Лидер по продаже строительных материалов
Доставка точно в срок
365 дней возврат товара
Качественный сервис
Приём заявок с 8:00 до 21:00
+7 (3822) 90-00-17
Войдите, чтобы использовать персональные скидки и бонусы, создавать и добавлять новые списки покупок, синхронизировать корзину с вашим смартфоном и отслеживать заказы!
Каталог
товаров
Здесь вы можете сравнить товары.
Здесь вы можете посмотреть список ожидаемых покупок
Здесь вы можете посмотреть список недавно просмотренных товаров
0 ₽
0 товаров
Ваша корзина (0)
Для использования скидочной карты войдите или зарегистрируйтесь
Общая сумма товаров: 0
Общая сумма скидки: 0
Итого к оплате: 0
Оформить заказ
Ваши товары в корзине хранятся 14 дней
Добавляейте товары в корзину и совершайте покупки
Скрыть Показать боковое меню
Главная — Политика обработки персональных данных в группе компаний "Стройпарк"

Политика обработки персональных данных в группе компаний "Стройпарк"

1. Положение о порядке обработки персональных данных в группе компаний «Строй Парк».

Подробнее

1.Назначение и область применения

1.1.Положение о защите персональных данных (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн) предназначена для организации и проведения мероприятий по обеспечению защиты персональных данных группой компаний «Строй Парк» в соответствии с требованиями Федерального закона РФ от 27 июля 2006 года № 152-ФЗ  «О персональных данных».

Под Группой компаний понимаются ООО «Строй Парк» и юридические лица, управляемые ООО «Строй Парк» -  ООО «СП-Центр», ООО «Строй Парк-Р», ООО «Строй Парк-Логистик», ООО «Строй Парк-С», ООО «Строительная компания «Сибирь-2008» (далее - Компания) .

1.2.Настоящее Положение определяет порядок организации работ, требования, правила и рекомендации по обеспечению защиты персональных данных в Компании.

1.3.Настоящее Положение является внутренним локальным актом Компании по вопросам обеспечения безопасности персональных данных, обрабатываемых в Компании. Требования Положения обязательны для выполнения всеми работниками Компании, которые допущены к обработке персональных данных и реализуют мероприятия по защите персональных данных.

1.4.К другим внутренним локальным актам Компании по вопросам обеспечения безопасности персональных данных, обрабатываемых в Компании, относятся:

  • Инструкция Пользователя ИСПДн;
  • Инструкция Администратора безопасности ИСПДн;
  • Инструкция Администратора ИСПДн;
  • Инструкция о действиях в случае возникновения нештатных ситуаций;
  • Инструкция о порядке работы при подключении к сетям общего пользования и (или) международного обмена;
  • Инструкция о порядке ТО, ремонта, модернизацииТС, обновления ПО;
  • Инструкция Ответственного за организацию обработки ПДн;
  • Инструкция по защите информации о событиях безопасности в ИСПДн;
  • Инструкция по идентификации и аутентификации пользователей;
  • Инструкция по использованию в ИСПДн мобильных устройств;
  • Инструкция по организации и проведению резервного копирования;
  • Инструкция по предоставлению доступа к ИСПДн;
  • Регламент учета, использования и уничтожения МНИ;
  • Регламент взаимодействия по вопросам защиты ПДн;
  • Порядок проведения внутренних проверок условий обработки и защиты ПДн;
  • Положение по организации антивирусной защиты;
  • Положение о правилах рассмотрения запросов субъектов персональных данных;
  • Положение о правилах работы с обезличенными данными, в случае обезличивания ПДн;
  • Положение о порядке обработки персональных данных;
  • Инструкция по управлению конфигурацией в ИСПДн;
  • Инструкция по работе с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями;
  • Инструкция по проведению внутреннего контроля режима обработки и защиты персональных данных;
  • Инструкция по контролю эффективности защиты информации.

2.Общие положения

2.1.Целью защиты ПДн является предотвращение возможной утечки информации и (или) несанкционированного и непреднамеренного изменения или разрушения ПДн.

2.2.Защита ПДн достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от несанкционированного доступа, программно-математических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

2.3.Все сотрудники Компании, обрабатывающие ПДн и обеспечивающие защиту ПДн, должны быть ознакомлены с настоящим Положением под подпись.

3.Персональные данные, подлежащие защите

3.1.Персональные данные, подлежащие защите, утверждаются приказом руководителя Компании в виде перечня обрабатываемых персональных данных.

3.2.Персональные данные, подлежащие защите в Компании, обрабатываются без использования средств автоматизации, а также с использованием средств автоматизации, в ИСПДн.

3.3.Проверка соответствия состава обрабатываемых персональных данных осуществляется ежегодно в рамках проведения уполномоченными сотрудниками Компании мероприятий по контролю состояния защиты персональных данных в Компании. Изменения, дополнения перечня персональных данных, обрабатываемых в Компании, осуществляются ежегодно на основании информации, предоставляемой руководителями подразделений, в которых осуществляется обработка персональных данных.

4.Организационная система обеспечения безопасности персональных данных 

4.1.В состав организационной системы обеспечения безопасности ПДн Компании входят:

  • Руководитель Компании; 
  • Ответственный за организацию обработки персональных данных, назначаемый приказом руководителя Компании из числа должностных лиц руководящего состава Компании;
  • Администратор безопасности ИСПДн (далее - Администратор ИБ) , назначаемый приказом руководителя Компании из числа сотрудников отдела по информационной безопасности, выполняющих функции по защите информации;
  • Администратор ИСПДн, назначаемый приказом руководителя Компании из числа сотрудников департамента ИТ, выполняющих функции по обеспечению работоспособности ИСПДн;
  • Руководители подразделений Компании, в которых осуществляется обработка ПДн.

4.2.Общее руководство организацией работ по защите ПДн осуществляет руководитель Компании.

4.3.Ответственный за организацию обработки персональных данных получает указания непосредственно от руководителя Компании и подотчетно ему. Обязанности ответственного за организацию обработки персональных данных определены в «Инструкции ответственного за организацию обработки персональных данных».

4.4.Ответственный за организацию обработки персональных данных, в рамках обеспечения безопасности ПДн выполняет следующие функции: 

  • организует процессы разработки, утверждения и корректировки локальных правовых актов Компании по обеспечению безопасности ПДн;
  • доводит до сведения сотрудников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организует внутренний контроль за соблюдением сотрудниками Компании законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

4.5.Ответственный за организацию обработки персональных данных также осуществляет организацию работ по созданию системы защиты ПДн (далее – СЗПДн) и разработке организационно-распорядительных документов (далее – ОРД) , регламентирующих вопросы обеспечения безопасности ПДн.

4.6.Администратор ИБ выполняет следующие функции: 

  • согласовывает изменения списка пользователей ИСПДн;
  • осуществляет контроль настроек средств защиты информации в соответствии с изменениями в списке пользователей ИСПДн; 
  • осуществляет взаимодействие со структурными подразделениями Компании, в том числе обеспечивает и обобщает предложения от подразделений по совершенствованию и реализации мероприятий по обеспечению безопасности ПДн в ИСПДн Компании;
  • контролирует деятельность структурных подразделений Компании по выполнению ими установленных требований обеспечения безопасности ПДн в ИСПДн Компании;
  • организует расследования по фактам разглашения или утечки персональных данных в Компании.

4.7.Права и обязанности администратора ИБ определены в «Инструкции администратора безопасности ИСПДн».

4.8.Администратор ИСПДн выполняет следующие функции: 

  • вносит изменения списка пользователей ИСПДн;
  • осуществляет системное администрирование серверов, сетевого оборудования, администрирование прикладных систем ИСПДн, рабочих станций ИСПДн; 
  • осуществляет резервное копирование защищаемых информационных ресурсов;
  • контролирует деятельность структурных подразделений Компании по выполнению ими установленных правил работы в ИСПДн Компании;

4.9.Права и обязанности администратора ИБ определены в «Инструкции администратора ИСПДн».

4.10.Руководители подразделений Компании, сотрудникам которых предоставлен доступ к ПДн: 

  • формируют заявки на допуск пользователей к обработке ПДн в ИСПДн;
  • обеспечивают выполнение мероприятий по защите ПДн в подразделениях Компании;
  • готовят предложения в перечень персональных данных, в список сотрудников, допущенных в помещения, где ведется обработка ПДн и в список сотрудников, допущенных к работе в ИСПДн, предназначенных для выполнения функций подразделения.

4.11.Сотрудники, которым предоставлен доступ к обработке ПДн без использования средств автоматизации, реализуют организационные меры по обеспечению сохранности носителей ПДн и выполнению процедур по соблюдению требований законодательства.

4.12.Пользователи ИСПДн Компании реализуют требования безопасности информации, принятые для ИСПДн, исполняют установленные режимы защиты ПДн, обеспечивают строгое исполнение предписанных правил работы в ИСПДн. Права и обязанности пользователей ИСПДн определены в «Инструкции пользователя ИСПДн».

5.Защита персональных данных при обработке без использования средств автоматизации

5.1.Требования к обеспечению безопасности персональных данных при их обработке без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.2.Порядок обработки ПДн без использования средств автоматизации устанавливается в Положении об организации обработки персональных данных в Компании.

5.3.Защита ПДн, обрабатываемых без использования средств автоматизации, обеспечивается выполнением следующих мероприятий:

  • определением мест хранения персональных данных (материальных носителей) и перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • обеспечением раздельного хранения персональных данных (материальных носителей) , обработка которых осуществляется в различных целях в соответствии с Положением об организации обработки персональных данных в Компании;
  • соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

5.4.Бумажные носители ПДн подлежат уничтожению по достижении целей обработки и/или в случае истечения их сроков хранения носителей ПДн. Уничтожение носителей осуществляется по Акту, в соответствии с Порядком (инструкцией) уничтожения персональных данных в Компании.

5.5.Бумажные носители ПДн постоянного срока хранения (свыше 5 лет) передаются в архив Компании.

6.Защита персональных данных при обработке в информационных системах персональных данных

6.1.Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  1. Определение требуемого уровня защищенности ИСПДн Компании.
  2. Определение угроз безопасности персональных данных при их обработке в ИСПДн, формирование на их основе модели угроз.
  3. Разработка модели нарушителя.
  4. Разработка на основе модели угроз и модели нарушителя системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего уровня защищенности информационных систем.
  5. Применение прошедших в установленном порядку процедуру оценки соответствия средств защиты информации.
  6. Описание системы защиты персональных данных.
  7. Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.
  8. Обучение лиц, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними.
  9. Оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
  10. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  11. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных.
  12. Учет лиц, допущенных к работе с персональными данными в информационной системе.
  13. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, включая контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
  14. Разбирательство и составление заключений по фактам несоблюдения условий хранения машинных носителей персональных данных, некорректного использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
  15. Принятие мер в случае обнаружения фактов несанкционированного доступа к персональным данным.
  16. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.2.Определение уровня защищенности ИСПДн и моделирование угроз безопасности ПДн.

6.2.1.Определение уровня защищенности ИСПДн проводится в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных» (утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119) .

6.2.2.Определение уровня защищенности ИСПДн проводит специальная Комиссия, состав которой утверждается приказом руководителя Компании. 

6.2.3.Результаты работы Комиссии утверждаются Актом установления уровня защищенности ИСПДн.

6.2.4.Уровень защищенности ИСПДн может быть пересмотрен:

  • по решению Комиссии по определению уровня защищенности информационных систем персональных данных при изменении характеристик ИСПДн;
  • по решению Комиссии по определению уровня защищенности информационных систем персональных данных, исходя из результатов проведенных мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

6.2.5.Уточнение и пересмотр уровня защищенности ИСПДн осуществляется в случае изменения:

  • состава обрабатываемых ПДн в ИСПДн (изменении категории ПДн) ;
  • количества обрабатываемых ПДн;
  • типа актуальных угроз безопасности ПДн (угрозы наличия и использования недекларированных возможностей в системном или прикладном ПО) .

6.2.6.Все имеющиеся и вводимые в эксплуатацию ИСПДн вносятся в перечень ИСПДн Компании. 

6.2.7.Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных разрабатывается с использованием методических документов ФСТЭК России и (или) ФСБ России. Результаты определения и оценки актуальных угроз безопасности ПДн при их обработке в ИСПДн Компании утверждаются приказом руководителя Компании. 

6.2.8.Выявление угроз безопасности ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе метода экспертных оценок, в том числе путем опроса специалистов по информационным технологиям, персонала ИСПДн, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса могут составляться специальные опросные листы.

6.2.9.Анализ актуальности моделей угроз безопасности ПДн должен проводиться в соответствии с «Инструкцией по проведению внутреннего контроля режима обработки и защиты персональных данных».

6.2.10.Уточнение и пересмотр угроз безопасности ПДн при их обработке в ИСПДн осуществляется вне зависимости от проведения плановых проверок состояния защиты ПДн в случаях:

  • изменения технологических процессов обработки ПДн;
  • изменения состава средств защиты информации в ИСПДн;
  • изменения характеристик ИСПДн, влияющих на уровень защищенности (наличие подключений к сетям общего пользования, тип ИСПДн и т.д.) .

6.2.11.При необходимости применения (в случае передачи ПДн по незащищенным каналам связи) средств криптографической защиты информации для ИСПДн разрабатывается Модель нарушителя безопасности персональных данных на основе «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных» ФСБ России. На основе такой модели нарушителя для ИСПДн определяется уровень криптографической защиты ПДн, которому должны соответствовать применяемые средства криптографической защиты.

6.3.Требования к обеспечению безопасности ПДн при их обработке в ИСПДн.

6.3.1.Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью системы защиты персональных   данных (СЗПДн) , включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

6.3.2.Требования к СЗПДн разрабатываются на основе модели угроз и модели нарушителя и должны обеспечивать нейтрализацию предполагаемых актуальных угроз, выявленных по результатам моделирования. Требования формируются на основании методов и способов защиты информации для соответствующего класса информационных систем, задаваемых требованиями нормативных документов по защите ПДн ФСТЭК России и ФСБ России.

6.3.3.Методы и способы защиты персональных данных включают в себя:

–реализацию разрешительной системы допуска пользователей к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

–разграничение доступа пользователей к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

–регистрацию действий пользователей, контроль несанкционированного доступа и действий пользователей, посторонних лиц;

–учет и хранение съемных носителей информации, их обращение, исключающее хищение, подмену и уничтожение;

–резервирование технических средств, дублирование массивов и носителей информации;

–использование сертифицированных средств защиты информации;

–использование защищенных каналов связи;

–размещение технических средств, позволяющих осуществлять обработку персональных данных, только в пределах охраняемой территории (рабочие станции, серверы, коммутационное оборудование, сетевые принтеры) ;

–организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;

–предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) с использованием средств антивирусной защиты. 

6.4.Разрешительная система допуска пользователей к информационным ресурсам.

6.4.1.Разграничение доступа к информационным ресурсам, содержащим ПДн, должно осуществляться на основании должностных обязанностей сотрудников, допущенных к работе с персональными данными в Компании. Список сотрудников Компании, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных обязанностей, утверждается приказом руководителя Компании.

6.4.2.Допуск сотрудника к информационным ресурсам ИСПДн должен оформляться в виде заявки на регистрацию и/или предоставление доступа к сетевым ресурсам от руководителей структурных подразделений Компании, согласованной с начальником подразделения ИТ и Администратором безопасности ИСПДн Компании.

6.4.3.Согласованная заявка на допуск сотрудника к информационным ресурсам ИСПДн передается на исполнение в подразделение ИТ Компании. Заявка должна храниться в подразделении ИТ Компании в течение всего срока эксплуатации ИСПДн. 

6.4.4.Проверка соответствия пользователей ИСПДн, определенных в матрице доступа к ИСПДн, с имеющимися заявками на предоставление доступа сотрудников Компании к ИСПДн, осуществляется на периодической основе в соответствии с «Инструкцией по проведению внутреннего контроля режима обработки и защиты персональных данных».

6.5.Регистрация действий пользователей.

6.5.1.Регистрация действий пользователей должна осуществляться средствами системного программного обеспечения и СЗИ ИСПДн.

6.5.2.Подлежат обязательной регистрации следующие операции, осуществляемые в ИСПДн:

–регистрация входа (выхода) пользователей в систему (из системы) , либо регистрация загрузки и инициализации операционной системы и ее программного останова. 

–регистрация запуска (завершения) программ и процессов (заданий, задач) , предназначенных для обработки персональных данных;

–регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

–регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа.

6.6.Обеспечение безопасности при хранении носителей информации ПДн.

6.6.1.Подлежат учету следующие защищаемые носители ПДн:

–накопители на жестких магнитных дисках, установленные в серверы ИСПДн;

–накопители на жестких магнитных дисках, установленные в АРМ, на которых предусмотрено хранение ПДн;

–накопители для хранения резервных копий;

–внешние носители ПД (дискеты, компакт-диски, flash-накопители) , на которых технологией обработки ПДн разрешается хранение или передача ПДн.

6.6.2.Учет защищаемых носителей информации должен осуществляться в Журналах учета электронных носителей ПДн в соответствии с «Инструкцией по работе с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями».

6.6.3.Обязанность по ведению учета внешних носителей ПДн (дискет, компакт-дисков, flash-дисков, на которые осуществляется кратковременное хранение ПДн и/или передача их во внешние организации) возлагается на Администратора безопасности ИСПДн Компании.

6.6.4.В случае смены владельца или назначения, списания и выведения из эксплуатации защищаемых носителей информации необходимо обеспечить уничтожение ПДн с носителей. Уничтожение информации с носителей информации должно осуществляться путем многократной записи информации на носители и/или путем физического уничтожения носителя. 

6.6.5.По факту уничтожения носителя ПДн должен составляться соответствующий Акт, в порядке, предусмотренном «Инструкцией по работе с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями».

6.7.Резервирование технических средств, дублирование массивов и носителей информации.

6.7.1.Обеспечение целостности и доступности ПДн, программных и аппаратных средств ИСПДн, а также средств защиты, при их случайной или намеренной модификации, должно осуществляться с помощью резервного копирования (дублирования массивов и носителей информации) обрабатываемых данных, резервирования элементов ИСПДн.

6.7.2.Для обеспечения целостности ИСПДн должны выполняться следующие мероприятия по резервированию:

–резервные копии информационных ресурсов, содержащих ПДн, должны храниться в специально выделенном месте, территориально отдаленном от места обработки самой информации;

–для обеспечения сохранности резервных копий должен быть применён комплекс организационных и физических мер защиты от НСД;

–носители, на которые осуществляется резервное копирование, должны регулярно проверяться на отсутствие механических повреждений, сбоев логической структуры, файловой системы;

–должны проводиться регулярные проверки процедур восстановления данных.

6.8.Использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

6.8.1.При защите ПДн используются СЗИ, сертифицированные в системах сертификации Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации в пределах их полномочий.

6.8.2.При использовании средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (сертификацию) , должны выполняться следующие мероприятия:

–установка и ввод в эксплуатацию средств защиты информации осуществляется в соответствии с эксплуатационной и технической документацией сотрудниками сектора информационных технологий и организационно-документационного обеспечения Компании;

–проведение обучения работников Компании, использующих средства защиты, правилам работы с ними;

–учет применяемых средств защиты информации, эксплуатационной и технической документации к ним (Журнал учета средств защиты информации, эксплуатационной и технической документации к ним (Форма З14) , Журнала учета средств криптографической защиты информации, эксплуатационной и технической документации к ним (Форма З15) ) ;

–контроль Администратором ИБ соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; 

–проведение Администратором ИБ периодического тестирования средств защиты в соответствии с эксплуатационной документацией на СЗИ. (Журнала проведения периодического тестирования СЗИ (Форма З16) ;

–проведение Администратором ИБ разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению целостности, конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.

6.9.Использование защищенных каналов связи.

6.9.1.При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) основными методами и способами защиты информации от несанкционированного доступа являются:

–межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; 

–обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных; 

–анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности) ; 

–защита информации при ее передаче по каналам связи; 

–использование средств антивирусной защиты; 

–централизованное управление системой защиты персональных данных информационной системы. 

6.9.2.Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена дополнительно должны применяться следующие основные методы и способы защиты информации от несанкционированного доступа:

–проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена данных; 

–управление доступом к защищаемым персональным данным информационной сети. 

6.9.3.Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена должны применяться следующие основные методы и способы защиты информации от несанкционированного доступа:

–создание канала связи, обеспечивающего защиту передаваемой информации; 

–осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных. 

6.10.Физическая защита помещений и технических средств.

6.10.1.Размещение ИСПДн и охрана помещений, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

6.10.2.Выполнение требований по исключению возможности неконтролируемого проникновения или пребывания в помещениях ИСПДн посторонних лиц реализуется осуществлением организационных и технических мер по созданию контролируемой зоны (КЗ) Компании.

6.10.3.Границами КЗ могут являться:

–периметр охраняемой территории Компании;

–ограждающие конструкции охраняемого здания;

–стены помещений Компании.

6.10.4.В состав КЗ должны входить

–помещения, в которых размещены рабочие станции, серверы, сетевое оборудование, входящие в состав ИСПДн;

–помещения, в которых проходят кабельные линии связи ИСПДн;

–помещения, в которых хранятся бумажные носители ПДн (архивы, помещения сотрудников Компании) . 

6.10.5.Размещение технических средств, обрабатывающих ПДн, должно осуществляться с учетом требования минимизации доступа в рабочие помещения лиц, не связанных с обработкой ПДн и обслуживанием оборудования.

6.10.6.Доступ посторонних лиц (посетителей, работников обслуживающих организаций) в контролируемую зону в рабочее время осуществляется только в сопровождении работников Компании.

6.10.7.Размещение устройств отображения и печати информации, используемых в составе ИСПДн, должно осуществляться с учетом максимального затруднения визуального просмотра информации посторонними лицами.

6.10.8.Серверы и коммуникационное оборудование ИСПДн должны располагаться в отдельном помещении или в металлических шкафах с прочной запираемой дверью. Ключи от дверей помещений и шкафов должны быть только у лиц, имеющих право доступа в них.

6.10.9.В нерабочее время доступ в контролируемую зону должен быть исключен следующими мерами:

1) Заключением договора с арендодателем (охранным предприятием) , обязательными условиями которого являются следующие обязанности арендодателя (охранного предприятия) :

–организация и обеспечение контроля доступа в арендуемые помещения работников и посетителей в рабочее время.

–организация и обеспечение охраны помещений в нерабочее время, а также в выходные и праздничные дни.

–не допускать проникновения и пребывания посторонних лиц в помещениях в нерабочее время, а также в выходные и праздничные дни. При необходимости использования помещений в указанное время, допуск в помещения осуществляется по письменной заявке ответственным лицом.

2) В случае отсутствия возможности заключения договора с арендодателем (охранным предприятием) для реализации мер по охране контролируемой зоны в нерабочее время необходимо выполнять следующие требования:

–на всех остекленных проемах первого и последнего этажа должны быть установлены металлические решетки или ставни с запорами;

–двери в помещения контролируемой зоны должны быть металлическими, с надежными замками;

–хранение ключей осуществляется назначенным приказом руководителя Компании ответственным лицом с выдачей под роспись сотрудникам Компании в случае необходимости.

6.11.Использование средств антивирусной защиты.

6.11.1.Средства антивирусной защиты предназначены для реализации следующих функций: 

–антивирусное сканирование;

–блокирование вредоносных программ;

–автоматизированное обновление антивирусных баз;

–ограничение прав пользователя на изменение настроек антивирусного программного обеспечения;

–автоматический запуск сразу после загрузки операционной системы.

6.11.2.Подсистема антивирусной защиты реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн. 

6.11.3.Обо всех случаях сбоев антивирусного программного обеспечения (появления сообщений об ошибках) пользователь должен немедленно уведомлять Администратора ИБ.

6.12.Порядок разработки, ввода в действие и эксплуатации СЗПДн

6.12.1.Требования по защите ПДн для каждой ИСПДн должны формироваться в виде Технического задания на создание СЗПДн в ИСПДн на этапе разработки (модернизации) ИСПДн. 

6.12.2.Требования должны формироваться на основании положений руководящих документов ФСТЭК России и ФСБ России.

6.12.3.Для вновь создаваемых ИСПДн, а также для функционирующих ИСПДн, не включающих в себя СЗПДн проводятся следующие мероприятия:

–обследование ИСПДн и разработка технического (частного технического) задания на создание СЗПДн;

–проектирование и реализация ИСПДн и СЗПДн в её составе;

–ввод в действие СЗПДн, включающее опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

6.12.4.Для функционирующих ИСПДн, включающих в себя СЗПДн, доработка (модернизация) СЗПДн должна проводиться в случае, если:

–изменился состав обрабатываемых ПДн;

–изменился состав или структура самой ИСПДн или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ЛВС ИСПДн) или технологический процесс обработки ПДн, вследствие которого произошли изменения в структуре ИСПДн;

–изменился состав угроз безопасности ПДн в ИСПДн;

–изменился класс ИСПДн.

6.13.Порядок оценки эффективности принимаемых мер по обеспечению безопасности ПДн в период эксплуатации ИСПДн.

6.13.1.Оценка эффективности принимаемых мер в ИСПДн выполняется в соответствии с «Инструкцией по контролю эффективности защиты информации», а также на основании доказательств, полученных с участием привлеченных организаций (внешний аудит) , имеющих необходимые лицензии ФСТЭК РФ и ФСБ РФ.

7.Требования к персоналу по обеспечению безопасности персональных данных

7.1.При вступлении в должность нового сотрудника непосредственный руководитель структурного подразделения Компании, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими порядок обработки и обеспечения защиты ПДн. Администратор ИБ обучает навыкам выполнения процедур, необходимых для работы в ИСПДн Компании и выполнения требований по защите ПДн в ИСПДн.)

7.2.Сотрудники Компании должны соблюдать установленные организационно-распорядительными документами требования по режиму обработки персональных данных, учету, хранению, передаче носителей информации и обеспечению безопасности ПДн.

7.3.Сотрудники Компании должны быть проинформированы об ответственности за нарушение требований по обеспечению безопасности ПДн на момент заключения трудового договора с Компанией специалистам департамента управления персоналом.

8.Контроль за принимаемыми мерами по обеспечению безопасности персональных данных 

8.1.Целью контроля состояния защиты является своевременное выявление и предотвращение утечки информации.

8.2.Контроль состояния защиты ПДн в Компании должен осуществляться ежегодно, в соответствии с утвержденным Планом внутренних проверок состояния защиты персональных данных. (Журнал учета проведения мероприятий приведена (Форма З17) .

8.3.Проведение контроля состояния защиты включает в себя мероприятия по оценке:

–соблюдения требований руководящих и нормативно-методических документов по защите ПДн;

–работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

–знания и выполнения персоналом своих функциональных обязанностей в части защиты ПДн.

8.4.Проверка проводится дополнительно при изменении состава технических средств и систем, условий обработки информации, содержащей ПДн.

9.Принятие мер в случае обнаружения фактов нарушения требований (несанкционированного доступа к ПДн) , разбирательство и составление заключений по фактам нарушения требований безопасности

9.1.Лицо, обнаружившее факт нарушения требований, незамедлительно уведомляет Администратора ИБ о факте нарушения.

9.2.В случаях обнаружения нарушений при обработке ПДн в ИСПДн необходимо:

–немедленно прекратить обработку ПДн в ИСПДн, где обнаружены нарушения и принять меры к их устранению;

–организовать расследование причин и условий появления нарушений с целью недопущения их в дальнейшем;

–разработать план мероприятий по устранению нарушений.

9.3.Возобновление работ разрешается только после выполнения мероприятий по устранению нарушений и проверки достаточности и эффективности принятых мер.

9.4.Порядок выполнения мероприятий, указанных в п. 9.2. определяется отдельными локальными нормативными актами Компании.

10.Порядок внесения изменений

10.1.Настоящая Положение пересматривается раз в три года и в случае изменения законодательства в области защиты ПДн.

10.2.Все изменения и дополнения в настоящее Положение утверждаются генеральным 

 

2. Положение о защите персональных данных в группе компаний «Строй Парк».

Подробнее

1.Общие положения

1.1.Положение о порядке обработки персональных данных в (далее – Положение) разработано в целях обеспечения требований законодательства РФ в области персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых группой компаний «Строй Парк».

Под группой компаний понимаются ООО «Строй Парк» и юридические лица, управляемые ООО «Строй Парк» -  ООО «СП-Центр», ООО «Строй Парк-Р», ООО «Строй Парк-Логистик», ООО «Строй Парк-С», ООО «Строительная компания «Сибирь-2008» (далее – Группа компаний, Компания) .

1.2.Положение не распространяется на устанавливаемый государственными органами режим защиты сведений, составляющих государственную тайну Российской Федерации

1.3.Требования Положения обязательны для выполнения всеми работниками Группы компаний, а также третьими лицами, которые допущены к работе с персональными данными субъектов Группы компаний.

1.4.Все работники Группы компаний и третьи лица должны быть ознакомлены с настоящим Положением под подпись.

2.Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) .

Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информационная система персональных данных – совокупность содержащихся  в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и распространения без согласия субъекта персональных данных или наличия иного законного основания.

Материальный носитель персональных данных (далее материальный носитель) – материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ (бумажный носитель) , диск, дискета, флэш-карта (электронные носители) .

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) , извлечение, использование, передачу (распространение, предоставление, доступ) , обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) , совершаемые  с персональными данными.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) .

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Работник – физическое лицо, вступившее в трудовые отношения с Компанией на основании трудового договора (срочного или бессрочного) .

Регистратор – юридическое лицо, осуществляющее деятельность по ведению реестра владельцев ценных бумаг как исключительную на рынке ценных бумаг на основании договора с эмитентом и имеющее лицензию на осуществление данного вида деятельности в соответствии с законодательством Российской Федерации.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу государственной власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Цель обработки персональных данных – конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований законодательства    и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.

3.Нормативные ссылки

1) Конституция Российской Федерации.

2) Трудовой кодекс Российской Федерации.

3) Гражданский кодекс Российской Федерации.

4) Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5) Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

6) Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью».

7) Постановление Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8) Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

9) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

10) Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.11.2011 № 312) . 

4.Субъекты, состав и цели обработки персональных данных

4.1.Субъекты персональных данных Компании

К субъектам персональных данных, обрабатываемых в Компании, относятся:

1) Работники.

2) Кандидаты на трудоустройство.

3) Контрагенты - физические лица, индивидуальные предприниматели, с которыми ведутся переговоры о заключении гражданско-правовых договоров, выступающие сторонами по заключенным договорам, а также с которыми имеются иные гражданско-правовые отношения, либо чья деятельность затрагивает права и законные интересы Группы компаний.

4) Физические лица, выступающие поручителями и (или) залогодержателями по договорам, заключаемым в обеспечение исполнения обязательств контрагентов;

5) Представители контрагентов - физические лица, действующие от имени контрагентов-юридических лиц без доверенности (директора, генеральные директора, председатели, управляющие и иные лица действующие в соответствии с полномочиями, предоставленными учредительными документами) , а также лица, действующие в силу полномочий, основанных на доверенностях.

6) Работники контрагентов.

7) Потребители - граждане, имеющее намерение заказать или приобрести либо заказывающие, приобретающие или использующие товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности (покупатели, заказчики работ (услуг) ) .

8) Представители потребителей – физические лица, действующие в силу полномочия, основанных на доверенности, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.

9) Посетители.

10) Физические лица, чьи права и законные интересы затронуты в результате осуществления деятельности Группой компаний и их представители.

4.2. Состав персональных данных

4.2.1. Перечень обрабатываемых персональных данных для каждой категории субъектов персональных данных утверждается Приказом руководителя Компании и подлежит пересмотру и уточнению ежегодно.

4.2.2 Изменения, дополнения перечня персональных данных, обрабатываемых  в Компании, осуществляются на основании информации, предоставляемой руководителями подразделений Компании.

4.3.Цели обработки персональных данных

4.3.1.Обработка персональных данных работников осуществляется в целях Обработка персональных данных работников осуществляется в целях организации кадрового учета для обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам и непосредственно связанных с ними отношений,  начисления и расчета заработной платы, исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, составления и представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ,  отражения информации в кадровых документах и ведения кадрового делопроизводства,  предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы, предоставления налоговых вычетов, содействия в трудоустройстве, обучении и продвижении по службе, повышения профессиональной репутации работников, поощрении работников путем размещения информации о них на стендах (билбордах, плакатах, вывесках, проспектах, календарях и иных полиграфических материалах) в занимаемых помещениях, на фасадах занимаемых строений, а также вне указанных помещений и строений, размещения информации о работнике (увлечениях, участиях в мероприятиях, проводимых работодателем, профессиональных достижениях) в корпоративной газете, в рекламных и информационных целях для предоставления информации о товарах, работах и услугах, условиях их приобретения, проводимых мероприятиях и акциях, для привлечения новых работников, информирования об условиях трудоустройства, социальных гарантиях, проводимых конкурсах, условиях обучения и иных условиях замещения вакантных должностей путем размещения информации в занимаемых помещениях, на фасадах занимаемых строений, а также вне указанных помещений и строений. на стендах (билбордах, плакатах, вывесках, проспектах, календарях и иных полиграфических материалах) , в видео и фотоматериалах, размещаемых в любых средствах массовой информации и на сайтах в сети-Интернет обеспечения личной безопасности работника, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя, пользования различного вида льготами в соответствии с действующим законодательством Российской Федерации, а также внутренними нормативными документами работодателя.

4.3.2.Обработка персональных данных кандидатов на трудоустройство осуществляется  в целях подбора и найма персонала в Группе компаний.

4.3.3.Обработка персональных данных контрагентов, их представителей и работников контрагентов осуществляется на основании Гражданского кодекса РФ, Налогового кодекса РФ,  в целях заключения, исполнения гражданско-правовых договоров, соблюдения нормативных правовых актов регулирующих гражданско-правовые отношения, взаимодействие с юридическими лицами и физическими лицами, деятельность которых затрагивает права и интересы Группы компаний, защита прав и законных интересов Группы компаний в судебном и во внесудебном порядке.

4.3.4.Целями обработки персональных данных лиц, выступающих поручителями, залогодержателями по договорам, заключаемым в обеспечение исполнения обязательств контрагентов является обеспечение надлежащего исполнения контрагентами обязательств, принятых в соответствии с заключенными с Группой компаний договорами, защита прав и законных интересов Группы компаний в судебном и во внесудебном порядке.

4.3.5. Потребителей и их представителей является соблюдение прав и законных интересов потребителей, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, а также в целях проведения маркетинговых и иных исследований, оказания услуг агентов и сервисных услуг, защита прав  и законных интересов Группы компаний в судебном и во внесудебном порядке.

4.3.6.Целями обработки персональных данных лиц, чьи права и законные интересы затронуты в результате осуществления деятельности Компании и их представителей является соблюдение прав и законных интересов указанных лиц, которые нарушены или могут быть нарушены в результате осуществления Компанией своей деятельности, защита прав и законных интересов Группы компаний в судебном и во внесудебном порядке.

4.3.7.Обработка персональных данных посетителей осуществляется в целях оформления заявок на пропуск посетителей на территорию Группы компаний.

4.3.8.При определении объема и характера обрабатываемых персональных данных Компания руководствуется указанными выше целями обработки персональных данных.)

5.Права и обязанности Группы компаний при обработке персональных данных 

5.1.Права Группы компаний

Компания как оператор персональных данных, вправе: 

1) Защищать свои права и законные интересы в суде.

2) Предоставлять персональные данные субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) . 

3) Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.

4) Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора) . Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных  и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

5.2.Обязанности Группы компаний

Компания как оператор персональных данных, обязана:

5.2.1.Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, связанных с обработкой персональных данных, предусмотренных законодательством Российской Федерации. К таким мерам, принимаемым Компанией, относятся:

1) Назначение в Компании ответственного за организацию обработки персональных данных.

2) Издание документов, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

3) Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.

4) Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

5) Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых в Компании мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательства Российской Федерации. 

6) Ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

5.2.2.Разрабатывать, утверждать и обеспечивать неограниченный доступ к документу (опубликовать в информационно-телекоммуникационной сети) , определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.

5.2.3.Представить документы и локальные акты, разработанные в соответствии с п. 5.2.1, по запросу уполномоченного органа по защите прав субъектов персональных данных.

5.2.4.Осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных законодательством РФ, а именно обрабатывать ПДн      в следующих случаях:

обработка ПДн осуществляется с согласия субъекта ПДн;

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта) ;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.2.5.Признавать равнозначным содержащему собственноручную подпись письменному согласию субъекта ПДн на бумажном носителе, согласие в форме электронного документа, подписанного электронной подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи.

5.2.6.Получать письменное согласие субъекта ПДн (работника Компании) на включение в общедоступные источники персональных данных (в том числе справочники, адресные книги) сведений о субъекте персональных данных: фамилии, имени, отчества, года рождения, сведений о профессии и иных персональных данных, представленных субъектом (Приложение 2 Форма З19) . 

5.2.7.Получать письменное согласие субъекта ПДн (работника Компании) на обработку персональных данных, разрешенных субъектом персональных данных для распространения. (Приложение 3 Форма З20-З20.4) .

5.2.8.Сообщить субъекту ПДн или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн и предоставить возможность ознакомления с ними в течение 30 дней с даты поступления письменного запроса от субъекта ПДн. (Приложение 4 Форма З21)

5.2.9.Безвозмездно предоставить субъекту ПДн или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту ПДн.

5.2.10.В случае отказа в предоставлении субъекту ПДн информации о наличии ПДн о соответствующем субъекте ПДн, дать в письменной форме мотивированный ответ в течение 30 дней со дня получения письменного запроса.

5.2.11.Внести изменения, уничтожить или блокировать в срок, не превышающий 7 дней, соответствующие персональные данные при предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными. О внесенных изменениях и предпринятых мерах необходимо уведомить субъекта ПДн и третьих лиц, которым персональные данные этого субъекта были переданы. (Приложение 5 Форма З22) .

5.2.12.В случае достижения цели обработки персональных данных субъектов ПДн прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней, если иное не предусмотрено федеральными законами.

5.2.13.В случае отзыва субъектом согласия на обработку своих персональных данных прекратить обработку и уничтожить персональные данные в срок, не превышающий 3-х рабочих дней с даты поступления отзыва, если иное не предусмотрено федеральными законами.

5.2.14.Исключить из общедоступных источников в рамках Компании персональные данные по требованию субъекта.

5.2.15.Сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.

6.Права субъекта персональных данных

6.1.Права субъекта персональных данных

6.1.1.Субъект ПДн вправе:

6.1.2.Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора) , которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законодательством;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законодательством.

6.1.3.Направлять запрос в Компанию на предоставление информации об обработке  в Компании своих персональных данных. (Приложение 6 Форма З23) .

Запрос может быть составлен в простой письменной форме, с указанием фамилии, имени, отчества субъекта, номера основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) , либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Субъект вправе направить повторный запрос в целях получения информации касающейся обработки его персональных данных не ранее чем через тридцать дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.1.4.Отозвать согласие на обработку ПДн. (Приложение 7 Форма З24) . 

6.1.5.Обжаловать в суде любые неправомерные действия или бездействие Компании при обработке и защите его персональных данных.

7.Порядок сбора персональных данных

7.1.1.Порядок сбора персональных данных работников

7.1.2.При заключении трудового договора работник предоставляет в соответствии со  ст. 65 Трудового кодекса РФ следующие сведения о себе: 

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

7.1.3.В отдельных случаях Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

7.1.4.Работник обязан предоставлять работодателю достоверные сведения о себе  и своевременно сообщать ему об изменении своих ПДн. 

7.1.5.Группа компаний получает письменные согласия на обработку персональных данных работника (Приложение 1 Форма З18) , в том числе в случаях передачи персональных данных третьим лицам, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ.

7.1.6.Группа компаний имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами, а также иными доступными способами.

7.2.Порядок сбора персональных данных кандидатов на трудоустройство

7.2.1.Персональные данные кандидатов на трудоустройство получаются путем предоставления кандидатами анкет по установленной форме и (или) резюме.

7.2.2.Группа компаний получает письменные согласия на обработку персональных данных кандидатов на трудоустройство, в том числе в случаях передачи персональных данных третьим лицам, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ

7.3.Порядок сбора персональных данных контрагентов

7.3.1.Условия получения персональных данных контрагентов, их представителей и работников определены в соответствующих Договорах. 

7.3.2.Контрагенты обеспечивают сбор, получение согласий субъектов ПДн для передачи их Группе компаний. Руководители организаций предоставляют персональные данные субъектов (списки работников с указанием ФИО, паспортных данных, профессии, должности) в целях проведения мероприятий по допуску указанных лиц на объекты Компании. Порядок предоставления таких сведений осуществляется в соответствии с Соглашением  о конфиденциальности, или иным документом, согласованным сторонами. 

7.3.3.Получение персональных данных контрагентов осуществляется руководителями структурных подразделений Компании, инициирующих/курирующих заключение договоров.

7.3.4.Условия получения персональных данных субъектов в целях заключения, исполнения гражданско-правовых договоров определены действующим законодательством РФ.

7.3.5.Согласие контрагентов на обработку персональных данных не требуется для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц.

7.3.6.Условия получения ПДн, необходимых для заключения договоров определяется от 27.07.2006 г. № 152-ФЗ «О персональных данных» а также внутренними документами Компании, регламентирующих порядок предоставления услуг.

7.4.Порядок сбора персональных данных физических лиц, выступающих поручителями и (или) залогодержателями по договорам, заключаемым в обеспечение исполнения обязательств контрагентов.

7.4.1.Условия получения персональных данных поручителями и (или) залогодержателями  определены в соответствующих Договорах.

7.4.2.Согласие поручителя и (или) залогодателя на обработку персональных данных не требуется для исполнения договора, стороной по которому он является, а также для заключения договора по инициативе субъекта персональных данных, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц.

7.4.3.Условия получения ПДн, необходимых для заключения договоров определяется от 27.07.2006 г. № 152-ФЗ «О персональных данных» а также внутренними документами Компании, регламентирующих порядок предоставления услуг.

7.5.Порядок сбора персональных данных потребителей и их представителей.

7.5.1.Условия получения персональных данных потребителей и их представителей в целях заключения, исполнения гражданско-правовых договоров определены действующим законодательством РФ.

7.5.2.Персональные данные потребителей и/или их представителей получаются при заполнении утвержденных в Группе компаний бланков претензий, заявлений, заказов, в том числе через интернет-магазин Компании, при этом условия получения ПДн, определяется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и размещены на сайте Компании. 

7.5.3. Согласие на обработку персональных данных не требуется для исполнения договора, стороной по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

7.6.Порядок сбора персональных данных посетителей

7.6.1.Получение персональных данных посетителей осуществляется руководителями структурных подразделений Группы компаний, инициирующих/курирующих исполнение договоров.

7.6.2.Контрагенты, направляющие представителей в Компанию, предоставляют персональные данные субъектов (списки работников с указанием ФИО, место работы) в целях проведения мероприятий по оформлению заявок на пропуск указанных лиц на объекты Компании.

7.7.Порядок сбора персональных данных лиц, чьи права и законные интересы затронуты в результате осуществления деятельности Компании и их представителей.

7.7.1. Согласие на обработку персональных данных не требуется в связи с участием лица     в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

8.Передача персональных данных

8.1. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей ПДн   в соответствии с действующим законодательством Российской Федерации, ПДн передаются  в пределах, необходимых для выполнения ими своих полномочий при мотивированном запросе.

8.2. Передача персональных данных третьим лицам (юридическим и/или физическим лицам) может осуществляться только с письменного согласия субъекта ПДн. В письменном согласии субъекта ПДн должна быть указано третье лицо (юридическое лицо и/или физическое лицо) , которому передаются ПДн, а также цель передачи и обработки ПДн.

8.3. В случае если Группа компаний на основании договора поручает обработку персональных данных другому лицу, одним из условий договора является обязанность обеспечения указанным лицом конфиденциальности данных и безопасности персональных данных при их обработке.

8.4. Документы, содержащие персональные данные, передаются через организации, специализирующиеся на почтовых рассылках, организацию федеральной почтовой связи (Федеральное государственное унитарное предприятие («Почта России») ) , а также лично работникам сторонних организаций под роспись.

8.5. Электронные документы, содержащие ПДн, передаются на учтенных носителях информации и/или по телекоммуникационным каналам связи при использовании средств криптографической защиты информации.

9.Доступ к персональным данным

9.1. Конфиденциальность персональных данных

9.1.1.Доступ к персональным данным ограничивается в соответствии с федеральными законами РФ, настоящим Положением.

9.1.2.Работники Компании и третьи лица не вправе разглашать полученные ими в результате своей профессиональной деятельности сведения о субъектах ПДн. 

9.2.Предоставление доступа к персональным данным работникам Группы компаний.

9.2.1.В Группе компаний утвержден «Перечень должностей, замещение которых предполагает обработку ПДн». 

9.2.2.Работникам, которым необходим доступ к ПДн для исполнения своих должностных обязанностей, предоставляется доступ в соответствии с «Порядком доступа в помещения,  в которых ведется обработка ПДн» и «Инструкцией по предоставлению доступа к ИСПДн».

9.2.3.Работники имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей, и использовать их лишь в целях, для которых они получены.

9.2.4.Работники, получившие доступ к ПДн, принимают обязательства о соблюдении режима конфиденциальности персональных данных, которые определены: 

  • настоящим Положением;
  • должностными инструкциями в части обеспечения безопасности ПДн,
  • а также иными локальными актами Компании.

9.2.5.Допуск работника к ПДн может быть прекращен в следующих случаях:

  • расторжение договора (независимо от причин расторжения) ;
  • однократное нарушение взятых на себя обязательств, связанных с неразглашением  и защитой ПДн;
  • по инициативе Компании.

9.2.6.Руководители структурных подразделений Компании обязаны обеспечивать контроль за допуском работников к ПДн и принимать меры по обоснованному ограничению количества лиц, имеющих доступ к соответствующим документам и ИСПДн. 

9.2.7.Доступ работников к материальным (бумажным) носителям ПДн и местам их хранения определяется в соответствии с «Перечнем мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации», утверждаемым приказом по Компании.

9.3.Предоставление доступа к персональным данным органам государственным власти

9.3.1.Доступ к ПДн органам государственной власти предоставляется в случаях, предусмотренных Федеральными законами, в том числе:

  • в целях предупреждения угрозы жизни и здоровья субъекта ПДн;
  • в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
  • в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона     от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».

9.3.2.Доступ к ПДн на основании и во исполнение Федеральных законов, предоставляется: 

Государственной инспекции труда, федеральным органам исполнительной власти, осуществляющим функции по контролю и надзору в установленной сфере деятельности и их территориальным оргагам;

  • Федеральной налоговой службе, ее территориальным органам, структурным подразделениям; 
  • Федеральной службе государственной статистики и её территориальным органам; 
  • Федеральному фонду обязательного медицинского страхования и его территориальным органам; 
  • Военным комиссариатам;
  • Фонду социального страхования РФ;
  • Пенсионному фонду РФ,
  • иным лицам в порядке, предусмотренном действующим законодательством.

9.4.Предоставление доступа к персональным данным средствам массовой информации

9.4.1.В соответствии с Федеральным законом от 27.12.1991 № 2124-1 «О средствах массовой информации» средства массовой информации (далее - СМИ) имеют право обращаться с запросами, в ответ на которые организация обязана предоставить необходимые СМИ сведения, если они не составляют коммерческую тайну или иную специально охраняемую законом тайну.

9.4.2.Группа компаний может предоставлять средствам массовой информации только общедоступные персональные данные.

9.4.3.При получении Компанией запроса от СМИ в отношении сведений, составляющих ПДн, проводится экспертная оценка запрашиваемых сведений в соответствии с требованиями принятой в Компании информационной политике.

9.4.4.Группа компаний готовит мотивированное заключение об отказе или предоставлении информации, касающейся ПДн в трехдневный срок со дня получения запроса.

9.5.Предоставление доступа к ПДн третьим лицам (юридическим и/или физическим лицам, индивидуальным предпринимателям)

9.5.1.Третьи лица для получения доступа к персональным данным обязаны предоставить  в Группу компаний в письменной форме запрос. 

9.5.2.Персональные данные субъекта могут быть представлены третьим лицам только  с письменного согласия субъекта. В письменном согласии субъекта ПДн должно быть указано третье лицо (юридическое лицо и/или физическое лицо) , которому передаются ПДн, а также цель передачи и обработки ПДн.

9.5.3.В случае принятия решения о предоставлении доступа к ПДн субъекта организации и/или третьему лицу Компания направляет ответ о предоставлении информации в письменной форме.

9.5.4.Обращения (запросы) на предоставление доступа к обрабатываемым персональным данным с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов ПДн (Приложение 8 Форма З25) ) . Журналы учета обращений субъектов ПДн ведутся во всех структурных подразделениях, в которых осуществляется обработка ПДн субъектов.

9.5.5.Предоставление доступа к ПДн субъектов организациям, физическим лицам, которые на основании договоров осуществляют обработку ПДн, в порядке, установленном законодательством РФ, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ) .

10.Порядок хранения и уничтожения материальных носителей персональных данных

10.1.Порядок учета, хранения носителей персональных данных

10.1.1.Хранение ПДн осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. 

10.1.2.Учет, хранение, обращение материальных носителей ПДн, осуществляется  в соответствии с правилами, установленными внутренними организационно-распорядительными документами Компании и действующим законодательством.

10.1.3.Хранение материальных носителей ПДн осуществляется:

  •  в специально оборудованных помещениях, обеспеченных противопожарной сигнализацией, огнетушителем; 
  • в электронных хранилищах (базах данных) информации (серверы, персональные компьютеры, ноутбуки, твердотельные устройства памяти, переносные жесткие диски и т. п.)    с применением информационных технологий.

10.1.4.С момента заведения и до передачи в архив Компании материальные носители ПДн хранятся в соответствии с «Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации».

10.1.5.При необходимости распространения персональные данные могут помещаться на электронные носители информации. Регистрация и учет электронных носителей персональных данных ведется работниками структурных подразделения в соответствии  с «Регламентом учета, использования и уничтожения МНИ».

10.1.6.За сохранность конкретного носителя ПДн отвечает работник, получивший данный носитель в пользование, под роспись в Журнале учета МНИ.

10.1.7.О фактах утраты материальных носителей ПДн либо разглашения содержащихся в них сведений немедленно ставятся в известность непосредственный руководитель и руководитель подразделения ИБ.

10.1.8.Запрещается хранить материальные носители ПДн в не запираемых ящиках рабочих столов и других, неприспособленных для этого местах.

10.2.Сроки хранения персональных данных.

10.2.1.Группа компаний осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

10.3.Порядок уничтожения персональных данных.

10.3.1.Персональные данные, материальные носители ПДн должны быть уничтожены после достижения целей их обработки и/или по истечении срока хранения ПДн.

10.3.2.Отбор (выделение) и уничтожение материалов, содержащих персональные данные, производится Комиссией. Комиссия и ее состав назначаются приказом руководителя Компании. Деятельность комиссии регулируется отдельными локальными нормативными актами Компании.

10.3.3.Отобранные к уничтожению материальные носители ПДн:

  • измельчаются механическим способом на специальном оборудовании до степени, исключающей возможность прочтения текста;
  • ПДн, хранящиеся на магнитных носителях, подлежат обязательному удалению путем полного форматирования носителя или уничтожения носителя на специальном оборудовании, о чем делается отметка в Журнале учета, в котором был зарегистрирован носитель. 
  • при необходимости обезличивания части персональных данных, если это допускается материальным носителем, производится удаление (вымарывание) данных, исключающее дальнейшую обработку этих персональных данных.

10.3.4.Субъект ПДн должен быть уведомлен об уничтожении его ПДн   (Приложение 2) .

11.Взаимодействие с регулирующими органами

11.1 Государственный контроль и надзор за соответствием требованиям законодательства в области персональных данных

11.1.1.Отношения в области организации и осуществления государственного контроля и надзора регулируются Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который является обязательным для всех без исключения органов государственного контроля (надзора) , и устанавливает порядок проведения проверок, а так же административными регламентами надзорных органов, которые разрабатываются на основании и в соответствии с этим законом.

11.2.Уведомление об обработке персональных данных

11.2.1.Повторное уведомление осуществляется в случае изменения сведений, указанных в предыдущем уведомлении об обработке персональных данных (в соответствии      со статьей 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных») :

  • наименование, адрес;
  • цели обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки;
  • перечень действий с персональными данными, общее описание используемых Компанией способов обработки персональных данных;
  • описание мер по обеспечению безопасности персональных данных при их обработке,  в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки, Компания обязана уведомить об этом уполномоченный орган по защите субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

12.Ответственность

12.1.Ответственность за нарушение Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»

12.1.1.Статья 24 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» определяет ответственность за нарушение Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной, предусмотренной законодательством Российской Федерации, ответственности. 

12.1.2.Административная ответственность за нарушение Федерального закона наступает за:

  • неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ) . 
  • нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - (ст. 13.11 КоАП РФ) ;
  • Нарушение правил защиты информации (ст. 13.12 КоАП РФ) ;
  • разглашение информации, доступ к которой ограничен федеральным законом  (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП РФ) ;
  • непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации) , представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ) .

12.2.Ответственность должностных лиц Компании

12.2.1.Ответственность за выполнение обязанностей по обеспечению безопасности ПДн, возложенных на структурные подразделения Компании, обрабатывающие ПДн, несут руководители соответствующих подразделений и работники данных подразделений.

12.2.2.В случае нарушения порядка обработки и обеспечения безопасности ПДн работники Компании несут ответственность, предусмотренную ст. 90 ТК РФ, а также гражданско-правовую, административную, уголовную ответственность, предусмотренную действующим законодательством РФ.

Перезвоните мне
Напишите нам
Дать совет
Быстрая оплата
Идет отправка на сервер