Новости

Актуальные новости
и публикации в СМИ

Медиацентр

Фотобанк
Видеоматериалы

Мероприятия

События концерна
и внешние мероприятия

Пресс–кит

Полезная информация для СМИ

Системы управления
движением и Умные дороги

Автодороги
Железные дороги

Системы
взимания платы

Подробнее

Системы транспортной
безопасности

Подробнее

Базовая
инфраструктура

Подробнее

отраслевые
И ведомственные системы

Подробнее

Робототехника

Подробнее

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ





1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных в ООО «Корпоративные сервисы» (далее — «Политика») разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов персональных данных и перечень обрабатываемых персональных данных, действия (операции), совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых требованиях по обеспечению безопасности персональных данных.

1.3. ООО «Корпоративные сервисы» является оператором персональных данных (далее — «Оператор») в соответствии с законодательством Российской Федерации в отношении персональных данных своих работников, кандидатов на замещение вакантных должностей, физических лиц, состоящих с Обществом в гражданско-правовых отношениях, представителей контрагентов, пользователей информационных ресурсов Общества и иных субъектов персональных данных, с которыми у Общества возникают отношения непосредственно. ООО «Корпоративные сервисы» — общий центр обслуживания (ОЦО) Концерна «Телематика», специализирующийся на аутсорсинге непроизводственных функций и процессов. ООО «Корпоративные сервисы» оказывает услуги бухгалтерского и налогового сопровождения, расчёта заработной платы, управления персоналом, а также ИТ-аутсорсинг, юридическое сопровождение, маркетинговую поддержку, услуги по управлению рисками и административно-хозяйственному обеспечению; формирует единые стандарты и автоматизирует бизнес-процессы. Услуги оказываются на основании договоров возмездного оказания услуг. В связи с этим при оказании указанных услуг Общество обрабатывает персональные данные работников организаций Концерна «Телематика», их близких родственников и иных лиц в интересах таких организаций, являющихся операторами персональных данных. В этих случаях Общество действует как лицо, осуществляющее обработку персональных данных по поручению операторов на основании заключённых договоров и письменных поручений в соответствии с частью 3 статьи 6 и статьёй 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в пределах целей, состава персональных данных и перечня действий (операций), определённых соответствующими операторами.

1.4. Настоящая Политика является локальным нормативным актом ООО «Корпоративные сервисы».

1.5. Оператор обеспечивает неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

1.6. Контроль за исполнением требований настоящей Политики осуществляется лицом, которое назначено ответственным за организацию обработки персональных данных у Оператора.

1.7. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

1.8. Локальные нормативные акты (ЛНА), регламентирующие обработку персональных данных и обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных, разрабатываются Оператором с учетом положений настоящей Политики.

1.9. Актуализация настоящей Политики осуществляется на плановой основе не реже 1 (одного) раза в 3 (три) года и внепланово по результатам внутреннего контроля и (или) аудита соответствия обработки персональных данных или в случае изменений требований действующего законодательства Российской Федерации в области организации обработки и обеспечения безопасности персональных данных.

1.10. Оператор обеспечивает неограниченный доступ к настоящей Политике на сайте telematika.com и принимает обращения субъектов ПДн.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Концерн «Телематика»(организации Концерна «Телематика») — акционерное общество «Концерн Телематика» (АО «Телематика»), а также все юридические лица, в которых имеется доля прямого или косвенного участия АО «Телематика».

2.2. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.3. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.

2.4. Оператор персональных данных -- ООО «Корпоративные сервисы» самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

2.6. Автоматизированная обработка персональных данных -- обработка персональных данных с помощью средств вычислительной техники.

2.7. Распространение персональных данных -- действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.8. Предоставление персональных данных -- действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.9. Блокирование персональных данных -- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.10. Трансграничная передача персональных данных -- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.11. Уничтожение персональных данных -- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.12. Обезличивание персональных данных -- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.13. Информационная система персональных данных -- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.14. Конфиденциальность персональных данных -- обязательное для соблюдения Оператором и уполномоченными им лицами, получившими доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.15. База данных - упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных).

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовым основанием обработки ПДн является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПДн, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (включая ст. 10.1, ст. 22, ст. 22.1);
  • Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Роскомнадзора № 180 от 28.10.2022 (формы уведомлений);
  • Приказ Роскомнадзора № 187 от 14.11.2022 (реестр инцидентов);
  • иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.

3.2. Оператор в целях исполнения настоящей Политики вправе принимать локальные нормативные акты, направленные на регламентацию обработки, хранения, передачи и защиты ПДн.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает персональные данные в следующих целях ООО «Корпоративные сервисы»:

  • Исполнения требований нормативных актов Российской Федерации.
  • Принятия решений о трудоустройстве физических лиц у Оператора, а также в рамках последующего осуществления ими трудовой деятельности.
  • Заключения трудовых договоров и договоров гражданско-правового характера, а также их исполнения.
  • Формирования отчетной документации о деятельности Оператора.
  • Осуществления полномочий и функций, а также исполнения обязанностей, предусмотренных требованиями действующего законодательства Российской Федерации, в том числе по предоставлению ПДн в государственные и муниципальные органы и учреждения, а также государственные внебюджетные фонды.
  • Предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения.
  • Формирования справочных материалов для информационного обеспечения деятельности Оператора.
  • Реализации прав и законных интересов Оператора в рамках осуществления деятельности, предусмотренной Уставом и иными локальными нормативными актами Оператора;
  • Надлежащее исполнение обязательств по заключенным со сторонними организациями договоров на оказание услуг.

4.2. Предусмотренный пунктом 4.1 перечень целей не является исчерпывающим. Оператор вправе осуществлять обработку ПДн в иных целях с соблюдением требований действующего законодательства Российской Федерации и настоящей Политики.

5. КАТЕГОРИИ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГИРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям обработки.

5.2. В информационных системах ПДн Оператора обрабатываются следующие категории субъектов персональных данных:

  • работников Оператора (в том числе бывших);
  • членов семей работников Оператора (в случаях, предусмотренных законом и в объеме, предусмотренном законодательством Российской Федерации);
  • кандидатов на работу;
  • физических лиц, состоящих в гражданско-правовых отношениях с Оператором, а также выгодоприобретателей по гражданско-правовым договорам;
  • представителей Оператора, действующих на основании доверенности;
  • контрагентов Оператора и их представителей/специалистов;
  • заявителей обращений;
  • работников сторонних организаций, их близких родственников и иных лиц чьи данные Оператор получает в рамках оказываемых услуг;
  • студентов образовательных учреждений, проходящих практическую подготовку у Оператора;
  • посетителей.

5.3. В информационных системах ПДн Оператора обрабатываются следующие персональные данных субъектов:

    5.3.1. Персональные данные работников Оператора:


    • фамилия, имя, отчество;
    • пол;
    • гражданство;
    • дата и место рождения;
    • паспортные данные;
    • адрес регистрации по месту жительства;
    • адрес фактического проживания;
    • номер телефона;
    • индивидуальный номер налогоплательщика (ИНН);
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
    • семейное положение, наличие детей, родственные связи;
    • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
    • данные о регистрации брака;
    • сведения о воинском учете;
    • сведения об инвалидности;
    • сведения об удержании алиментов;
    • сведения о доходе с предыдущего места работы;
    • банковские реквизиты;
    • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

    5.3.2. Персональные данные членов семей работников Оператора (в случаях, предусмотренных законом и в объеме, предусмотренном законодательством Российской Федерации):


    • фамилия, имя, отчество;
    • пол;
    • дата рождения;
    • степень родства;
    • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

    5.3.3. Персональные данные кандидатов на работу:


    • фамилия, имя, отчество;
    • пол;
    • гражданство;
    • дата и место рождения;
    • номер телефона;
    • сведения об образовании, опыте работы, квалификации;
    • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

    5.3.4. Персональные данные физических лиц, состоящих в гражданско-правовых отношениях с Оператором, а также выгодоприобретателей по гражданско-правовым договорам:

    • фамилия, имя, отчество;
    • гражданство;
    • дата и место рождения;
    • номер телефона;
    • паспортные данные;
    • адрес регистрации по месту жительства;
    • адрес фактического проживания;
    • иные персональные данные, предоставляемые физическими лицами.

    5.3.5. Персональные данные представителей Оператора, действующих на основании доверенности:

    • фамилия, имя, отчество;
    • пол;
    • дата рождения;
    • паспортные данные;
    • СНИЛС;
    • ИНН.

    5.3.6. Персональные данные контрагентов Оператора и их представителей/специалистов:

    • фамилия, имя, отчество;
    • гражданство;
    • дата и место рождения;
    • номер телефона;
    • паспортные данные;
    • адрес регистрации по месту жительства;
    • адрес фактического проживания;
    • сведения о трудовой деятельности;
    • иные персональные данные, предоставляемые контрагентами Оператора и их представителями/специалистами.

    5.3.7. Персональные данные заявителей обращений:

    • фамилия, имя, отчество;
    • адрес фактического проживания;
    • номер телефона;
    • иные персональные данные, сообщаемые заявителями обращений.

    5.3.8. Персональные данные работников сторонних организаций, их близких родственников и иных лиц, чьи данные Оператор получает в рамках оказываемых услуг:

    • фамилия, имя, отчество;
    • пол;
    • гражданство;
    • дата и место рождения;
    • паспортные данные;
    • адрес регистрации по месту жительства;
    • адрес фактического проживания;
    • номер телефона;
    • индивидуальный номер налогоплательщика (ИНН);
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
    • семейное положение, наличие детей, родственные связи;
    • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
    • данные о регистрации брака;
    • сведения о воинском учете;
    • сведения об инвалидности;
    • сведения об удержании алиментов;
    • сведения о доходе с предыдущего места работы;
    • банковские реквизиты;
    • иные персональные данные, предоставляемые работниками предприятий отрасли, их близкими родственниками и иными лицами.

    5.3.9. Персональные данные студентов образовательных учреждений, проходящих практическую подготовку у Оператора:

    • фамилия, имя, отчество;
    • сведения о получаемом образовании;
    • иные персональные данные, сообщаемые студентами в сопроводительных письмах.

    5.3.10. Персональные данные посетителей:

    • фамилия, имя, отчество;
    • наименование места работы;
    • занимаемая должность;
    • дата рождения;
    • номер телефона;
    • иные персональные данные, сообщаемые посетителями.

5.4. Оператор не осуществляет обработку биометрических ПДн. Фотографии работников/посетителей используются для визуальной идентификации (пропуска/бейджи) и не применяются для автоматизированной идентификации/аутентификации.

5.5. Оператор обрабатывает специальные категории ПДн (сведения о здоровье) в объёме, необходимом для исполнения требований трудового, социального, налогового законодательства, предоставления гарантий и компенсаций (ДМС, страхование, выплатные документы), без получения согласия в случаях, предусмотренных законом.

6. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор в своей деятельности обеспечивает соблюдение следующих принципов обработки ПДн:

  • Обработка ПДн осуществляется на законной и справедливой основе.
  • Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только ПДн, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
  • Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.2. Оператор не производит трансграничную передачу ПДн.

6.3. Оператором не используются для обработки ПДн базы данных, находящиеся за пределами Российской Федерации. Удалённый доступ к ПДн из-за пределов РФ, а также использование облачных сервисов с размещением баз/резервов вне РФ не допускаются. При возникновении организационной необходимости в ТГПДн Оператор до начала передачи соблюдает требования ст. 12 152-ФЗ, направляет уведомление по формам Приказа РКН № 180 и учитывает ПП РФ № 6 и № 24.

7. ПОРЯДОК РАБОТЫ СО СВЕДЕНИЯМИ, СОДЕРЖАЩИМИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их ПДн, а также без такового в случаях, предусмотренных законодательством Российской Федерации. Согласие на обработку персональных данных может быть выражено в том числе, но не ограничиваясь, в форме совершения действий в соответствии с положениями законодательства Российской Федерации в области обработки персональных данных, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством Российской Федерации.

7.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам персональные данные, если иное не предусмотрено законодательством Российской Федерации.

7.3. Оператор вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора поручения на обработку персональных данных. Требования к поручению на обработку ПДн, порядок предварительной оценки и периодического контроля обработчиков, сроки прекращения обработки и уничтожения ПДн, порядок уведомления об инцидентах и запрет перепоручения установлены внутренними ЛНА Оператора.

7.4. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

7.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, заявленных настоящей Политикой, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем, по которому является субъект персональных данных.

7.6. Сроки хранения ПДн определяются целями и правовыми основаниями обработки: нормами законодательства (в т. ч. трудового, налогового, архивного), условиями договора, периодами исковой давности, либо сроками действия согласия --- когда основание обработки --- согласие. По достижении сроков хранения ПДн уничтожаются (обезличиваются) с оформлением актов в порядке Приказа Роскомнадзора № 179 от 28.10.2022

7.7. При обработке персональных данных на бумажных носителях, съёмных носителях (дискетах, дисках, флэш-носителях и т.п.), компьютерах и других технических средствах, работники Оператора или иные лица, уполномоченные Оператором, обязаны следить как за сохранностью самих бумажных документов, съёмных носителей и компьютеров, и других технических средств, так и за сохранностью, содержащейся в них информации, а именно не допускать неправомерного ознакомления с ней лиц, не имеющих допуска к работе с персональными данными.

7.8. Запрещается хранение или оставление бумажных документов и съёмных носителей, содержащих персональные данные, в виде, позволяющем осуществить визуальный просмотр содержащихся в них персональных данных, их фотографирование или несанкционированное создание копий. Напечатанные документы, содержащие персональные данные, должны изыматься из принтеров незамедлительно. Хранение бумажных документов и съёмных носителей, содержащих персональные данные, допускается только в специальных закрытых шкафах и/или сейфах, к которым исключён доступ лиц, не допущенных к обработке соответствующих персональных данных.

7.9. Запрещается без прямой необходимости делать выписки персональных данных, распечатывать документы с персональными данными или записывать персональные данные на съёмные носители.

7.10. Запрещается выносить документы, съёмные носители или переносные компьютеры, содержащие персональные данные, за пределы помещений Оператора, если это не требуется для выполнения трудовых обязанностей.

7.11. Бумажные документы с персональными данными, у которых истёк срок хранения, лишние или испорченные копии документов с персональными данными, должны быть уничтожены без возможности их восстановления (например, в шредерах).

7.12. Большие объёмы бумажных документов с персональными данными, съёмные носители с персональными данными, а также встроенные в компьютеры носители с персональными данными должны уничтожаться под контролем ответственного за организацию обработки персональных данных, способом, исключающим дальнейшее восстановление информации.

7.13. Мониторы компьютеров, использующихся для обработки персональных данных, должны быть ориентированы таким образом, чтобы исключить визуальный просмотр информации с них лицами, не имеющими допуск к обработке персональных данных.

7.14. Запрещается упоминать в разговоре с третьими лицами сведения, содержащие персональные данные.

7.15. Передача ПДн через иностранные мессенджеры, включённые в перечни, публикуемые Роскомнадзором, запрещена. Для коммуникаций используются утверждённые корпоративные каналы (почта, ВКС, порталы, мессенджеры) согласно внутренним регламентам.

8. СВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях соблюдения законодательства Российской Федерации для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные:

  • Профильным государственным органам Российской Федерации.
  • Банкам и иным финансовым организациям.
  • Судам и судебным приставам.
  • Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления.
  • В другие органы и организации, если это не противоречит законодательству Российской Федерации.
  • Работникам Оператора, которым необходимы персональные данные для выполнения конкретных трудовых функций.
  • Иным третьим лицам при условии наличия у Оператора отдельного согласия субъекта персональных данных на их передачу.

9. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОПЕРАТОРОМ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ЗАКОНОМ О ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

  • Назначение Оператором ответственного за организацию обработки ПДн.
  • Издание Оператором локальных нормативных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  • Применение правовых, организационных и технических мер по обеспечению безопасности ПДн.
  • Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике Оператора в отношении обработки ПДн, локальным нормативным актам Оператора.
  • Оценка вреда в соответствии с установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
  • Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

10.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

  • Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Применением организационных и технических мер по обеспечению безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
  • Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  • Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
  • Учетом машинных носителей персональных данных.
  • Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
  • Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  • Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  • Оператор ведёт учёт инцидентов в области ПДн и при нарушениях безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) либо иные риски для субъектов, направляет уведомления в Роскомнадзор: оперативное --- не позднее 24 часов, уточнённое --- не позднее 72 часов, в порядке НПА РКН. Взаимодействует с субъектами ПДн по информированию при наличии риска вреда.

11. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

11.2. Субъект персональных данных вправе требовать от Оператора, который обрабатывает его персональные данные, их уточнения, блокирования или уничтожения в том числе, в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с нормами применимого законодательства Российской Федерации.

11.4. Для реализации своих прав и защиты законных интересов субъект персональных данных вправе обратиться к Оператору в письменной форме, в том числе в форме электронного документа, направленного по каналам связи, указанным Оператором для приёма обращений и доведённым до сведения неограниченного круга лиц (в т.ч. через официальный сайт и/или локальные нормативные акты Оператора). Обращение должно содержать информацию, позволяющую идентифицировать заявителя и существо требования. Оператор регистрирует обращение и предоставляет ответ в срок, установленный статьёй 14 Федерального закона № 152-ФЗ.

11.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

11.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Политика является локальным нормативным актом Оператора, а также является общедоступным и подлежит размещению на информационном ресурсе Оператора, обеспечивающем неограниченный доступ к документу.

12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке персональных данных.

12.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Оператора.

12.4. Ответственность работников Оператора или иных уполномоченных им лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку, использование и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора.