Приложение № 2к приказу ООО «Инженерные технологии»
от 15.04.2024 № 04/24
ПОЛОЖЕНИЕоб организации обработки и обеспечении безопасности персональных данных в ООО «Инженерные технологии»1. Общие положения
1.1. Настоящее Положение об организации обработки и обеспечении безопасности персональных данных в ООО «Инженерные технологии» (далее – Положение) определяет способы реализации законодательства о защиты ПДн cубъектов в ООО «Инженерные технологии».
1.2. Положение обязательно для исполнения всеми лицами, непосредственно осуществляющими обработку и защиту ПДн у Оператора. Нарушение порядка обработки и защиты ПДн, определенного настоящим Положением, влечет за собой материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с нормами действующего законодательства Российской Федерации.
1.3. Положение вступает в силу после его утверждения приказом за подписью Генерального директора ООО «Инженерные технологии». Все изменения в Положение вносятся на основании решения Генерального директора в установленном порядке.
1.4. Требования Положения распространяются в том числе на обработку данных, не позволяющих идентифицировать субъекта, а также персональных данных, сделанных общедоступными Субъектом.
1.5. Требования Положения не распространяются на отношения, возникающие:
- при организации хранения, комплектования, учета и использования содержащих ПДн
документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
- при обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим коммерческую тайну.
2. Термины и определения В настоящем Положении применяются следующие термины, определения и сокращения.
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Блокирование ПДн – временное прекращение сбора (за исключением случаев, если сбор необходим для уточнения ПДн), записи, систематизации, накопления, использования, передачи ПДн.
Закон № 152-ФЗ –
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Изменение – действия, направленные на модификацию значений ПДн.
Информационная система ПДн (
ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Использование ПДн – действия (операции) с ПДн, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Неавтоматизированная обработка ПДн – обработка ПДн без использования средств автоматизации: обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека. Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.
Обновление ПДн – действия, направленные на приведение записанных ПДн в соответствие с состоянием данных, определенным в конкретный момент времени.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
Общество – общество с ограниченной ответственностью
«Инженерные технологии» (ООО «Инженерные технологии»).
Оператор – общество с ограниченной ответственностью
«Инженерные технологии», осуществляющее обработку ПДн, определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (
ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн).
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Специальные категории ПДн – ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Субъект (ПДн) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение ПДн – действия, в результате которых становится невозможно восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Уничтожение части ПДн – действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту.
3. Обработка и использование ПДн 3.1. Принципы обработки ПДн.
Оператор при обработке ПДн Субъекта соблюдает следующие общие требования.
3.1.1. Обработка ПДн должна осуществляться на законной основе.
3.1.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, не совместимая с целями сбора ПДн.
3.1.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой.
3.1.4. Обработке подлежат только ПДн, которые отвечают целям их обработки.
3.1.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
3.1.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях – и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры (либо обеспечивать их принятие) по удалению или уточнению неполных или неточных данных.
3.1.7. Хранение ПДн должно осуществляться в форме, позволяющей определить Субъекта не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.2. Цели обработки ПДн, категории субъектов ПДн, состав обрабатываемых ПДн.
Цели обработки ПДн, категории субъектов ПДн, состав обрабатываемых ПДн определены в Политике обработки персональных данных в ООО «Инженерные технологии».
3.3. Общие условия обработки ПДн.
3.3.1. Обработка ПДн в Обществе осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации и настоящим Положением. Обработка ПДн допускается в следующих случаях.
3.3.2. Обработка ПДн осуществляется с согласия Cубъекта на обработку его ПДн.
3.3.3. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
3.3.4. Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3.3.5. Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению согласно законодательству Российской Федерации об исполнительном производстве.
3.3.6. Обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию Субъекта на Едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
3.3.7. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Cубъект будет являться выгодоприобретателем или поручителем.
3.3.8. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение согласия невозможно.
3.3.9. Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта.
3.3.10. Обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта.
3.3.11. Обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
3.3.12. Обработка ПДн, полученных в результате обезличивания ПДн, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных”» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами.
3.3.13. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3.14. В случаях, предусмотренных законодательством Российской Федерации, обработка ПДн осуществляется только с согласия в письменной форме Субъекта. Согласие в письменной форме должно включать в себя:
- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя Субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя Субъекта);
- наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие Субъекта;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дает согласие Субъект;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись Субъекта.
3.3.15. Согласие работников на обработку их ПДн оформляется в соответствии с Приложением № 1 к настоящему Положению.
3.3.16. Согласие иных субъектов на обработку ПДн осуществляется путем ознакомления и подписания условий обработки ПДн клиентов Общества, в том числе размещенных на официальном сайте Общества.
3.3.17. Оператор не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области ПДн к специальным категориям ПДн, а также ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
3.3.18. При принятии решений, затрагивающих интересы работника, Оператор не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3.19. Решение, порождающее юридические последствия в отношении Субъекта или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме Субъекта.
3.3.20. Защита ПДн работника от неправомерного их использования или утраты обеспечивается Оператором за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
3.3.21. Оператор вправе поручить обработку ПДн третьему лицу (Приложение № 2 к настоящему Положению) с согласия Субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона № 152-ФЗ.
3.3.22. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие Субъекта на обработку его ПДн.
3.3.23. В случае если оператор поручает обработку ПДн другому лицу, ответственность перед Субъектом за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед Оператором.
3.4. Порядок и условия хранения ПДн.
3.4.1. Хранение ПДн должно осуществляться в порядке, исключающем их утрату или их неправомерное использование. Ответственность за хранение ПДн, содержащихся на бумажных носителях, возлагается на начальников СТО, отдела по работе с персоналом. Ответственность за хранение ПДн, содержащихся на электронных носителях, возлагается на руководителей соответствующих структурных подразделений.
3.4.2. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пп. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152-ФЗ.
3.4.3. Бумажные носители ПДн, обрабатываемых в сходных целях, могут храниться в общих хранилищах. Запрещается хранить совместно на бумажных носителях ПДн, обрабатываемые в несовместимых целях.
3.4.4. Электронные носители ПДн учитываются работником службы безопасности ООО «Инженерные технологии». 3.5. Передача (распространение, предоставление, доступ) ПДн.
3.5.1. Предоставление ПДн Субъекта третьим лицам возможно только с письменного согласия Субъекта или в случаях, прямо предусмотренных законодательством Российской Федерации.
3.5.2. При предоставлении ПДн Субъекта третьим лицам Оператор должен соблюдать следующие требования:
3.5.2.1. Не сообщать ПДн Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных федеральным законом Российской Федерации.
3.5.2.2. Не сообщать ПДн Субъекта в коммерческих целях без его письменного согласия.
3.5.2.3. Предупредить лиц, получающих ПДн Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн Субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен ПДн в порядке, установленном федеральными законами Российской Федерации.
3.5.2.4. Не запрашивать ПДн о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом трудовой функции.
3.5.2.5. Передавать ПДн Субъекта представителям Субъекта в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн Субъекта, которые необходимы для выполнения указанными представителями их функций.
3.5.3. Все меры конфиденциальности при обработке ПДн Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.5.4. При принятии решений, затрагивающих интересы Субъекта, Оператор не имеет права основываться на ПДн Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.5.5. Обязательство работника об обеспечении конфиденциальности и безопасности персональных данных фиксируется в письменном виде по форме согласно Приложению № 3 к настоящему Положению.
3.5.6. Работники, допущенные к обработке ПДн, должны иметь право получать только те ПДн, которые необходимы для выполнения своих трудовых обязанностей.
3.5.7. К числу внешних массовых потребителей ПДн относятся государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые компании;
- военкоматы;
- органы социального страхования;
- Фонд социального страхования Российской Федерации;
- подразделения органов власти г. Москвы и Московской области;
- надзорно-контрольные органы (имеют доступ к ПДн только в сфере своей компетенции).
Руководители структурных подразделений Общества могут иметь доступ к документам, содержащим ПДн работников подчиненных подразделений.
3.5.8. Передача работниками Оператора документов (иных материальных носителей информации), содержащих ПДн Субъектов, осуществляется при соблюдении следующих условий:
- наличие договора, стороной или выгодоприобретателем которого является Оператор;
- наличие соглашения о соблюдении конфиденциальности информации либо наличие в договоре Оператора с третьим лицом пунктов о соблюдении конфиденциальности информации, в том числе предусматривающих обеспечение конфиденциальности ПДн Субъекта.
3.5.9. ПДн могут быть получены Оператором от лица, не являющегося Субъектом, при условии предоставления Оператору подтверждения выполнения условий, указанных в пунктах 3.3.1 – 3.3.12 настоящего Положения.
3.5.10. В случае невозможности предоставления подтверждения, указанного в пункте 3.5.9 настоящего Положения, Оператор осуществляет уведомление Субъекта в письменной форме об обработке его ПДн.
3.5.11. В случае поручения обработки ПДн третьему лицу, включая осуществление сбора ПДн, в договор между Оператором и третьим лицом вносятся условия, перечисленные в Приложении № 2 к настоящему Положению.
3.5.12. Согласие на обработку ПДн, разрешенных Субъектом для распространения, оформляется отдельно от иных согласий Субъекта на обработку его ПДн (Приложение № 9 к настоящему Положению).
3.6. Порядок обработки и защиты ПДн, обрабатываемых без использования средств автоматизации.
3.6.1. Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка ПДн) осуществляется при работе с документами на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
3.6.2. Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется Обществом без использования средств автоматизации, о категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Общества.
3.6.3. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
3.6.4. В ходе неавтоматизированной обработки ПДн на бумажных носителях:
3.6.4.1. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо несовместимы.
3.6.4.2. ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
3.6.4.3. Документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн.
3.6.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовые формы), должны соблюдаться следующие условия.
3.6.5.1. Типовая форма (например, анкета кандидата на вакантную должность) или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес Субъекта, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки ПДн.
3.6.5.2. Типовая форма должна предусматривать поле, в котором Субъект может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, – при необходимости получения письменного согласия на обработку ПДн.
3.6.5.3. Типовая форма должна быть составлена таким образом, чтобы каждый из Субъектов, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных Субъектов;
3.6.5.4. Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
3.6.6. Неавтоматизированная обработка ПДн в электронном виде осуществляется на внешних электронных носителях информации.
3.6.7. При отсутствии технологической возможности осуществления неавтоматизированной обработки ПДн в электронном виде на внешних носителях информации необходимо принимать организационные и технические меры, исключающие возможность несанкционированного доступа к ПДн лиц, не допущенных к их обработке.
3.6.8. Список электронных носителей информации, содержащих ПДн, заносится в электронный журнал в свободной форме работником службы безопасности ООО «Инженерные технологии».
3.6.9. При несовместимости целей неавтоматизированной обработки ПДн, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.
- при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
3.6.10. Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
3.6.11. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.6.12. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации.
3.6.12.1. Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
3.6.12.2. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
3.6.12.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором.
3.7. Уничтожение ПДн.
3.7.1. Уничтожение ПДн осуществляется:
3.7.1.1. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, – в течение 30 (тридцати) календарных дней (с даты достижения цели обработки или с даты утраты необходимости достижения цели).
3.7.1.2. При предоставлении Субъектом сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, – в течение 7 (семи) рабочих дней.
3.7.1.3. Если невозможно обеспечить правомерность обработки ПДн – в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки.
3.7.1.4. В случае отзыва Субъектом согласия на обработку ПДн – в течение 30 (тридцати) календарных дней с даты поступления указанного отзыва.
3.7.2. При невозможности уничтожения ПДн в сроки, определенные Федеральным законом «О персональных данных» для случаев, когда невозможно обеспечить правомерность обработки ПДн, при достижении целей обработки ПДн, а также при отзыве субъектом согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки персональных данных, Общество осуществляет блокирование ПДн и уничтожает ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
3.7.3. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн на носителе. Способ уничтожения ПДн в ИСПДн должен быть реализован с помощью штатных средств.
3.7.4. Уничтожение носителей ПДн должно производиться комиссией, состав которой определяется работником, который назначается на основании приказа Общества, подписанного Генеральным директором либо лицом, уполномоченным им, ответственным за организацию обработки персональных данных. Факт уничтожения носителя ПДн подтверждается Актом об уничтожении ПДн (Приложение № 4 к настоящему Положению).
3.8. Уничтожение части ПДн.
Уничтожение части ПДн может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения ПДн, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации.
4. Защита ПДн Основные мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1. Общество обеспечивает защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. В отдельных случаях для выполнения части функций по обеспечению безопасности ПДн Общество может привлекать сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации.
4.2. Защита ПДн представляет собой совокупность организационно-технических мероприятий, предупреждающих нарушение доступности, целостности, достоверности и конфиденциальности ПДн в процессе обработки.
4.3. Под угрозой или опасностью утраты ПДн понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные условия или оказывать дестабилизирующее воздействие на обрабатываемые ПДн.
4.4. Защита ПДн Субъекта от неправомерного их использования, модификации, утечки или утраты должна обеспечиваться Оператором за счет собственных средств в порядке, установленном федеральными законами, внутренними приказами и распоряжениями.
4.5. Основным источником утечки информации из информационных систем ПДн является, как правило, работник, работающий с документами и базами данных, содержащими ПДн.
4.6. Для обеспечения защиты ПДн необходимо соблюдать следующие меры:
- определять угрозу безопасности ПДн при их обработке в ИСПДн;
- определять необходимый уровень защищенности ПДн при их обработке в ИСПДн;
- применять прошедшие в установленном порядке процедуру оценки соответствия законодательству Российской Федерации о техническом регулировании средства защиты информации;
- осуществлять учет применяемых средств защиты информации, эксплуатационной и технической документации;
- проводить оценку эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию ИСПДн;
- соблюдать порядок приема, учета и контроля деятельности посетителей;
- осуществлять учет и соблюдать порядок выдачи удостоверений;
- осуществлять учет съемных носителей ПДн;
- обеспечивать обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их устранению и предупреждению;
- выполнять восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- использовать технические средства охраны, сигнализации;
- соблюдать порядок охраны территории, зданий, помещений, транспортных средств;
- соблюдать требования к защите информации при интервьюировании и собеседованиях;
- организовать строгое избирательное и обоснованное распределение документов и информации между работниками;
- рационально размещать рабочие места работников с целью исключить бесконтрольное использование защищаемой информации;
- обеспечивать знание работниками требований нормативно-методических документов по защите информации и сохранении конфиденциальности;
- обеспечить наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных, исключающих их утрату или их неправомерное использование;
- определять состав работников, имеющих право доступа (входа) в серверные помещения;
- организовать порядок уничтожения информации;
- вести разъяснительную работу с работниками Общества относительно предупреждения утраты ценных сведений при работе с конфиденциальными документами;
- создавать целенаправленно неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение ПДн. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ПДн и их использование, но и их видоизменение или уничтожение.
4.7. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Оператора. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Обществе.
4.8. Все лица, связанные с получением, обработкой и защитой ПДн, обязаны подписать обязательство о неразглашении ПДн.
4.9. По достижении целей обработки и окончании срока хранения ПДн уничтожаются.
4.10. Общество проводит оценку возможного вреда Субъектам, который может быть причинен в случае неправомерного или случайного доступа к ним. Оценка возможного вреда Субъектам осуществляется исходя из информации о категории, объеме и принадлежности обрабатываемых ПДн, с целью определения набора мер обеспечения безопасности.
4.11. В Обществе осуществляется разработка организационно-технических мер защиты, направленных на обеспечение безопасности ПДн.
4.12. Контроль за принимаемыми мерами по обеспечению безопасности ПДн осуществляет служба безопасности ООО «Инженерные технологии».
5. Лицо, ответственное за организацию обработки ПДн
5.1. Статус лица, ответственного за организацию обработки ПДн.
5.1.1. В Обществе приказом за подписью Генерального директора назначается лицо, ответственное за организацию обработки ПДн, которое при осуществлении своих функций руководствуется Положением, Политикой обработки персональных данных в ООО «Инженерные технологии», иными локальными актами Оператора в сфере организации обработки и обеспечения безопасности ПДн, а также требованиями действующего законодательства Российской Федерации о ПДн.
5.1.2. Руководителем Оператора по предложению лица, ответственного за организацию обработки ПДн, формируется рабочая группа, состоящая из работников Оператора. В состав рабочей группы могут входить представители подразделений, в которых обрабатываются ПДн. Руководство рабочей группой осуществляет лицо, ответственное за организацию обработки ПДн.
5.1.3. Решения об инициации Оператором новых процессов обработки ПДн или о внесении изменений в существующие процессы обработки ПДн согласовываются с лицом, ответственным за организацию обработки ПДн.
5.2. Функции лица, ответственного за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, осуществляет следующие функции:
- ведение внутреннего контроля над соблюдением Оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
- подготовка перечня структурных подразделений и должностных лиц Оператора, допущенных к обработке ПДн, в том числе в ИСПДн, для выполнения служебных (трудовых) обязанностей;
- проведение инструктажа с работниками Оператора, непосредственно осуществляющими обработку ПДн, в части ознакомления с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами Оператора по вопросам обработки и защиты ПДн. Факт прохождения инструктажа фиксируется в Журнале учета инструктажей (Приложение № 5 к настоящему Положению);
- принятие и обработка обращений и запросов Субъектов или их представителей и (или) осуществление контроля над приемом и обработкой таких обращений и запросов;
- оценка соответствия содержания и объема обрабатываемых Оператором ПДн целям обработки ПДн;
- разработка документов, определяющих политику Оператора в отношении обработки ПДн, локальных актов Оператора по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о ПДн, а также устранение последствий таких нарушений;
- проведение мероприятий по внутреннему контролю и (или) аудиту соответствия обработки ПДн требованиям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным нормативным актам Оператора;
- оценка вреда, который может быть причинен Субъектам в случае нарушения требований Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ;
- установление правил доступа работников Оператора к ПДн, обрабатываемым в ИСПДн;
- совместно с представителем юридического отдела ООО «Инженерные технологии» осуществление взаимодействия от имени Оператора с Роскомнадзором и иными уполномоченными органами в случаях, предусмотренных законодательством Российской Федерации о ПДн;
- своевременное формирование и направление в Роскомнадзор уведомления об обработке Оператором (о намерении Оператора осуществлять обработку) ПДн;
- своевременное формирование и направление в Роскомнадзор информационного письма о внесении изменений в сведения в реестре Операторов, осуществляющих обработку ПДн;
- осуществление регулярного мониторинга фактов включения Оператора в ежегодный сводный план проведения плановых проверок субъектов предпринимательства на предмет соблюдения обязательных требований в сфере обработки ПДн;
- организация работы по получению согласия Субъектов на обработку их ПДн в случаях, предусмотренных законодательством Российской Федерации о ПДн;
- ведение учета процессов обработки ПДн Оператором и перечня ИСПДн, а также поддержание в актуальном состоянии описательной документации для них;
- совместно с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, осуществление экспертизы локальных актов Оператора и договоров Оператора с третьими лицами на предмет их соответствия требованиям законодательством Российской Федерации о ПДн.
5.3. Полномочия лица, ответственного за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, обладает следующими полномочиями:
- требовать от работников Оператора выполнения требований локальных актов Оператора по вопросам обработки и защиты ПДн, а также законодательства Российской Федерации о ПДн;
- запрашивать и получать от работников Оператора информацию по вопросам обработки ПДн для исполнения своих прав и обязанностей, приведенных в Положении;
- вносить предложения руководителю Оператора о внесении изменений в процессы обработки ПДн и технологические процессы, связанные с обработкой ПДн в ИСПДн, если это обусловлено необходимостью обеспечения соответствия законодательству Российской Федерации о ПДн;
- вносить предложения руководителю Оператора о поощрении или наложении взысканий на работников Оператора в связи с исполнением ими обязанностей, связанных с обработкой и защитой ПДн;
- поручать непосредственное осуществление обязанностей, возложенных Положением на лицо, ответственное за организацию обработки ПДн, работникам Оператора и иным лицам, входящим в рабочую группу Ответственного лица, – в соответствии с пунктом 4.1 настоящего Положения.
5.4. Ответственность лица, ответственного за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, несет следующую ответственность:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных Положением, в пределах, определенных действующим трудовым законодательством Российской Федерации;
- за правонарушения, совершенные в процессе осуществления своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
- за причинение материального ущерба и морального вреда в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
6. Порядок взаимодействия с Субъектами и их представителями 6.1. Основные правила взаимодействия с Субъектами.
6.1.1. Ответственными за взаимодействие с Субъектами назначаются:
- с работниками Оператора – уполномоченный работник Оператора, осуществляющий кадровый учет;
- с прочими Субъектами, обработка которых предусмотрена договорными отношениями Субъекта или его представителя с Оператором – лицо, ответственное за организацию обработки ПДн.
6.1.2. Субъекты, ПДн которых обрабатываются Оператором, имеют право:
6.1.2.1. Получать доступ к своим ПДн.
6.1.2.2. Требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.1.2.3. Получать от Оператора следующую информацию:
- подтверждение факта обработки ПДн Оператором;
- правовые основания обработки ПДн Оператором;
- цели и применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления Субъектом своих прав, предусмотренных Законом № 152-ФЗ;
- информацию об осуществленной, осуществляемой или о планируемой к осуществлению трансграничной ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
6.1.2.4. Возражать Оператору относительно принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении Субъектов или иным образом затрагивающих их права и законные интересы.
6.1.2.5. Отозвать согласие на обработку ПДн Оператором.
6.1.2.6. Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его ПДн.
6.1.3. Субъекты, ПДн которых обрабатываются Оператором, обязаны предоставлять Оператору достоверные сведения о себе и своевременно информировать об изменении своих ПДн. Оператор имеет право проверять достоверность сведений, предоставленных Субъектом, сверяя данные, предоставленные Субъектом, с имеющимися у Оператора документами.
6.1.4. Согласие на обработку ПДн Оператором дается Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Предпочтительной формой получения согласия является письменная форма.
6.1.5. В случае отзыва субъектом согласия на обработку своих ПДн Оператор вправе продолжить обработку ПДн без согласия Субъекта в случаях, предусмотренных Законом № 152-ФЗ.
6.1.6. Выдача работникам Оператора документов, связанных с их трудовой деятельностью (копии приказов о приеме на работу, переводе на другую работу, увольнении с работы; выписки из трудовой книжки, справки о месте работы, периоде работы в организации и др.), производится соответствующим уполномоченным работником Оператора, осуществляющим кадровый учет, в порядке, установленном законодательством Российской Федерации. Справки о заработной плате, о месте работы и о периоде работы в Операторе выдаются работнику под подпись в соответствующем журнале учета выдачи справок.
6.1.7. Устные запросы Субъекта или его представителя, поступающие в Общество, фиксируются работниками в Журнале учета обращений Субъектов или их представителей (Приложение № 6 к настоящему Положению) или в иных документах, обеспечивающих надлежащую фиксацию запросов Субъекта или его представителя.
6.1.8. В случае поступления запроса от Субъекта или его представителя в письменной форме о предоставлении сведений, указанных в пункте 6.1.2 настоящего Положения, лицо, ответственное за организацию обработки ПДн, согласовывает согласно запросу Субъекта или его представителя ответ в письменной форме. В случае требования предоставления иных, не предусмотренных законодательством, сведений лицо, ответственное за организацию обработки ПДн, согласовывает мотивированный ответ в письменной форме, содержащий ссылку на положения ч. 8 ст. 14 Закона № 152-ФЗ или иного федерального закона, являющиеся основанием для такого отказа, в срок, не превышающий десяти дней со дня обращения Субъекта или его представителя либо с даты получения запроса Субъекта или его представителя.
6.1.9. Документы, содержащие ПДн Субъекта, могут быть отправлены через организацию федеральной почтовой связи, курьерской почтой или с нарочным. При этом работниками Оператора должны быть предприняты разумные и достаточные меры для обеспечения конфиденциальности ПДн.
6.1.10. Лицо, ответственное за организацию обработки ПДн, обязано организовать хранение нижеуказанных документов: подлинных – в течение пяти лет, копий документов – в течение одного года, а по истечении указанных сроков обеспечить их уничтожение в порядке, установленном нормативно-правовым актом ООО «Инженерные технологии»:
- запросы Субъекта или его представителя;
- копии документов, являющихся основанием для уточнения или отказа в уточнении обрабатываемых ПДн;
- копии документов, являющихся основанием для прекращения неправомерной обработки ПДн или отказа в прекращении обработки ПДн;
- копии документов, являющихся основанием для отказа в прекращении обработки ПДн;
- уведомления Субъекта или его представителя об уточнении или об отказе в уточнении обрабатываемых ПДн;
- уведомления Субъекта или его представителя о прекращении неправомерной обработки ПДн или об отказе в прекращении обработки ПДн;
- уведомления Субъекта или его представителя о прекращении обработки ПДн или об отказе в прекращении обработки ПДн;
- иные документы и копии иных документов, непосредственно связанные с выполнением Оператором своих обязанностей по рассмотрению запросов Субъекта или его представителя.
6.2. Обработка запросов об уточнении неполных, устаревших, неточных ПДн.
6.2.1. В случае получения от Субъекта или его представителя запроса об уточнении Оператором (или лицом, действующим по поручению Оператора) обработки неполных, устаревших, неточных ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- зафиксировать наличие запроса Субъекта или его представителя об уточнении обработки неполных, устаревших, неточных ПДн в Журнале учета обращений Субъектов или их представителей (Приложение № 2 к настоящему Положению) или в иных документах Оператора, обеспечивающих надлежащую фиксацию запросов Субъекта или его представителя;
- осуществить блокирование указанных ПДн с момента получения запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц;
- осуществить проверку фактов, изложенных в запросе, и подтверждающих факты документов, предоставляемых Субъектом или его представителем. По результатам проверки должно быть получено подтверждение или неподтверждение фактов, изложенных в запросе.
6.2.2. В случае подтверждения фактов, изложенных в запросе, лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- произвести (обеспечить) уточнение указанных ПДн на основании представленных сведений в течение 7 (семи) рабочих дней с даты представления таких сведений;
- осуществить снятие блокирования указанных ПДн;
- в письменной форме уведомить Субъекта или его представителя об устранении допущенных нарушений.
6.2.3. В случае неподтверждения фактов, изложенных в запросе, лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- осуществить снятие блокирования указанных ПДн;
- в письменной форме уведомить Субъекта или его представителя об отказе в уточнении ПДн.
6.3. Обработка запросов о прекращении неправомерной обработки ПДн.
6.3.1. В случае получения от Субъекта или его представителя запроса о прекращении неправомерной обработки Оператором (или лицом, действующим по поручению Оператора) ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- зафиксировать наличие запроса Субъекта или его представителя о прекращении неправомерной обработки ПДн в Журнале учета обращений Субъектов или их представителей (Приложение № 3 к настоящему Положению) или в иных документах Оператора, обеспечивающих надлежащую фиксацию запросов Субъекта или его представителя;
- осуществить блокирование указанных ПДн с момента получения запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц;
- осуществить проверку фактов, изложенных в запросе, и подтверждающих факты документов, представляемых Субъектом или его представителем. По результатам проверки должно быть получено подтверждение или неподтверждение фактов, изложенных в запросе.
6.3.2. В случае подтверждения факта неправомерной обработки ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- произвести (обеспечить) прекращение неправомерной обработки ПДн в срок, не превышающий 3 (трех) рабочих дней с даты выявления неправомерной обработки ПДн;
- если обеспечить правомерность обработки ПДн невозможно, то уничтожить такие ПДн или обеспечить их уничтожение в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн;
- в письменной форме уведомить Субъекта или его представителя о прекращении неправомерной обработки ПДн.
6.3.3. В случае неподтверждения факта неправомерной обработки ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- осуществить снятие блокирования указанных ПДн;
- в письменной форме уведомить Субъекта или его представителя об отказе в прекращении обработки ПДн.
6.4. Обработка отзыва согласия на обработку ПДн.
6.4.1. В случае отзыва Субъектом или его представителем согласия на обработку его ПДн Оператором (или лицом, действующим по поручению Оператора) лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- зафиксировать наличие отзыва Субъектом или его представителем согласия на обработку ПДн в Журнале учета обращений Субъектов или их представителей (Приложение № 7 к настоящему Положению) или в иных документах Оператора, обеспечивающих надлежащую фиксацию запросов Субъекта или его представителя.
- уведомить Субъекта или его представителя о последствиях отзыва им согласия (Приложение № 7 настоящего Положения);
- организовать уничтожение ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект, иным соглашением между Оператором и Субъектом;
- в письменной форме уведомить Субъекта или его представителя о прекращении Оператором обработки ПДн Субъекта.
6.4.2. Если обработка ПДн осуществляется при выполнении условий, указанных в пунктах 4.1-4.12 Положения, лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны в письменной форме (содержащей ссылку на положения ч. 2 ст. 9 Закона № 152-ФЗ или иного федерального закона, являющимся основанием для такого отказа) уведомить Субъекта или его представителя об отказе в прекращении обработки ПДн.
6.5. Предоставление ПДн Субъектов их представителям, членам их семей и родственникам.
6.5.1. Представителю Субъекта (в том числе адвокату) передача ПДн производится в порядке, установленном действующим законодательством Российской Федерации. Информация передается при наличии одного из документов:
- нотариально удостоверенной доверенности представителя Субъекта;
- письменного заявления Субъекта, написанного в присутствии лица, ответственного за организацию обработки ПДн, или иного уполномоченного работника Оператора. Если заявление написано Субъектом не в присутствии указанных лиц, то оно должно быть нотариально заверено.
6.5.2. ПДн Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта, за исключением случаев, когда передача ПДн Субъекта без его согласия допускается действующим законодательством Российской Федерации.
7. Порядок взаимодействия с уполномоченными органами 7.1. Обязанности лица, ответственного за организацию обработки ПДн, при взаимодействии с уполномоченными органами.
7.1.1. Ответственность за взаимодействие с уполномоченными органами, осуществляющими мероприятия по контролю над выполнением Оператором требований к обеспечению надлежащей организации обработки и обеспечению безопасности ПДн, в том числе в ИСПДн, несет лицо, ответственное за организацию обработки ПДн.
7.1.2. Лицо, ответственное за организацию обработки ПДн, на основании предоставленных соответствующим структурным подразделением, осуществляющим обработку ПДн, материалов направляет уполномоченному органу запрашиваемую им при проведении проверок информацию.
7.1.3. Лицо, ответственное за организацию обработки ПДн, обязано организовать хранение нижеуказанных документов: подлинных – в течение 5 (пяти) лет, копий документов – в течение 1 (одного) года, а по истечении указанных сроков обеспечить их уничтожение в порядке, установленном локальным правовым актом ООО «Инженерные технологии»:
- запросы и требования уполномоченных органов;
- ответы Оператора на запросы и требования уполномоченных органов;
- иные документы, непосредственно связанные с выполнением Оператором своих обязанностей по рассмотрению запросов и требований уполномоченных органов, и копии таких документов.
7.2. Виды предусмотренных законодательством проверок.
Роскомнадзор проводит:
- плановые проверки;
- внеплановые проверки;
- профилактические проверки.
7.3. Взаимодействие с Роскомнадзором.
7.3.1. Роскомнадзор имеет право (ст. 23 Закона № 152-ФЗ):
- запрашивать у Операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
- осуществлять проверку сведений, содержащихся в уведомлении об обработке ПДн, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
- требовать от Оператора уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем ПДн;
- принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований Закона № 152-ФЗ;
- обращаться в суд с исковыми заявлениями в защиту прав Субъектов, в том числе в защиту прав неопределенного круга лиц, и представлять интересы Субъектов в суде;
- направлять в ФСБ России и в ФСТЭК России применительно к сфере их деятельности, сведения, указанные в п. 7 ч. 3 ст. 22 Закона № 152-ФЗ;
- направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу ПДн третьим лицам без согласия в письменной форме Субъекта ПДн;
- составлять протоколы об административных правонарушениях;
- привлекать к административной ответственности лиц, виновных в нарушении требований Закона № 152-ФЗ.
7.3.2. При получении Оператором запроса на предоставление информации лицо, ответственное за организацию обработки ПДн, проверяет законность такого запроса, после чего предоставляет запрашиваемую информацию в Роскомнадзор.
7.3.3. В случае получения требования Роскомнадзора об уточнении обрабатываемых Оператором (или лицом, действующим по поручению Оператора) неполных, устаревших, неточных ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- зафиксировать наличие требования Роскомнадзора об уточнении обработки неполных, устаревших, неточных ПДн;
- осуществить блокирование указанных ПДн с момента получения требования на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц;
- осуществить проверку фактов, изложенных в требовании – по результатам проверки может быть получено подтверждение или не подтверждение факта неточности ПДн.
7.3.4. В случае подтверждения факта неточности ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- произвести (обеспечить) уточнение указанных ПДн на основании представленных сведений в течение 7 (семи) рабочих дней со дня представления таких сведений;
- осуществить снятие блокирования указанных ПДн;
- в письменной форме уведомить Роскомнадзор, а также Субъекта или его представителя об устранении допущенных нарушений.
7.3.5. В случае не подтверждения факта неточности ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- осуществить снятие блокирования указанных ПДн;
- подготовить и согласовать с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, ответ в письменной форме о неправомерности требования, и направить его в Роскомнадзор;
- совместно с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, подготовить предложение об обжаловании требования в порядке, установленном действующим законодательством Российской Федерации.
7.3.6. В случае получения требования Роскомнадзора о прекращении неправомерной обработки Оператором (или лицом, действующим по поручению Оператора) ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- зафиксировать наличие требования Роскомнадзора о прекращении неправомерной обработки ПДн;
- осуществить блокирование указанных ПДн с момента получения требования на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц;
- осуществить проверку фактов, изложенных в требовании – по результатам проверки может быть получено подтверждение или неподтверждение факта неправомерной обработки ПДн.
7.3.7. В случае подтверждения факта неправомерной обработки ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- произвести (обеспечить) прекращение неправомерной обработки ПДн в срок, не превышающий 3 (трех) рабочих дней со дня выявления неправомерной обработки ПДн;
- если обеспечить правомерность обработки ПДн невозможно – уничтожить такие ПДн или обеспечить их уничтожение в срок, не превышающий 10 (десяти) рабочих дней со дня выявления неправомерной обработки ПДн;
- в письменной форме уведомить Роскомнадзор, а также Субъекта или его представителя об устранении допущенных нарушений.
7.3.8. В случае неподтверждения факта неправомерной обработки ПДн лицо, ответственное за организацию обработки ПДн, или иной уполномоченный работник Оператора обязаны:
- осуществить снятие блокирования указанных ПДн;
- подготовить и согласовать с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, ответ в письменной форме о неправомерности требования, и направить его в Роскомнадзор.
- совместно с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, подготовить предложение об обжаловании требования в порядке, установленном действующим законодательством Российской Федерации.
7.3.9. При получении иных запросов, выходящих за рамки полномочий Роскомнадзора, лицо, ответственное за организацию обработки ПДн, должно подготовить и согласовать с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, ответ в письменной форме о неправомерности требований, и направить его Роскомнадзор.
7.3.10. При включении Оператора в план проверок Роскомнадзора лицо, ответственное за организацию обработки ПДн, незамедлительно уведомляет о предстоящей плановой проверке руководителя Оператора, всех лиц, допущенных к обработке ПДн Оператором, проводит внутреннюю проверку защищенности ПДн (согласно плану и методике проведения внутренних проверок).
7.3.11. При получении уведомления от Роскомнадзора о плановой проверке лицо, ответственное за организацию обработки ПДн:
- незамедлительно уведомляет руководителя Оператора и всех лиц, допущенных к обработке ПДн Оператором, о предстоящей проверке;
- проводит внутреннюю проверку защищенности ПДн (согласно правилам проведения внутренних проверок).
7.3.12. При получении уведомления от Роскомнадзора о внеплановой проверке лицо, ответственное за организацию обработки ПДн:
- запрашивает у должностного лица Роскомнадзора основания для проведения внеплановой проверки;
- незамедлительно уведомляет руководителя Оператора и всех лиц, допущенных к обработке ПДн Оператором, о предстоящей проверке;
- проводит внутреннюю проверку защищенности ПДн (согласно плану и методике проведения внутренних проверок).
7.3.13. В процессе проведения плановой или внеплановой проверки лицо, ответственное за организацию обработки ПДн:
- предоставляет должностным лицам Роскомнадзора информацию, необходимую для реализации проверок;
- контролирует соответствие процесса организации (проведения) проверки требованиям действующего законодательства Российской Федерации;
- регистрирует сведения о проведении проверки в журнале учета проверок Оператора, проводимых органами государственного контроля (надзора), органами муниципального контроля.
7.3.14. В случае выездной проверки Роскомнадзора лицо, ответственное за организацию обработки ПДн, должно ознакомиться:
- со служебными удостоверениями проверяющих;
- с копиями распоряжения или приказа о назначении проверки (под подпись);
- с Административным регламентом проведения проверки;
- с полномочиями проверяющих, а также с целями, задачами, основаниями проведения проверки, составом экспертов, со сроками и с условиями ее проведения.
7.3.15. с Актом проверки до его подписания (по результатам проверки).
7.3.16. В случае совершения должностными лицами Роскомнадзора при проведении проверки незаконных действий (в том числе нарушающих Административный регламент проверки) или выходящих за рамки их должностных обязанностей, лицо, ответственное за организацию обработки ПДн, совместно с представителем структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, готовит предложение об обжаловании действий (бездействий) и решения должностных лиц Роскомнадзора в порядке, установленном Административным регламентом проверки и действующим законодательством Российской Федерации.
8. Порядок проведения проверок состояния организации обработки и обеспечения безопасности ПДн 8.1. Периодические проверки состояния организации обработки и обеспечения безопасности ПДн в Операторе осуществляются в целях внутреннего контроля соответствия обработки ПДн Оператором установленным требованиям законодательства Российской Федерации о ПДн и нормативно-правовым актам Оператора, в том числе с привлечением сторонних организаций (консультантов), обладающими необходимыми компетенциями.
8.2. Внутренние проверки проводятся комиссией во главе с лицом, ответственным за организацию обработки ПДн, обязательным участием руководителя юридического отдела и службы безопасности и при необходимости с привлечением организации (консультанта), обладающих необходимыми компетенциями.
8.3. Содержание проверок, их периодичность и ответственные исполнители определены в плане внутренних проверок состояния организации обработки и обеспечения безопасности ПДн (Приложение № 8 к настоящему Положению).
8.4. Результаты проверки оформляются в виде акта, который содержит указание на период проведения проверки, описание нарушений и недостатков, выявленных в процессе проверки, предложения и рекомендации по снижению рисков, устранению недостатков и повышению эффективности внутреннего контроля.
8.5. По результатам проведения проверок формируется и утверждается план устранения недостатков, выявленных в ходе проверок, содержащий сведения о выявленных недостатках, наименование мероприятий по устранению недостатков, срок проведения мероприятий, наименование ответственных лиц, перечень ожидаемых результатов устранения недостатков.
8.6. Контроль за устранением выявленных недостатков осуществляется лицом, ответственным за организацию обработки ПДн, посредством запроса информации у лиц, ответственных за реализацию мероприятий по устранению недостатков и иными способами, предусмотренными локальными актами Оператора.
9. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн 9.1. Работники, виновные в нарушении норм, регулирующих обработку ПДн, несут административную ответственность согласно ст. 13.11, 13.14 Кодекса Российской Федерации об административных правонарушениях.
9.2. Предоставление ПДн посторонним лицам, в том числе, работникам Оператора, не имеющим права их обрабатывать, распространение ПДн, утрата материальных носителей информации, содержащих ПДн Субъекта, а также иные нарушения обязанностей по обработке ПДн, установленных Положением, локальными актами Оператора, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения (ст. 81, 192 Трудового кодекса Российской Федерации).
9.3. Работник, имеющий доступ к ПДн Субъектов и совершивший вышеуказанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Оператору (п. 7 ст. 243 Трудового кодекса Российской Федерации).
9.4. Работники, имеющие доступ к ПДн Субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст. 137, 272 Уголовного кодекса Российской Федерации.