ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ 

ПЕРСОНАЛЬНЫХ ДАННЫХ

            

  

1.        Общие положения 
1.1. Политика в отношении обработки персональных данных (далее – Политика) в Образовательной автономной некоммерческой организации дополнительного профессионального образования «СКАЕНГ»» (далее - Компании) определяет общие принципы, условия и правила работы с персональными данными (далее − ПДн) субъектов персональных данных (далее − Субъектов), а также обеспечение необходимого и достаточного уровня информационной безопасности при их обработке. 

1.2.     Настоящая Политика разработана в соответствии с: 

Федеральным законом РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 

Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»

(далее – Закон о персональных данных);

Федеральным законом РФ от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»,

а также с учетом положений Генерального регламента по защите данных в странах Европейского союза (GDPR, General Data Protection Regulation), утвержденных 27.04.2016г. 1.3. Настоящая Политика распространяется на технологические и бизнес-процессы Компании, связанные с обработкой ПДн Субъектов, и обязательна для применения всеми работниками Компании, осуществляющими обработку ПДн.
1.4. Настоящая Политика является основой для организации работы по обработке ПДн в Компании, в том числе, для разработки внутренних нормативных документов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки ПДн в Компании и обеспечения их безопасности. 

1.5.      Для целей настоящей Политики используются следующие термины и определения: 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 
Блокирование персональных данных временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи. 
Информационная система персональных данных (ИСПДн) − совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. 
Использование персональных данных − действия (операции) с ПДн, совершаемые должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц. 
Конфиденциальность персональных данных обязательное для соблюдения назначенного ответственного лица, получившего доступ к ПДн, требование не допускать их распространения без согласия Субъекта или иного законного основания. 
Клиент – физическое лицо (Субъект), пользующееся услугами Компании, вступающее/ вступившее с ней в деловые отношения. 
Обезличивание персональных данных − действия, в результате которых невозможно определить принадлежность ПДн конкретному Субъекту. 
Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. 
Общедоступные персональные данные − персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 
Оператор − государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. 
Ответственный сотрудник ПДн – должностное лицо Компании, ответственное за организацию обработки ПДн и осуществляющее внутренний контроль за соблюдением Компанией законодательства Российской Федерации о персональных данных. 
Персональные данные (ПДн) − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту). 
Распространение персональных данных − действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн какимлибо иным способом. 
Субъект – физическое лицо: 
− вступившее или намеревающееся вступить в договорные отношения с Компанией, обработку ПДн которого Компания осуществляет в соответствии с действующим законодательством Российской Федерации;
− являющееся уполномоченным представителем другого лица и действующее на основании доверенности. 
Уничтожение персональных данных − действия, в результате которых невозможно восстановить содержание персональных данных в ИСПДн или в результате которых уничтожаются материальные носители персональных данных. 
Уполномоченный представитель Субъекта – лицо, действующее от имени субъекта ПДн на основании закона либо надлежащим образом оформленной доверенности. 
1.6. Настоящая Политика является публичным документом Компании в области обработки ПДн и обеспечения их безопасности. 
2. Понятие и состав персональных данных
2.1. К сведениям, составляющим персональные данные, относится любая информация, обрабатываемая Компанией в рамках ее деятельности, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту).

2.2. Компания обрабатывает персональные данные следующих Субъектов:

− клиенты Компании;

− представители клиентов Компании;

− лица, приобретшие или намеревающиеся приобрести услуги Компании, услуги третьих лиц при посредничестве Компании или не имеющие с Компанией договорных отношений при условии, что их ПДн обрабатываются автоматизированными системами Компании в связи с оказанием Компанией услуг своим клиентам, в соответствии с законодательством РФ о персональных данных;
− лица, не относящиеся к клиентам Компании, заключившие или намеревающиеся вступить с Компанией в договорные отношения в связи с осуществлением Компанией административно-хозяйственной деятельности при условии, что их ПДн включены в автоматизированные системы Компании и обрабатываются в

соответствии с законодательством РФ о персональных данных;

− лица, ПДн которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством РФ о персональных данных;
− лица, являющиеся работниками Компании или осуществляющие выполнение работ по оказанию услуг и заключившие с Компанией договор гражданско-правового характера;

− лица, входящие в органы управления Компании;

− лица, являющиеся соискателями на вакантные должности в Компании;

− иные лица, выразившие согласие на обработку Компанией их ПДн или физические лица, обработка ПДн которых необходима Компании для осуществления и выполнения функций, полномочий и обязанностей, возложенных на Компания законодательством Российской Федерации.

2.3. Категории и состав ПДн

2.3.1. Специальные категории ПДн
К данной категории относятся данные, касающиеся: расовой и национальной принадлежности; политических взглядов, религиозных или философских убеждений; состояния здоровья; интимной и частной жизни; судимости.
Обработка специальных категорий ПДн не осуществляется, за исключением сведений о состоянии здоровья работников, обрабатываемых в соответствии с трудовым законодательством Российской Федерации.
2.3.2. Биометрические ПДн
К данной категории относятся сведения, характеризующие физиологические особенности человека, позволяющие установить его личность: отпечатки пальцев, ладони, радужка сетчатки глаза, и т.д., а также психическое состояние здоровья, отклонения в развитии и др. Критерием отнесения к биометрическим данным является их свойство устанавливать личность. Обработка биометрических ПДн не осуществляется.
2.3.3. Персональные данные общей категории
Компания, в зависимости от цели использования ПДн в каждом конкретном случае, имеет право обрабатывать ПДн Субъекта необходимые Компании для обслуживания Субъекта либо лица, интересы которого Субъект представляет, и/ или для соблюдения требований действующего законодательства Российской Федерации (Приложение № 1).
2.3.4. Общедоступные ПДн
В общедоступные источники ПДн на основании письменного согласия Субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые Субъектом.
3. Цели обработки персональных данных

3.1. Цели обработки ПДн

3.1.1. Исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством:
− организация кадрового учета Компании, обеспечение соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;

− ведения кадрового делопроизводства;

− содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», иными федеральными законами и подзаконными актами, регулирующими правоотношения работника и работодателя, а также Уставом и внутренними документами Компании;
− заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и
иными лицами, в случаях, предусмотренных действующим законодательством РФ и Уставом Компании.
3.1.2. Осуществление образовательной деятельности:
− осуществление операций и сделок, в соответствии с Уставом Компании и выданными ей лицензиями и иных операций, согласно действующему законодательству РФ.
3.1.3. Принятие и рассмотрение обращений в области обработки персональных данных:
− предоставления Субъекту информации об оказываемых Компанией услугах, о разработке Компанией новых продуктов и услуг; информирования о предложениях по продуктам и услугам Компании, а также обработке его персональных данных;
3.1.4. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, в частности (но не ограничиваясь):

− проведение акций, опросов, исследований (при наличии соответствующего согласия Субъектов);

− формирование статистической отчетности;

− осуществление административно-хозяйственной деятельности.

4. Принципы и условия обработки персональных данных

4.1. Компания осуществляет обработку ПДн на основе принципов:

− законности и справедливости целей и способов обработки ПДн;

− соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Компании;

− соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
− достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
− недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
− хранения ПДн в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели их обработки;

− уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении.

4.2. Обработка ПДн осуществляется на основании условий, определенных законодательством Российской Федерации.
4.2.1. Компания сообщает Субъекту о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа Субъекта предоставить Компании согласие на их обработку.
4.2.2. В случаях, установленных законодательством Российской Федерации, обработка ПДн в Компании осуществляется с согласия Субъекта (оформляемого в соответствии с требованиями статьи 9 Закона о персональных данных).
4.2.3. Согласие на обработку ПДн может быть дано Субъектом или его уполномоченным представителем (например, в случае недееспособности Субъекта) в любой форме, позволяющей подтвердить факт его получения, если иное не установлено российским законодательством.
4.2.4. Получение согласий от Субъекта не требуется в случаях, предусмотренных российским законодательством о персональных данных, в частности:
− осуществление обработки ПДн на основании положений законодательства РФ, устанавливающего ее цель, условия получения ПДн и круг Субъектов, ПДн которых подлежат обработке, а также определяющего полномочия Компании как Оператора;

− в иных случаях, предусмотренных законодательством Российской Федерации.

4.2.5. В случае предоставления ПДн уполномоченным представителем Субъекта либо заключения договора в пользу третьего лица, ПДн которого предоставляются лицом, заключающим указанный договор, предполагается, что представитель или лицо, заключающее договор, предоставляют данные Субъекта с его согласия, о чем свидетельствует факт наличия его ПДн у указанных лиц.

5. Организация обработки персональных данных
5.1. Компания самостоятельно выбирает способы обработки персональных данных в зависимости от целей такой обработки и собственных материально-технических возможностей.

5.2. Формы обработки Компанией персональных данных:

5.2.1. С использованием средств автоматизации − средств вычислительной техники, информационно-вычислительных комплексов и компьютерных сетей, средств и систем передачи, приема и обработки ПДн, программных средств (операционные системы, системы управления базами данных и т.п.).
5.2.2. Без использования средств автоматизации − если ПДн, которые были извлечены из ИСПДн Компании и зафиксированы на каком-либо бумажном или материальном носителе, равно как и действия, направленные на их обработку в отношении каждого из Субъектов, осуществляются при непосредственном участии работника Компании.
Конкретный способ обработки ПДн определяется подразделениями Компании на основании процедур использования данных.
5.3. С целью практической реализации настоящей Политики приказом Генерального директора Компании назначается лицо, ответственное за организацию обработки ПДн, как в ИСПДн Компании, так и при обработке без использования средств автоматизации. На время его отсутствия данную функцию может исполнять работник Компании, которому в соответствии с учредительными документами Компании или в порядке, установленном российским законодательством, предоставлены такие полномочия.
5.3.1. На Ответственного сотрудника ПДн возлагается задача по организации выполнения законодательных требований при обработке ПДн в Компании.
5.3.2. Ответственный сотрудник ПДн, в соответствии с требованиями Закона о персональных данных (ч. 4 ст. 22.1), обязан:
− организовывать доведение до сведения работников Компании положений законодательства РФ о персональных данных, внутренних нормативных документов по вопросам обработки ПДн, требований к защите ПДн;
− осуществлять внутренний контроль за соблюдением Компанией, как оператором ПДн, и его работниками законодательства РФ о персональных данных;
− организовывать прием и обработку обращений и запросов Субъектов или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

5.4. Мероприятия по защите ПДн включают в себя комплекс правовых,

организационных и технических мер, реализуемых подразделением ответственным за обеспечение информационной безопасности.

5.5. Предоставление доступа к обработке персональных данных

5.5.1. Работники Компании, осуществляющие обработку ПДн, имеют доступ к персональным данным Субъектов в рамках исполнения ими должностных обязанностей.
5.5.2. Работники Компании, уполномоченные обрабатывать ПДн, как с использованием средств автоматизации, так и без использования таковых, подразделяются на следующие обрабатывающие ПДн группы:

− работников;

− клиентов;

− посетителей;

− работников, клиентов, а также посетителей.
5.5.3. Работники Компании, допущенные к обработке ПДн, обязаны:

− знать и неукоснительно выполнять требования настоящей Политики;

− обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;

− не разглашать ПДн, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности; пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) ПДн;
− выявлять факты разглашения (уничтожения, искажения) ПДн и информировать об этом непосредственного руководителя;
− хранить тайну о сведениях, содержащих ПДн в соответствии с настоящей Политикой, иными внутренними нормативными документами Компании, требованиями российского законодательства.
5.5.4. Каждый работник Компании, осуществляющий обработку ПДн:
− проходит ознакомление с документами по вопросам обработки и защиты ПДн, связанными с его трудовой деятельностью (под роспись, до начала обработки ПДн);
− оформляет Обязательство о соблюдении правил обработки и режима конфиденциальности персональных данных в Компании (далее – Обязательство). В трудовых договорах и должностных инструкциях этих работников должны быть оговорены (ссылочным порядком) основные принципы работы с ПДн. Обязательство является приложением к трудовому договору или иной документально зафиксированной форме договорных отношений с Компанией.
5.5.5. Ответственными за организацию и выполнение процедуры ознакомления с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности ПДн, с настоящей Политикой и другими внутренними нормативными документами Компании по вопросам обработки и обеспечения безопасности ПДн являются:

− подразделение по работе с персоналом (при трудоустройстве работника);

− руководитель подразделения Компании, в котором работник осуществляет обработку ПДн.
5.6. Компания, а также уполномоченные им представители, при обработке ПДн Субъектов соблюдают следующие общие требования:
5.6.1. Компания обеспечивает конфиденциальность ПДн Субъектов со своей стороны, со стороны своих аффилированных лиц, со стороны своих работников, имеющих доступ к ПДн Субъектов, а также обеспечивает использование ПДн вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом либо лицом, интересы которого Субъект представляет.
5.6.2. Работникам Компании, допущенным к обработке ПДн, запрещается несанкционированное и нерегламентированное копирование ПДн на любые электронные (машинные) и бумажные носители информации, не предназначенные для хранения ПДн.
5.6.3. Использование ПДн в целях причинения имущественного и морального вреда Субъекту, затруднения реализации его прав и свобод не допускается.

5.7. Условиями прекращения обработки ПДн являются:

− достижение целей такой обработки;

− истечение срока, предусмотренного законом, договором, или согласием Субъекта на обработку его ПДн; − ликвидация Компании.

6. Передача персональных данных
6.1. Передача ПДн третьим лицам производится Компанией в рамках исполнения требований действующего законодательства Российской Федерации, либо в рамках договоров (соглашений) заключенных Компанией с третьими лицами при условии включения в текст указанных договоров положений, определяющих:

− цели обработки ПДн;

− перечень действий (операций), которые будут совершаться третьим лицом, при обработке ПДн;
− обязанности третьего лица соблюдать конфиденциальность ПДн и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых ПДн.

6.2.

Компания осуществляет передачу ПДн государственным органам и должностным
лицам в случаях, предусмотренных законодательными актами об их деятельности.
6.3. Трансграничная передача ПДн осуществляется в соответствии со ст.12 Закона о персональных данных.

6.4. Компания предупреждает лиц, получающих ПДн Субъектов, об обязанности соблюдения требования конфиденциальности, а также использования только в целях, для которых они сообщены, и требует обязательности соблюдения этих правил.

7. Сроки обработки и хранение персональных данных
7.1. Сроки обработки и хранения ПДн определяются в соответствие со сроком действия договора с Субъектом, сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Компании России.

7.1.1. Под хранением персональных данных понимается существование записей:

− в информационных системах Компании (ИСПДн);

− на материальных носителях (в бумажном виде).

7.1.2. В Компании создаются и хранятся документы, содержащие сведения о Субъектах. Требования к использованию в Компании данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.1.3. Полученные согласия Субъектов подлежит хранению, в течение 5 (пяти) лет после прекращения договорных отношений между Компанией и Субъектом либо лицом, интересы которого Субъект представляет. Согласия Субъектов хранятся в структурном подразделении Компании осуществляющим их обработку, совместно с документами, послужившими основанием для получения Согласия.
7.1.4. Структурные подразделения Компании, обрабатывающие ПДн на материальных носителях (в бумажном виде), осуществляют их хранение в служебных помещениях Компании, доступ к которым ограничен и регламентируется внутренними нормативными актами Компании.

7.1.5. Компания, руководствуясь положениями Федерального закона РФ от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документа, может перевести ПДн на архивное хранение.

8. Блокировка, обезличивание, уничтожение персональных данных
8.1. Запросы Субъектов о блокировке, обезличивании, уничтожении ПДн направляются в Компанию в соответствии с Законом о персональных данных. Примерные (рекомендуемые) формы запросов представлены на сайте Компании.

8.2. Порядок блокировки и разблокировки персональных данных:

8.2.1. Блокировка ПДн Субъекта осуществляется Компанией в случаях:

− получения письменного заявления Субъекта или его законного представителя;

− выявления недостоверности ПДн,

при условии, что такое действие не нарушает права и законные интересы Субъекта или третьих лиц.
8.2.2. Блокировка персональных данных подразумевает: − запрет редактирования ПДн;
− запрет распространения ПДн любыми средствами (размещение на общедоступных файловых ресурсах в сети Интернет, e-mail, сотовая связь, материальные носители);

− запрет использования ПДн в массовых рассылках (sms, e-mail, почта);

− изъятие бумажных документов, относящихся к Субъекту и содержащих его ПДн из внутреннего документооборота Компании и запрет их использования.
8.2.3. Блокирование ПДн на материальных носителях производится путем их изъятия и хранения у уполномоченного лица Компании в защищенном месте, исключающем возможность несанкционированного доступа к нему посторонних лиц.
8.2.4. Блокировка ПДн Субъекта может быть временно снята, если это требуется для соблюдения требований законодательства Российской Федерации.
8.2.5. Разблокировка ПДн Субъекта осуществляется с его согласия (письменного или полученного в электронной форме) или на основании его письменного заявления после подтверждения предоставленных ПДн.
8.2.6. Компания осуществляет разблокировку ПДн Субъекта при получении от него повторного согласия на обработку его данных.

8.3. Порядок обезличивания и уничтожения ПДн

8.3.1. Операции по обезличиванию и уничтожению ПДн являются необратимыми.
8.3.2. Обезличивание ПДн Субъекта происходит на основании его письменного заявления при условии, что все договорные отношения между Компанией и Субъектом либо лицом, интересы которого Субъект представляет, прекращены и от даты окончания (расторжения) последнего договора прошло не менее 5 (пяти) лет.
8.3.3. Персональные данные обрабатываемые в ИСПДн Компании при обезличивании заменяются набором символов, по которому невозможно определить принадлежность ПДн к конкретному Субъекту.
8.3.4. Бумажные носители документов при обезличивании ПДн уничтожаются. В случае невозможности уничтожения бумажных носителей, содержащих ПДн обезличиваемого Субъекта, в связи с наличием в них сведений о других Субъектах, персональные данные уничтожаются путем стирания или замазывания.
8.3.5. Уничтожение ПДн Субъекта подразумевает прекращение какого-либо доступа к ПДн Субъекта.
8.3.6. Компания, в целях уничтожения ПДн Субъекта:

− в ИСПДн Компании – производит обезличивание ПДн;

− бумажные носители документов – производит уничтожение (при помощи технических средств), исключающее возможность полного или частичного восстановления данных носителей.

8.3.7. Факт уничтожения носителей ПДн актируется руководителем подразделения, осуществляющего их обработку, при согласовании Ответственного сотрудника ПДн.

9. Порядок обработки обращений Субъектов и запросов уполномоченного органа по защите прав Субъектов
9.1. Компания предоставляет сведения, указанные в разделе 2 настоящей Политики, Субъекту или его уполномоченному представителю при получении запроса Субъекта, сформированного в соответствии с Законом о персональных данных.
9.2. Компания прекращает обработку ПДн Субъекта в соответствии с требованиями, установленными Законом о персональных данных, в т.ч. при поступлении от Субъекта заявления об отзыве согласия на обработку ПДн.
9.3. Запрос уполномоченного органа по защите прав Субъектов исполняется Компанией в течение 30 (тридцати) календарных дней с даты получения такого запроса.

9.4. Любые запросы и обращения по вопросам обработки Компанией персональных данных Субъектов, полученные подразделениями Компании, подлежат передаче Ответственному сотруднику ПДн для контроля их обработки.

10. Права и обязанности
10.1. Субъект персональных данных
10.1.1. Субъект, в соответствии с положениями Закона о персональных данных, имеет право:
− получать информацию, касающуюся обработки Компанией его ПДн (в т.ч. содержащей: подтверждение факта обработки его ПДн Компанией; правовые основания и цели обработки ПДн; перечень обрабатываемых ПДн, относящихся к соответствующему Субъекту, источник их получения; применяемые Компанией способы обработки ПДн; сроки обработки ПДн, в т.ч. сроки их хранения; сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании Закона о персональных данных; иные сведения, предусмотренные

Законом о персональных данных или другими федеральными законами);

− требовать внесение уточнений по своим ПДн на основании запроса об уточнении персональных данных, а также их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные российским законодательством меры по защите своих прав;

− требовать отзыв согласия на обработку персональных данных;

− требовать извещения лиц, которым ранее были сообщены неверные или неполные
его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
− обжаловать в уполномоченный орган по защите прав Субъектов или в судебном порядке неправомерные действия или бездействия при обработке его ПДн.
10.1.2. Обязанности
Субъект обязан предоставлять Компании достоверные сведения о себе и своевременно сообщать Компании об изменениях в своих ПДн.
10.2. Компания
10.2.1. Компания, действуя как Оператор персональных данных, вправе:
− требовать предъявление документов, удостоверяющих личность Субъекта при его идентификации или подтверждающих полномочия его представителя, а также для проверки достоверности предоставляемых ПДн;
− использовать ПДн Субъекта без его согласия в случаях, предусмотренных Законом о персональных данных;
− предоставлять ПДн Субъектов третьим лицам в случаях, предусмотренных действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

− осуществлять внутренний контроль за соблюдением настоящей Политики;

− проводить внутренние проверки по инцидентам безопасности ПДн;

− отстаивать свои интересы в суде;

− отказать Субъекту в предоставлении ПДн в случаях, предусмотренных Законом о персональных данных:

1) ПДн сделаны общедоступными Субъектом или получены из общедоступного источника;

2) ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;

3) Субъект уведомлен об осуществлении обработки его ПДн соответствующим оператором;

4) оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта;

5) предоставление сведений Субъекту нарушает права и законные интересы третьих лиц.
10.2.2. Обязанности
Компания предоставляет Субъекту или уполномоченному представителю возможность ознакомления с ПДн Субъекта на основании запроса о предоставлении сведений об обработке ПДн.
Предоставление запрашиваемых сведений осуществляется Компанией на безвозмездной основе в порядке, определенном Законом о персональных данных.
В случае если работники Компании осуществляет сбор ПДн Субъекта во исполнение требований федерального закона, то они обязаны разъяснить ему юридические последствия отказа предоставить ПДн.
Компания, в случае если ПДн получены не от Субъекта, за исключением случаев, предусмотренных Законом о персональных данных (условия отказа представлены в п.10.2.1 настоящей Политики), до начала обработки таких ПДн обязан предоставить Субъекту следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес Оператора ПДн или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) права Субъекта, установленные Законом о персональных данных;

источник получения ПДн.

11. Обеспечение безопасности персональных данных
11.1. Компания обеспечивает безопасность обрабатываемых ПДн в рамках правовых. организационных и технических мероприятий по защите информации, с учетом требований Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов:

− назначение лица, ответственного за организацию обработки ПДн;

− осуществление внутреннего контроля соответствия обработки ПДн Закону о персональных данных;

− определение угроз безопасности ПДн при их обработке;

− разработка локальных документов по вопросам обработки ПДн;

− осуществление оценки эффективности принимаемых мер по обеспечению
безопасности ПДн.
11.2. Под защитой ПДн Субъекта понимается комплекс мер (организационнораспорядительных, технических, правовых), в частности:
− предотвращение несанкционированного доступа (неправомерного или случайного) к ПДн;
− недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
− возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

− постоянный контроль за обеспечением уровня защищенности ПДн.

11.3. Компания осуществляет защиту обрабатываемых ПДн за свой счёт в порядке, установленном соответствующим законодательством РФ и внутренними организационными документами.
11.4. Сведения о предпринимаемых Компанией мерах по защите ПДн являются конфиденциальными и Субъектам не предоставляются.
11.5. Для выбора, а также реализации методов, способов защиты ПДн в Компании назначены лица, отвечающие за политику Компании в области информационной безопасности, в т.ч. применительно к ПДн.
11.6. Компания, в целях обеспечения безопасности ПДн реализует, но не ограничивается, следующие мероприятия:

− учет лиц, допущенных к обработке ПДн;

− издание нормативно-методических документов, регулирующих обработку и защиту ПДн (в частности разработка на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты, предусмотренных для соответствующего класса

информационных систем; описание системы защиты ПДн);

− установка и ввод в эксплуатацию средств защиты информации, а также контроль соблюдения условий их использования, в соответствии с эксплуатационной и технической документацией;
− учет носителей ПДн (на бумажных носителях – согласно номенклатуре дел, журналов и картотек Компании; на машинных носителях – по результатам инвентаризации ИСПДн);
− обучение лиц, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними.

12. Комплаенс-контроль обработки и защиты персональных данных

12.1. Комплаенс-контроль обработки ПДн в Компании осуществляется в целях:

− совершенствования процесса обработки и обеспечения безопасности ПДн;

− мониторинга и оценки фактического состояния защищенности ПДн;

− своевременного реагирования на нарушения установленного порядка их обработки.

12.2. Мероприятия комплаенс-контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:
− обеспечение соблюдения работниками Компании требований настоящей Политики и прочих внутренних документов, регулирующих обработку и защиту ПДн;
− обеспечение работоспособности и эффективности технических средств информационных систем Компании, в которых обрабатываются ПДн и средств защиты ПДн, а также их соответствия требованиям надзорных органов.
12.3. Решение вышеуказанных задач достигается за счет:
− выявления нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений;

− оценки компетентности работников, задействованных в обработке ПДн;

− принятия корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств информационных систем, в которых обрабатываются ПДн;
− разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;
− осуществления контроля исполнения рекомендаций и указаний по устранению нарушений.
12.4. Лицо, ответственное за организацию обработки ПДн, организует проведение на периодической основе мероприятий внутреннего контроля соблюдения порядка обработки и обеспечения безопасности ПДн в Компании.
12.5. Контроль обеспечения безопасности ПДн включает в себя в том числе:
12.5.1. Проведение проверок деятельности подразделений и работников Компании (допущенных к работе с ПДн) на соответствие порядку обработки и обеспечения безопасности ПДн, установленному:

− настоящей Политикой;

− прочими нормативными правовыми актами и внутренними документами Компании, регламентирующими обработку ПДн;

12.5.2. Проведение проверок состояния защищенности ПДн, обрабатываемых в информационных системах, включая проверку доступов пользователей к ПДн, выполнение требований по защите ИСПДн, корректности работы системы защиты ПДн.

12.5.3. Проведение проверок состояния защищенности ПДн, обрабатываемых без использования средств автоматизации, и условий хранения материальных носителей ПДн. 12.6. Нарушение порядка обработки ПДн является инцидентом ИБ, фиксируется и расследуется в установленном Компанией порядке.

12.7. Восстановление ПДн и процесса их обработки, нарушенных по причине нештатных ситуаций, регламентируется внутренним порядком обеспечения непрерывности и восстановления деятельности.

13. Ответственность
13.1. Работники Компании, обрабатывающие ПДн Субъектов, и лица, которым Компания поручает обработку ПДн, несут ответственность за нарушение порядка использования ПДн (Приложение № 2, Приложение № 3).
13.2. Компания вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания за неисполнение или ненадлежащее исполнение уполномоченными работниками Компании по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с ПДн.
13.3. Административная ответственность также предусмотрена в случаях неправомерного отказа уполномоченными лицами Компании в предоставлении собранных в установленном порядке документов, в случаях несвоевременного предоставления таких документов, либо в случаях предоставления неполной или заведомо ложной информации.
13.4. Руководитель подразделения, предоставляющий/блокирующий доступ работнику Компании к обрабатываемым ПДн, несет персональную ответственность за данное действие.
13.5. Работники Компании, получающие доступ к обрабатываемым ПДн, несут персональную ответственность за конфиденциальность полученной информации.

14. Порядок пересмотра
14.1. Пересмотр настоящей Политики организуется лицом, ответственным за организацию обработки ПДн, с целью его актуализации:

− планово – ежегодно;

− внепланово – при необходимости внесения изменений для приведения настоящей Политики в соответствие действующему российскому законодательству в области обработки и защиты ПДн.