Обязательна политика обработки персональных данных. В чем разница между документом политика персональных данных и положение о персональных данных? Сведения об организации

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную х и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

• Общие положения
• Цели сбора персональных данных
• Правовые основания обработки персональных данных
• Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
• Порядок и условия обработки персональных данных
• Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

• из анализа правовых актов, регламентирующих деятельность оператора;
• из целей фактически осуществляемой оператором деятельности;
• из деятельности, которая предусмотрена учредительными документами оператора;
• из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

• перечень действий, совершаемых с персональными данными;
• способы обработки персональных данных;
• сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

• пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
• указать наименование и местонахождение третьих лиц;
• обозначить цели передачи данных и их объем;
• перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в

УТВЕРЖДЕНА приказом ЗАО «ПФ «СКБ Контур» от 29.12.2012 № 299

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ЗАО «ПФ «СКБ Контур» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
• Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
• Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
• Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
• Устав ЗАО «ПФ «СКБ Контур»;
• Регламент Удостоверяющего центра ЗАО «ПФ «СКБ Контур».

• заключение трудовых отношений с физическими лицами;
• выполнение договорных обязательств Оператора;
• выполнение функций удостоверяющего центра;
• соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

• физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
• физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
• кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
• утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
• невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• ликвидация (реорганизация) Оператора.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

• цели, условия, сроки обработки персональных данных;
• обязательства сторон, в том числе меры по обеспечению конфиденциальности;
• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий

договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

2.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 09-0066830. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
• обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;
• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу . Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

1.1. Настоящий документ определяет Политику ЗАО «Производственная компания «Ярославич» в отношении обработки персональных данных (далее — Политика) в соответствии с положениями Конституции РФ; Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ (ст. 85-90); Гражданским кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 27.07.2006 152-ФЗ «О персональных данных»; Федеральным законом от 24.07.2009 № 212-ФЗ ред. от 02.04.2014) «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхованию», Федеральным законом от 01.04.1996 № 27-ФЗ (ред. от 12.03.2014) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 02.05.2006 №259-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных»и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных.

1.2. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации к защите конфиденциальной информации.

1.3. Политика определяет основные вопросы, связанные с обработкой персональных данных в ЗАО «ПК «Ярославич» (далее — Организация) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

2. Понятие и состав персональных данных

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Организация обрабатывает персональные данные, в том числе с применением автоматизированных систем, следующих категорий субъектов персональных данных:

• персональные данные работников Организации — информация, необходимая Организации в связи с трудовыми отношениями;
• персональные данные клиента (потенциального клиента), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с клиентом (контрагентом);
• персональные данные посетителей Организации — информация, необходимая Организации для обеспечения безопасности работников Организации при пропуске в здание Организации посетителей и предупреждения правонарушений со стороны посетителей;
• персональные данные соискателей Организации — информация, необходимая Организации для рассмотрения его кандидатуры в качестве претендента на вакантную должность.

3. Цели и случаи обработки персональных данных

3.1 Обработка персональных данных проводится в целях:

• осуществления основных видов деятельности Организации;
• ведения кадровой работы, в том числе при формировании кадрового резерва и проведении конкурса на замещение вакантных должностей;
• обеспечения безопасности работников Организации при установлении и соблюдении пропускного режима в Организации, предупреждения правонарушений со стороны третьих лиц.

3.2. Обработка персональных данных в Организации допускается в случаях если:

• обработка персональных данных осуществляется с согласия субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;
• а также иных случаях, предусмотренных действующим законодательством.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

4.2. При обработке персональных данных Оператор будет осуществлять следующие действия: сбор, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

4.3. Право доступа для обработки персональных данных имеют сотрудники Организации в соответствии с возложенными на них функциональными обязанностями.

4.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4.6. Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Организацией, сроками хранения документов на бумажных носителях и документов в электронных базах данных,сроком исковой давности, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

5. Меры по обеспечению безопасности персональных данных

5.1. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается, в частности:

• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
• ознакомление сотрудников Оператора, которые непосредственно осуществляют обработку персональных данных с положениями законодательства Российской Федерации о персональных данных, документами, определяющими политику персональных данных, локальными актами.
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

6. Права субъекта персональных данных

Субъект персональных данных имеет право:

6.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• цели и применяемые Организацией способы обработки персональных данных;
• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

6.2. Требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

6.4. Обжаловать в суд любые неправомерные действия или бездействие Организации при обработке и защите его персональных данных.

7. Обязанности организации

Организация обязуется:

7.1. Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

7.3. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

7.4. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

• определение угроз безопасности информации, содержащей персональные данные, при ее обработке;
• применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;
• оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей информации, содержащей персональные данные;
• обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;
• контроль за принимаемыми мерами.

8. Обязанности и ответственность сотрудников организации

8.1. Сотрудники Организации, допущенные к обработке персональных данных, обязаны:

• знать и выполнять требования настоящей Политики;
• обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
• не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
• пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
• выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
• хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Организации.

8.2. Сотрудникам Организации, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

8.3. Каждый новый работник Организации, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

8.4. Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

9. Контроль за соблюдением законодательства РФ, локальных нормативных актов Организации в области обработки персональных данных

9.1. Внутренний контроль за обработкой и защитой персональных данных осуществляет ответственный сотрудник Организации.

9.2. Персональная ответственность за соблюдение требований законодательства и локальных нормативных актов Организации в области персональных данных, а также за обеспечение конфиденциальности возлагается на руководителей структурных подразделений.

1. Общие положения

1.1. Целью настоящей Политики об обработке и защите персональных данных (далее — Политика) является обеспечение ООО «АЙЗЕЛ.РУ» (далее «Компания») процесса обработки персональных данных (далее также «ПДн») согласно нормам и принципам действующего федерального законодательства.

1.2. Настоящая Политика распространяется на все бизнес процессы Компании и обязательна к выполнению всеми сотрудниками Компании.

1.3. Между Компанией и ООО «Ландо — управление финансами» заключен договор об оказании услуг аутсорсинга, в том числе услуг по кадровому, бухгалтерскому, юридическому, финансовому, IT сопровождению.

1.4. Генеральный директор Компании является лицом, ответственным за организацию обработки персональных данных.

1.5. Для координации работ сторонних организаций, в случае их привлечения Компанией, и выполнения функций по облуживанию информационных систем, не требующих лицензии, из состава ООО «Ландо — управление финансами» приказом Генерального директора назначается ответственное лицо за обеспечение безопасности ПДн в информационных системах Компании (далее — Ответственный за безопасность ПДн).

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.11. Машинный носитель — магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.

3. Принципы и условия обработки ПДн

3.1. Обработка ПДн в Компании производится строго в соответствии со следующими принципами:

• Обработка ПДн осуществляется на законной и справедливой основе.
• -Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
• Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, Компания не обрабатывает избыточные персональные данных.
• При обработке обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
• Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.

3.3. Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.

3.5. Компания не осуществляет трансграничную передачу ПДн.

3.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

3.7. Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам на основании заключаемого с этими лицами договора. В частности, Компания может передавать ПДн субъектов ООО «Ландо — управление финансами», (127051, г. Москва, ул. Петровка, д. 16, комн. 49, ИНН 7707269680), на основании заключённого договора.

3.8. Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом.

3.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка ПДн в Компании осуществляется как с использованием, так и без использования средств автоматизации, т. е. смешанная обработка ПДн.

3.10. Принятие решений, порождающих юридические последствия, на основании автоматизированной обработки ПДн в Компании не осуществляется. В противном случае, необходимо соответствующее согласие субъектов ПДн.

3.11. Обработка ПДн в Компании должна осуществляться с согласия субъекта ПДн, кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Компания не является оператором ПДн субъектов.

3.12. Согласие на обработку ПДн должно удовлетворять следующим требованиям:

• согласие субъекта должно быть получено свободно, согласно воле субъекта и в его интересах;
• согласие должно быть дано субъектом ПДн в любой позволяющей подтвердить факт его получения форме.

3.13. Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями федеральных законов, требованиями операторов ПДн, по поручению которых Компания осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности.

3.14. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после прекращения их обработки допускается только после их обезличивания.

4. Правовые основания и цели обработки ПДн

4.1. Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.2. Субъектами ПДн, обрабатываемых Компанией, являются:

• кандидаты на вакантные должности;
• работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
• лица, входящие в органы управления Компании и не являющимися работниками;
• физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
• представители юридических лиц — контрагентов Компании;
• участники бонусных программ лояльности;
• клиенты — потребители, в т. ч. посетители сайтов, принадлежащего Компании: , http://www.theoutlet.ru , (далее — «Сайты») в том числе с целью оформления заказа с последующей доставкой клиенту;
• клиенты — подписчики на новостную рассылку интернет-журнала aizeMag;

4.3. Компания осуществляет обработку ПДн субъектов в следующих целях:

• осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами ПДн, уставом и локальными актами Компании.

Работников в целях:

• соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:
  • содействия работникам в трудоустройстве, обучении и продвижении по службе;
  • расчета и начисления заработной платы;
  • организация деловых поездок (командировок) работников;
  • оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества;
  • соблюдения пропускного режима в помещениях Компании;
  • учета рабочего времени;

Кандидатов на вакантные должности в целях:

• принятия решения о возможности заключения трудового договора с лицами, претендующими на имеющиеся вакансии;

Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:

• выполнения требований, предусмотренных законодательством, в т. ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.

Контрагентов-физических лиц в целях:

• заключения и исполнения договора, одной из сторон которого является физическое лицо;
• рассмотрения возможностей дальнейшего сотрудничества.

Представителей юридических лиц — контрагентов Компании в целях:

• ведения переговоров, заключение и исполнение договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.

Участников бонусных программ лояльности в целях:

• предоставления информации по товарам, проходящим акциям, состоянию лицевого счета;
• идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов;
• исполнения Компанией обязательств по программе лояльности.

Клиентов — потребителей в целях:

• предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
• анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
• информирования о статусе заказа;
• исполнения договора, в т. ч. договора купли-продажи, в. т. ч. заключенного дистанционным способом на Сайтах, возмездного оказания услуг;
• доставки заказанного товара клиенту, совершившему заказ на Сайтах, возврата товара.

Клиентов — подписчиков интернет-журнала AizelMag в целях:

• подписки на новостную рассылку.

4.4. Компания может осуществлять обработку персональных данных клиентов, полученных онлайн — в сети Интернет (Сайты, мобильные приложения, социальные сети, электронная почта), офлайн — магазины (бутики), точки продаж, мероприятия (путем заполнения печатных регистрационных форм), а также при звонке в колл-центры (центры поддержки клиентов).

5. Права и обязанности субъектов ПДн

5.1. Субъект, ПДн которого обрабатываются Компанией, имеет следующие права:

• получать от Компании информацию, касающуюся обработки его ПДн (в том числе содержащую подтверждение факта обработки ПДн, правовые основания, цели, обработки, сроки обработки, сроки хранения, наименование и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу, иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»);
• требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку ПДн в любой момент.

5.2. Сведения предоставляются субъекту ПДн на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией, либо сведения иным образом подтверждающие факт обработки ПДн Клиентом, подпись субъекта или его представителя.

5.3. Запрос может быть направлен по адресу местонахождения компании: РФ, 127247, г. Москва, Дмитровское шоссе, д. 100, стр. 3, комн. 24, в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской федерации.

6. Права и Обязанности Компании

6.1. Компания в процессе обработки ПДн обязана:

• предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
• опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
• предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
• осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
• уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
• прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
• прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
• прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
• вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам.

7. Обеспечение безопасности ПДн при их обработке

7.1. При обработке ПДн Компания принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

• назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн;
• разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
• применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
  • определение угроз безопасности ПДн при их обработке в информационных системах персональных ПДн;
  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  • учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Данным, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе ПДн.
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн;
• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
• соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
• ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Компании.

7.3. Требования к обработке ПДн на материальных носителях:

• Работники, осуществляющие обработку ПДн на материальных носителях, до начала обработки должны быть проинформированы о категориях ПДн, об особенностях и правилах обработки ПДн.
• Работник Компании отвечает за хранение и уничтожение материальных носителей с ПДн, с которыми он работает.
• ПДн, обрабатываемые на материальных носителях, должны храниться на отдельно от иной информации.
• Хранение материальных носителей ПДн осуществляется только при наличии действующего согласия субъекта ПД на обработку ПДн или действующего договора, стороной которой является субъект ПДн.
• В Компании осуществляется хранение резюме и анкет кандидатов на вакантные должности в независимости принят кандидат в штат или нет. Хранение данных резюме и анкет может осуществляться только с согласия кандидата на обработку его ПДн, с указанием срока действия согласия. В случаях истечения срока обработки ПДн или требования субъекта ПДн об уничтожении ПДн, резюме и анкеты уничтожаются с использованием шредера.
• Хранение материальных носителей ПДн в открытом доступе в рабочих помещениях подразделений Компании и на столах работников допускается только в течение рабочего дня, под персональной ответственностью работника. По окончании работы с материальным носителем работник должен убрать материальный носитель в запираемый шкаф, закрепленный за работником, или в шкаф непосредственного руководителя. Доступ к шкафам должен быть ограничен перечнем лиц, имеющих доступ к ПДн.
• В случае окончания срока обработки ПДн работник осуществляет уничтожение бумажных носителей ПДн с использованием шредера без оформления акта об уничтожении.

7.4. Ревизия осуществляется независимо каждым работником в отношении материальных носителей ПДн, с которыми он работает. В ходе ревизии должны быть выявлены бумажные носители ПДн, которые не требуются работникам для дальнейшего выполнения своих трудовых обязанностей.

7.5. Работники Компании получают доступ к ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

8. Ответственность за нарушения норм, регулирующих обработку ПДн

8.1. Обеспечение конфиденциальности ПДн, обрабатывающихся в Компании, является обязательным требованием для всех работников, которым ПДн стали известны, как в связи с рабочей деятельностью, так и по случайности или ошибке.

8.2. Работники несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных в Компании.

8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения компанией, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут ответственность, предусмотренную действующим законодательством Российской Федерации.

9. Заключительные положения

9.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается путем ее опубликования на Сайтах, размещением в магазинах (бутиках) и на сетевом диске, доступном для всех работников Компании.

9.2. Настоящая Политика может быть пересмотрена в силу изменения норм действующего законодательства или по решению Компании.

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ - Политику в отношении обработки персональных данных .

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных - это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

"Политика ООО "__" в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите".

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
2. Фактическом адресе.
3. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

Нормативные основания

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

• Конституцию РФ.
• ТК РФ.
• ГК РФ.
• ФЗ № 160.
• ФЗ № 152.
• ФЗ № 210.
• ФЗ № 326.
• ФЗ № 149.

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

• Личных сведений, подвергающихся обработке.
• Информационных систем, используемых при работе с информацией.
• Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

• Правила обработки информации.
• Акты классификации информсистем.
• Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

• сотрудников;
• получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

К другим основополагающим принципам работы с личной информацией следует отнести:

1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

• Субъектам системы электронного межведомственного взаимодействия.
• Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан. Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

• устарели;
• являются неполными/неточными;
• получены противоправным способом;
• не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

• Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
• С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
• Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
• Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений. Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

1. Почтовый адрес.
2. Наименование.
3. Официальный сайт.
4. Адрес эл. почты.
5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

1. Наименование организации.
2. Название документа.
3. Дата составления, номер.
4. Преамбула.
5. Текст.
6. Дата вступления в силу.
7. Ф. И. О. руководителя предприятия, подпись.
8. Подписи лиц, ознакомленных с приказом.

Преамбула, как правило, обычно выглядит следующим образом:

"В соответствии с п. 2 ст. 18.1 ФЗ № 152 "О персональных данных", Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…"

"Утвердить Политику "___" в отношении обработки персональных данных".

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе "Реестр поставщиков соц. услуг". В этой связи в приказе указывается следующее:

"Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе "Реестр поставщиков социальных услуг".

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан. Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.