носителей ПДн, предоставление доступа кместам хранения таких носителей, а также за ведение и поддержание в актуальном состоянииПеречня мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации.

9.6.           Работники, допущенные к обработке ПДн на Предприятии, несут персональную ответственность за:

-           несанкционированное распространение указанных ПДн;

-           соблюдение требований законодательства РФ в части обеспечения безопасности ПДн, а такжеустановленного настоящим Положением и иными внутренними регулирующими документами наПредприятии порядка обработки и обеспечения безопасности в отношении ПДн;

-           сохранность носителя, содержащего ПДн, в случае его получения работником для выполнения должностныхобязанностей.

9.7.           Работники, допущенные к обработке ПДн на Предприятии, обязаны докладывать непосредственномуруководителю и/или Ответственному за организацию обработки ПДн обо всех фактах и попыткахнесанкционированного доступа к ПДн.

9.8.           Работники, виновные в нарушении норм, регулирующих обработку и защиту ПДн,обрабатываемых на Предприятии, несут дисциплинарную, административную,  гражданско-правовую, уголовную и иную предусмотренную законодательством РФ ответственность.

10.  ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1.        Настоящее Положение является локальным нормативным актом Предприятия. Настоящее Положение является общедоступным. Общедоступность настоящего Положения обеспечивается публикацией на Сайте Предприятия.

10.2.        Настоящее Положение может быть пересмотрено в любом из следующих случаев: ­ 

-      при изменении законодательства Российской Федерации в области обработки и защиты ПДн; ­ 

-      в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Положения;

-      по решению руководства Предприятия; ­ 

-      при изменении целей и сроков обработки ПДн; ­ 

-      при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых); ­ 

-      при применении новых технологий обработки и защиты ПДн (в т. ч. передачи, хранения);

-      при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Предприятия.

10.3.        В случае неисполнения положений настоящего Положения Предприятие и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации. Контроль исполнения требований настоящего Положения осуществляется лицами, ответственными за организацию обработки ПДн Предприятия, а также за безопасность ПДн.

Скачать полный текст Положения с Приложениями к настоящему Положению

Мы используем файлы cookie для того, чтобы предоставить Вам больше возможностей при использовании сайта. Принять