Политика об обработке и защите персональных данных OOO «Безен Хелскеа РУС»
1. Общие положения по политике защиты персональных данных
1.1. Целью данной Политики по защите персональных данных (далее – Политика) является:
- определение порядка обработки и защиты персональных данных работников Общества и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий компании;
- обеспечение защиты прав и свобод человека и гражданина,
- защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц и работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2. Данная Политика разработана в соответствии:
- Конституцией РФ,
- Федеральным законом от 19 декабря 2005 г. N 160-ФЗ
- "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных",
- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных",
- Гражданским Кодексом РФ,
- Трудовым Кодексом РФ,
- Налоговым Кодексом РФ,
- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации",
- Федеральным законом Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете",
- Указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера",
- Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",
- Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных",
- Приказом Федеральной службы по техническому и экспортному контролю
- от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных",
- и другими нормативными правовыми актами, действующими на момент разработки данной Политики.
1.3. Политика подлежит опубликованию на сайте Общества для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных к сведениям о реализуемых требованиях к защите персональных данных.
1.4. Субъекты персональных данных, чьи данные обрабатываются Обществом, должны ознакомиться самостоятельно с данной Политикой, размещенной на сайте Общества. Работники Общества знакомятся с данной Политикой под роспись.
1.5. Ответственность за создание системы по соблюдению законодательства по защите персональных данных несет Генеральный директор Общества. Ответственность за соблюдение требований законодательства данной Политики и иных локальных актов Общества, регулирующих порядок обработки персональных данных, несут должностные лица Общества в пределах своих полномочий по обработке персональных данных.
1.6. Данная Политика вступает в действие с даты ее утверждения приказом Генерального директора и действует до его отмены.
2. Термины и определения
2.1. В целях настоящей Политики используются следующие основные понятия:
- ООО «Безен Хелскеа РУС» (далее – Компания, Работодатель) – Общество с ограниченной ответственностью «Безен Хелскеа РУС», действующее на основании Устава с соблюдением требований действующего российского законодательства;
- оператор (далее – Оператор) - ООО «Безен Хелскеа РУС», самостоятельно или совместно с другими юридическими и физическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- персональные данные (далее – ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает Оператор;
Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:
- работники (далее – работник, Работник) – физические лица, заключившие трудовой договор с Работодателем (включая бывших работников);
- родственники и иные члены семей работников;
- кандидаты (соискатели) – физические лица, выразившие своими действиями желание, чтобы их кандидатура была рассмотрена Работодателем для трудоустройства в Компанию;
- работники сферы здравоохранения – руководители, заместители руководителей медицинских и фармацевтических организаций, руководители структурных подразделений, иные руководители, врачи, фармацевты, средний медицинский (фармацевтический) персонал, научные работники, педагогические работники (далее - Работники СЗ);работники юридических лиц, с которыми у Общества деловые отношения, и физические лица, заключившие гражданско-правовой договор с Обществом (совместно – деловые партнеры); деловой партнер – физическое лицо, индивидуальный предприниматель или юридическое лицо, которое заключает с компанией любой гражданско-правовой договор (т.е. совершает сделку). Компания в данной сделке может выступать как Заказчик или как Исполнитель, это не меняет отнесения данного лица к категории Деловой партнер.
К ним отнесены, в частности:
- тренеры
- дистрибьюторы
- организаторы мероприятий с участием специалистов здравоохранения
- пациентские организации
- профессиональные ассоциации специалистов здравоохранения
- получатели пожертвований и спонсорских взносов
- иные физические лица, индивидуальные предприниматели или юридические лица, заключившие гражданско-правовой договор с Компанией.
- субъекты обращения лекарственных средств – физические лица, осуществляющие деятельность при обращении лекарственных средств;
- должностные лица – работники Компании, уполномоченные осуществлять обработку ПД субъектов персональных данных и несущие все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности ПД;
- локальные нормативные акты (далее – ЛНА) – акты Работодателя, содержащие нормы трудового права, принятые в пределах компетенции Работодателя в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор,
- создание,
- запись,
- систематизацию,
- накопление,
- хранение,
- уточнение (обновление, изменение),
- извлечение,
- использование,
- передачу (распространение, предоставление, доступ),
- обезличивание,
- блокирование,
- удаление,
- уничтожение персональных данных;
- биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Компанией для установления личности субъекта персональных данных, к ним относится, в частности, фото, видеоизображение субъекта персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- актуальная угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
- уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- технические средства информационной системы персональных данных:
- средства вычислительной техники,
- информационно-вычислительные комплексы и сети,
- средства и системы передачи, приема и обработки ПД (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие средства обработки речевой, графической и буквенно-цифровой информации),
- программные средства (операционные системы, системы управления базами данных и прочее),
- средства защиты информации, применяемые в информационных системах.
3. Принципы защиты персональных данных, принятые в Компании
3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Цели обработки ПД отражаются в ЛНА по ПД, с которыми субъект ПД знакомится до предоставления своих ПД, а также в согласиях субъектов ПД (оформляемых в случае требований законодательства).
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в Компании применяются различные информационные системы, позволяющие разделить доступ должностных лиц/работников к тем или иным ПД, а также процедуры предоставления доступа к ПД субъектов, необходимым должностным лицам/работникам для осуществления своих трудовых функций.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. ПД, которые Компания имеет право обрабатывать, отражаются в ЛНА по ПД, с которыми субъект ПД знакомится до предоставления своих ПД, а также в согласиях субъектов ПД (оформляемых в случае требований законодательства).
3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки ПД. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом ПД Компания имеет право:
- отказать в их принятии,
- уничтожить в присутствии субъекта ПД.
3.6. При обработке персональных данных Компания обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компания предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
3.7. Хранение ПД осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.8. Обрабатываемые ПД уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.9. Компания для соблюдения требований законодательства знакомит субъекта ПД со сроками, в течение которых персональные данные, предоставляемые согласно законодательству, будут храниться в Компании.
3.10. Компания проводит анализ соответствия процессов обработки ПД в информационных системах Компании в случае:
- создания/внедрения новых информационных систем;
- внесения изменений в технологические процессы, существующие в информационных системах;
- изменения нормативной базы, затрагивающей принципы и(или) процессы обработки ПД в информационных системах Компании.
4. Обязанности Компании при сборе и иной обработке персональных данных
4.1. При обработке персональных данных Компания обязана предоставить субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных Компанией;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Компанией способы обработки персональных данных;
- сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Компанией обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
- иные сведения, предусмотренные действующим законодательством.
4.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Компанией согласия на обработку персональных данных являются обязательными, Компания обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
4.3. Если персональные данные получены не от субъекта персональных данных, Компания, до начала обработки таких персональных данных, обязана предоставить субъекту персональных данных следующую информацию:
- наименование и адрес Компании;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные законодательством права субъекта персональных данных;
- источник получения персональных данных.
4.4. Компания освобождается от обязанности предоставить субъекту персональных сведения, предусмотренные п.4.3. Политики, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных Компанией;
- персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
- Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
4.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством.
4.6. Компания обязана при получении соответствующего запроса сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
4.8. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные.
4.9. Компания обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.10. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки.
4.11. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
4.12. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
4.13. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании.
4.14. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.
4.15. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.16. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
4.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
4.18. В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных Компания обязан в срок, не превышающий десяти рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.19. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством.
5. Организация и контроль обеспечения защиты персональных данных
5.1. Компания предпринимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.
5.2. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Для реализации таких мер Компания:
- Назначает лицо, ответственное за организацию обработки персональных данных;
- издает локальные нормативные акты, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям действующего законодательства, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании;
- оценивает вред, который может быть причинен субъектам персональных данных в случае нарушения требований действующего законодательства, соотносит указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
- знакомит работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.
5.3. Система защиты ПД является частью общей системы обеспечения информационной безопасности Организации.
5.4. Ответственность за создание системы защиты персональных данных, обрабатываемых в Компании, несет Генеральный директор.
5.5. Лица, ответственные за функционирование информационной системы, несут ответственность за необеспечение сохранности и защиты персональных данных, обрабатываемых в информационных системах.
5.6. Общий контроль за соблюдением законодательства и Политики осуществляет лицо, ответственное за организацию обработки персональных данных в Компании.
5.7. Руководители структурных подразделений несут ответственность за соблюдение установленных в Компании требований по защите персональных данных работников своего подразделения.
5.8. Руководители структурных подразделений получают указания непосредственно от Генерального директора и Менеджера отдела по работе с персоналом и подотчетны по вопросам организации процесса обработки ПД данным лицам.
5.9. Лицо, ответственное за организацию обработки персональных данных в Компании, обязано:
- осуществлять внутренний контроль за соблюдением работниками законодательства Российской Федерации о персональных данных, локальных нормативных актов, включая данную Политику по вопросам защиты персональных данных;
- доводить до сведения Работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
При этом Лицо, ответственное за организацию обработки персональных данных в Компании, вправе делегировать свои полномочия руководителям структурных подразделений.
5.10. Должностные лица (Работники Компании), допущенные к обработке персональных данных, несут персональную ответственность за соблюдение требований локальных нормативных актов Компании по работе с персональными данными лиц, к которым они имеют доступ.
5.11. Принципы и требования по обеспечению безопасности ПД распространяются на все возможные формы существования информации, такие как:
- физические поля (электрические, акустические, электромагнитные, оптические и т.п.);
- носители (электронные – магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флэш-накопители, бумажные носители);
- на все возможные форматы представления ПД, такие как:
- документы;
- голос;
- изображения;
- файлы;
- почтовые сообщения;
- базы данных;
- записи базы данных;
- другие информационные массивы.
5.12. Целью создания системы защиты ПД является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД, а также иных неправомерных действий, путем обеспечения:
- конфиденциальности;
- целостности;
- доступности;
- невозможности отказа от авторства;
- учета;
- аутентичности;
- адекватности.
5.13. Предотвращение несанкционированного (в том числе и случайного) и незаконного доступа к информационным системам, технологиям и информационным ресурсам, результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПД, требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием средств защиты информации.
5.14. К основным мерам в области обеспечения безопасности ПД относится:
- определение угроз безопасности ПД и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные законодательством уровни защищенности ПД;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
- учет машинных носителей ПД;
- обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятия мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПД и по реагированию на компьютерные инциденты в них;;
- разработка (актуализация) документации по системе защиты ПД;
- эксплуатация системы защиты ПД в соответствии с документацией на нее;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- обеспечение восстановления ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к ПД, обрабатываемым в информационной системе Компании, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе;
- контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем ПД;
- уничтожение ПД в установленном порядке;
- оптимизация информационных и бизнес-процессов обработки ПД;
- управление взаимодействиями с внешними контрагентами по вопросам обработки ПД;
- обучение персонала по вопросам защиты ПД;
- реагирование на нештатные ситуации, расследование нештатных ситуаций, возникающих при обработке ПД.
5.15. Копирование и составление выписок из документов, содержащих ПД, разрешается исключительно в рабочих целях с письменного разрешения руководителя структурного подразделения.
5.16. Обслуживание помещения (уборка или различный ремонт помещения, инженерно-технического оборудования) проводится обслуживающим персоналом только в присутствии и под присмотром хотя бы одного из Работников, имеющего право самостоятельно находиться в помещении. В случае, если возможность присмотра отсутствует, то носители информации персональных данных должны быть защищены от несанкционированного доступа (например, размещения носителей только в запираемых шкафах и др. способами, обеспечивающими отсутствие несанкционированного доступа).
5.17. Работники подразделения, обеспечивающие контроль действий обслуживающего персонала в помещении, обязаны не допускать несанкционированных действий в отношении информационной системы, бумажных и магнитных носителей информации и т.п., содержащих ПД.
5.18. Капитальный и/или иной ремонт, продолжительный по времени и требующий высвобождения рабочей площади помещения, может проводиться и без присмотра, однако при этом в обязательном порядке:
- носители информации должны быть вынесены из ремонтируемого помещения в другое контролируемое помещение;
- по окончанию ремонта должны быть сменены ключи и/или коды доступа в помещение (если таковые предоставлялись третьим лицам, осуществляющим такой ремонт).
5.19. Для сохранения целостности и доступности ПД, а также для обеспечения непрерывности бизнес-процессов, связанных с обработкой ПД, Компания организовывает мероприятия по резервному копированию ПД.
5.20. В Компании также реализуются следующие требования к защите персональных данных:
- организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- реализовано обеспечение сохранности носителей персональных данных;
- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;
- используются средства защиты информации;
- реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право:
- на доступ к его персональным данным;
- на получение информации, касающейся обработки его персональных данных;
- на обжалование действий или бездействий Компании.
6.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъект ПД имеет право отправить в Компанию запрос на предоставление необходимых субъекту ПД сведений, содержащих информацию об обработке его ПД. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, как указано в п. 4.1 Политики выше.
6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.
6.7. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Система локальных нормативных актов по защите персональных данных в Компании
7.1. Система локальных нормативных актов - совокупность локальных нормативных актов Компании, описывающих порядок обработки персональных данных должностными лицами/работниками Компании.
7.2. Система ЛНА включает следующие акты:
- Данную Политику,
- Положение по защите ПД работников и лиц, чьи данные обрабатываются в связи с трудовыми отношениями с Работодателем,
- Положение по защите ПД субъектов, чьи данные обрабатываются в связи с деловыми отношениями с Компанией.
7.3. Компания может в рамках своих полномочий и в рамках системы ЛНА по ПД издавать и иные локальные нормативные акты, которые будут регулировать отдельные вопросы обработки персональных данных, обязанности и права отдельных структурных подразделений и должностных лиц/работников.
7.4. ЛНА Компании не содержат положения, ограничивающие права субъектов ПД, а также не возлагают на Компанию не предусмотренные законодательством полномочия и обязанности.
7.5. Ответственные лица в сфере работы с ПД определяются в отдельных ЛНА, указанных в п.7.2. данной Политики, а также в иных локальных актах и распорядительных документах Компании.
7.6. Субъекты ПД, перечень ПД, обрабатываемые Компанией, действия, которые осуществляются с ПД, определяются:
- законодательством РФ,
- ЛНА, входящими в систему ЛНА по ПД,
- согласиями субъектов ПД.
7.7. При изменении законодательства локальные нормативные акты, составляющие систему ЛНА по ПД Компании, актуализируются с учетом новых требований законодательства.