c806176c6b78b12921d445646826ca48
Утверждено
приказом
Генерального директора
ООО «МЕКА»
(от 20.02.2020 № 1/3)
Положение
о порядке обработки и обеспечения безопасности персональных данных в ООО «МЕКА»
ОГЛАВЛЕНИЕ:
1. ВВЕДЕНИЕ 3
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ 3
3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ 4
4. ОБЩИЕ ПОЛОЖЕНИЯ 4
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 11
6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 13
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 13
8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 14
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 15
10. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ 16
11. УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 17
12. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ 19
13. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE. 19
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА 19
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 20
16. ПРИЛОЖЕНИЕ А. ФОРМА АКТА ОБ УНИЧТОЖЕНИИ/ОБЕЗЛИЧИВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ВВЕДЕНИЕ
1.1. В настоящем Положении приведены:
1.1.1. Характеристики процессов обработки персональных данных, осуществляемых ООО «МЕКА» (далее – Компания Mekafinance), включая:
1.3. Термины, сокращения и определения, используемые в данном Положении, приведены в разделе «Термины, определения и сокращения».
1.4. С настоящим Положением должны быть ознакомлены все сотрудники Компании, в состав должностных обязанностей которых входит обработка персональных данных.
1.5. Ответственным за актуализацию настоящего Положения является Ответственный за обеспечение безопасности персональных данных Компании.
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. Термины и определения, используемые в данном Положении, соответствуют системе терминов, принятых в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Также в данном Положении используются следующие термины:
3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ
3.1. При разработке настоящего Положения использованы следующие нормативные акты с учетом изменений и дополнений:
4.1. Компания является оператором персональных данных.
4.2. Обработка ПДн в Компании осуществляется на основе следующих принципов:
- законности и справедливой основе;
- ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
- недопущения обработки ПДн, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обрабатываются только те ПДн, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
- недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
- уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено действующим законодательством
4.3. Компания производит обработку ПДн при наличии хотя бы одного из следующих условий:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- обработка ПДн осуществляется в связи с участием субъекта ПДн в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.
4.4. Все ПДн при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также при необходимости их уточнение, изменение или обновление.
4.5. Компания не раскрывает ПДн субъекта третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
4.6. Обработка специальных категорий ПДн в Компании, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
- субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
- ПДн сделаны общедоступными субъектом ПДн;
- обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
- обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.7. Создание фото - и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.
Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.
Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.
4.8. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора поручения обработки ПДн. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 «О персональных данных».
В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.
4.9. Обработка ПДн в Компании осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации. Компания не осуществляет исключительно автоматизированную обработку ПДн.
4.10. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Таблице 1.
Субъекты ПДн Обрабатываемые ПДн Цели обработки ПДн Страхователь ФИО, Контактная информация, Дата рождения, Адресные данные, Паспортные данные Заключение договора. Исполнение обязательств по договору Заявитель страхового случая ФИО, Дата рождения, Адресные данные, Паспортные данные Получатель выплаты ФИО, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения.
4.11. Компания не осуществляет трансграничную передачу ПДн.
4.12. Компанией направлено Уведомление о намерении осуществлять обработку ПДн в Управление Роскомнадзора по Москве и Московской области, соответствующее требованиям пункта 3 статьи 22 152-ФЗ, в электронной форме через официальный веб-сайт Роскомнадзора и почтовым письмом с уведомлением о доставке.
4.13. В данном Положении рассмотрены общие вопросы обработки ПДн субъектов (кроме сотрудников). Вопросы обработки ПДн сотрудников Компании рассмотрены в документе «Положение о порядке хранения, использования и передачи персональных данных в пределах ОСАО «РЕСО-Гарантия».
4.14. Сотрудники Компании должны быть ознакомлены с настоящим Положением и другими документами Компании, устанавливающими порядок обработки ПДн субъектов ПДн, а также об их правах и обязанностях в этой области.
4.15. Управление по работе с персоналом знакомит с содержанием настоящего Положения под роспись лиц, с которыми заключаются трудовые договоры.
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Компания осуществляет обработку ПДн на основании:
5.1.1. Федеральных законов, иных нормативных правовых актов Российской Федерации, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;
5.1.2. Договоров страхования, гражданских договоров, трудовых договоров, заключенных с сотрудниками Компании;
5.1.3. Согласия субъекта на обработку его ПДн.
5.2. Основания обработки ПДн приведены в Таблице 2.
5.3. Доказательством получения согласия субъектов ПДн (если для обработки ПДн необходимо получение согласие субъекта ПДн) на обработку их данных являются:
5.3.1. Договоры с субъектами ПДн, содержащие соответствующие оговорки;
5.3.2. Согласия на обработку ПДн от субъектов.
Таблица 2. Основания обработки ПДн
Цели обработки ПДн Основания обработки ПДн Соблюдение требований законодательства Гражданский кодекс РФ (глава 48), Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации», Федеральный закон от 25.04.2002 № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств», Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ, Кодекс внутреннего водного транспорта Российской Федерации от 7 марта 2001 г. N 24-ФЗ, Кодекс торгового мореплавания Российской Федерации от 30 апреля 1999 г, N 81-ФЗ, Жилищный кодекс Российской Федерации от 29 декабря 2004 г, N 188-ФЗ, Положение Банка России от 19.09.2014 № 431-П «О Правилах обязательного страхования гражданской ответственности владельцев транспортных средств». Заключение и исполнение обязательств по договору Договоры ДМС, договоры страхования недвижимого имущества, договоры коллективного ДМС, договоры страхования ОСАГО, договоры страхования КАСКО, иные договоры страхования хозяйственные договоры, договоры передачи имущества Компании в аренду физическим лицам, Письменное согласие субъекта ПДн Для оказания срочной помощи 152-ФЗ, ст. 6 п. 4 Принятие на работу сотрудника Трудовой договор. Трудовой кодекс РФ, письменное согласие субъекта ПДн Содействие лицам в трудоустройстве Письменное согласие субъекта ПДн Доступ на территорию Компании Письменное согласие субъекта ПДн
6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В случае соответствующего обращения субъекта ПДн Компания:
6.1.1. Сообщает субъекту ПДн или его законному представителю информацию о наличии у Компании ПДн, относящихся к соответствующему субъекту ПДн.
6.1.2. Безвозмездно предоставляет субъекту ПДн или его законному представителю возможность ознакомления с обрабатываемыми ПДн.
6.1.3. Вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.1.4. Прекращает обработку и уничтожает ПДн субъекта в случае отзыва субъектов согласия на обработку ПДн (если нет других правовых оснований для их обработки).
6.1.5. Уведомляет субъекта ПДн о результатах запрашиваемых им действий.
6.2. Компания в течение трех дней прекращает обработку ПДн и уничтожает соответствующие ПДн по достижению целей обработки ПДн или в случае утраты необходимости в их достижении.
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Компания осуществляет автоматизированную обработку ПДн.
7.2. Компания обеспечивает конфиденциальность ПДн при их автоматизированной обработке.
7.3. В целях обеспечения безопасности ПДн при их обработке в Компании реализованы следующие мероприятия:
7.3.1. Назначен уполномоченный сотрудник, ответственный за обеспечение безопасности ПДн при их обработке в Компании (Ответственный за обеспечение безопасности ПДн).
7.3.2. Проведена классификация ИСПДн, в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и выпущены соответствующие акты классификации ИСПДн.
7.3.3. Разработана модель угроз и нарушителя безопасности ПДн при их обработке в ИСПДн Компании.
7.3.4. Разработан технический проект СЗПДн в составе ПЗ (пояснительной записки) к проекту.
7.3.5. Проведены мероприятия по внедрению СЗПДн.
7.3.6. Используются сертифицированные средства защиты информации в составе СЗПДн.
7.3.7. Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (администратор безопасности СЗПДн).
7.3.8. Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.
7.3.9. Реализуются мероприятия по технической защите ПДн.
7.3.10. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их автоматизированной обработке.
8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Компания осуществляет неавтоматизированную обработку ПДн.
8.2. Компания обеспечивает конфиденциальность ПДн при их неавтоматизированной обработке.
8.3. В целях обеспечения безопасности ПДн при их неавтоматизированной обработке Компанией реализованы следующие мероприятия:
8.3.1. Утверждены места хранения материальных носителей ПДн;
8.3.2. Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн;
8.3.3. Осуществляется ведение списка сотрудников, обладающих доступом к материальным носителям ПДн;
8.3.4. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их неавтоматизированной обработке.
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Сроки обработки ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством,, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документами, фиксирующими договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.
9.2. Сроки хранения ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документов, фиксирующих договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.
10. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ
10.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн, в Компании используются следующие процедуры:
- принятие мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ и внутренних документов Общества в области ПДн;
- издание внутренних документов по вопросам обработки ПДн;
- назначение ответственных за организацию обработки ПДн;
- осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.
- оценка вреда, который может быть причинен субъектам ПДн.
- ознакомление лиц, непосредственно осуществляющих обработку ПДн в Компании, с законодательством Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, настоящим Положением.
- принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей.
- осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн.
- недопущение обработки ПДн, несовместимых с целями сбора ПДн.
- недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
- обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн.
- размещает текст настоящего Положения на официальном сайте Компании www.мекафинанс.рф;
- организация пропускного и внутриобъктового режима в Компании;
- внедряет парольную защиту доступа пользователей к информационной системе ПДн;
- осуществляет иные мероприятия, предусмотренные действующим законодательством Российской Федерации.
10.2. В случае выявления в Компании фактов нарушения действующего законодательства при обработке ПДн, Компания принимает меры по предотвращению таких нарушений, а также устранению (минимизации) последствий таких нарушений, в том числе, но не ограничиваясь:
- привлекает виновных лиц к ответственности,
- осуществляет уничтожение, обезличивание, исправление или блокирование ПДн, в порядке и сроки, предусмотренные действующим законодательством и/или настоящим Положением,
- с учетом фактических обстоятельств нарушения, принимает дополнительные правовые, организационные или технические меры для достижения указанных настоящем пункте целей,
- возмещает вред, причиненный указанным нарушением,
- с учетом фактических обстоятельств нарушения принимает иные доступные меры, исключающие в дальнейшем (сводящих к минимуму) вероятность повторения подобного нарушения, а также устраняющие последствия такого нарушения.
11. УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Компания уничтожает ПДн в следующих случаях:
11.1.1. Достижение целей обработки ПДн или утраты необходимости в их достижении.
11.1.2. Получение соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства РФ.
11.1.3. Отзыв согласия субъекта на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн).
11.1.4. Получение соответствующего предписания от уполномоченного органа по защите прав субъектов.
11.1.5. В иных случаях, предусмотренных действующим законодательством Российской Федерации
11.2. По результатам уничтожения ПДн составляется акт (по форме Приложения А).
11.3. Компания может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Компания и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.
11.4. Уничтожение информации, содержащей ПДн, производится в срок, предусмотренный действующим законодательством Российской Федерации, в частности 152-ФЗ. В случае отсутствия возможности уничтожения ПДн в течение установленного законом срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами
11.5. К ПДн, хранимым в электронном виде, относятся файлы, папки, электронные архивы на жестком диске компьютера и съёмных машинных носителях (компакт-дисках CD-R/RWили DVD-R/RW, дискетах 3,5, флеш-носителях).
11.6. Съёмные машинные носители по истечению сроков обработки и хранения на них ПДн подлежат уничтожению с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
11.7. В случае допустимости повторного использования съёмного машинного носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.
11.8. Подлежащие уничтожению файлы с ПДн, расположенные на жестком диске информационной системы ПДн, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
11.9. Черновики документов, испорченные листы, варианты и неподписанные проекты документов, а также иные материальные носители ПДн уничтожаются путём их сожжения или измельчения, или другим путем, исключающим восстановление текста документов.
11.10. Компания может обезличивать персональные данные в статистических или иных исследовательских целях, а также в целях исполнения требований действующего законодательства, в частности по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
11.11. Компания может использовать следующие способы обезличивания ПДн:
- замена части данных идентификаторами;
- обобщение, изменение или удаление части данных;
- деление данных на части и обработка в разных информационных системах;
- перемешивание данных;
- другие способы.
11.12. Ответственный за организацию обработки ПДн назначает ответственных лиц за проведение мероприятий по обезличиванию персональных данных.
11.13. Решение о необходимости обезличивания ПДн и способе обезличивания принимает ответственный за организацию обработки ПДн.
11.14. Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности
Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.
11.15. При использовании процедуры обезличивания не допускается совместное хранение ПДн и обезличенных данных.
11.16. Обезличивание ПДн может применяться к любому из категорий субъектов ПДн и в отношении любых ПДн.
11.17. По результатам обезличивания ПДн составляется акт (по форме Приложения А).
12. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Создание фото- и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.
Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.
Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.
13. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE.
13.1. Интернет сайты Компании используют файлы cookie. Сайты Компании предупреждают посетителей об использовании таких файлов и отслеживании действий пользователя.
13.2. Файлы cookie, используемые на веб-сайтах Компании, подразделяются на 3 категории:
- обязательные файлы cookie, которые требуются для просмотра веб-сайтов Компании и использования их функций и обеспечивающие работоспособность основных функций сайта.
- файлы сookie, которые осуществляют сбор информацию об использовании веб-сайтов, например, о наиболее часто посещаемых страницах. Указанные данные используются для оптимизации веб-сайтов и упрощения навигации, отслеживания действий посетителя на сайте. Указанная информация, собранная с помощью таких файлов cookie, предназначена только для статистических целей и остается анонимной.
- настроечные файлы cookie, которые позволяют веб-сайтам Компании запомнить сделанный посетителем выбор при просмотре сайта, могут использоваться для запоминания других настраиваемых параметров сайта. Указанные файлы также могут использоваться для отслеживания рекомендуемых продуктов во избежание повторения. Информация, предоставляемая такими файлами cookie, не позволяет идентифицировать посетителя сайта.
13.3. При отсутствии потребности в получении cookie при просмотре сайтов Компании, посетитель сайта может настроить используемый им браузер таким образом, чтобы он предупреждал его о возможном принятии файлов cookie, либо полностью блокировал такое получение.
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
14.1. В соответствии с законодательством РФ Компания несет ответственность за соблюдение требований законодательства РФ в области ПНд, а также за обеспечение конфиденциальности и безопасности ПНд при их обработке.
14.2. Персональная ответственность за соблюдение требований законодательства РФ и внутренних документов Компании в области ПНд в структурных подразделениях Компании, а также за обеспечение конфиденциальности и безопасности ПНд возлагается на руководителей этих подразделений и сотрудников, допущенных к обработке ПНд.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Настоящее Положение утверждается приказом Генерального директора.
15.2. В случае, если в результате изменения законодательства РФ отдельные пункты Положения вступят в противоречие с нормами законодательства РФ, эти пункты утрачивают силу, и до момента внесения изменений в настоящее Положение, следует руководствоваться законодательством РФ.
16. ПРИЛОЖЕНИЕ А. ФОРМА АКТА ОБ УНИЧТОЖЕНИИ/ОБЕЗЛИЧИВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО "МЕКА"
Акт об уничтожении/обезличивания персональных данных
г.Йошкар-Ола (дата)
Комиссия в составе:
ФИО Должность Председатель Члены комиссии провела отбор данных и установила, что в соответствии с требованиями ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных», подлежит уничтожению/обезличиванию следующее количество записей:_______
Персональные данные обезличены путем изменения данных в записях алгоритмом MD5 без возможности дальнейшего восстановления.
Председатель комиссии: / /
Члены комиссии: / /
приказом
Генерального директора
ООО «МЕКА»
(от 20.02.2020 № 1/3)
Положение
о порядке обработки и обеспечения безопасности персональных данных в ООО «МЕКА»
ОГЛАВЛЕНИЕ:
1. ВВЕДЕНИЕ 3
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ 3
3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ 4
4. ОБЩИЕ ПОЛОЖЕНИЯ 4
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 11
6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 13
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 13
8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 14
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 15
10. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ 16
11. УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 17
12. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ 19
13. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE. 19
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА 19
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 20
16. ПРИЛОЖЕНИЕ А. ФОРМА АКТА ОБ УНИЧТОЖЕНИИ/ОБЕЗЛИЧИВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ВВЕДЕНИЕ
1.1. В настоящем Положении приведены:
1.1.1. Характеристики процессов обработки персональных данных, осуществляемых ООО «МЕКА» (далее – Компания Mekafinance), включая:
- цели обработки персональных данных;
- субъекты, персональные данные которых обрабатываются;
- виды обрабатываемых персональных данных;
- основания обработки персональных данных;
- порядок, способы обезличивания персональных данных;
- сроки обработки и хранения персональных данных;
- основания и порядок уничтожения персональных данных.
- соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных;
- обеспечения безопасности обрабатываемых персональных данных;
- соблюдения законных прав субъектов персональных данных.
1.3. Термины, сокращения и определения, используемые в данном Положении, приведены в разделе «Термины, определения и сокращения».
1.4. С настоящим Положением должны быть ознакомлены все сотрудники Компании, в состав должностных обязанностей которых входит обработка персональных данных.
1.5. Ответственным за актуализацию настоящего Положения является Ответственный за обеспечение безопасности персональных данных Компании.
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. Термины и определения, используемые в данном Положении, соответствуют системе терминов, принятых в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Также в данном Положении используются следующие термины:
- Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
- Ответственный за обеспечение безопасности ПДн – сотрудник Компании, назначаемый приказом Генерального директора и несущий ответственность за выполнение процедур, связанных с обеспечением безопасности обрабатываемых ПДн в Компании.
- 152-ФЗ – Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- ИБ – информационная безопасность;
- ИСПДн – информационная система персональных данных;
- КоАП РФ – Кодекс РФ об административных правонарушениях;
- Компания – СПАО «РЕСО-Гарантия»;
- ПДн – персональные данные;
- Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
- СЗПДн – системы защиты персональных данных;
- УК РФ – Уголовный кодекс РФ;
- ФСБ – Федеральная служба безопасности;
- ФСТЭК – Федеральная служба по техническому и экспортному контролю.
3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ
3.1. При разработке настоящего Положения использованы следующие нормативные акты с учетом изменений и дополнений:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
- Постановление Правительства РФ от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Кодекс РФ об административных правонарушениях от 30 декабря 2001 года № 195-ФЗ;
- Уголовный кодекс РФ от 13 июня 1996 года № 63-Ф3.
4.1. Компания является оператором персональных данных.
4.2. Обработка ПДн в Компании осуществляется на основе следующих принципов:
- законности и справедливой основе;
- ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
- недопущения обработки ПДн, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обрабатываются только те ПДн, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
- недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
- уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено действующим законодательством
4.3. Компания производит обработку ПДн при наличии хотя бы одного из следующих условий:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- обработка ПДн осуществляется в связи с участием субъекта ПДн в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.
4.4. Все ПДн при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также при необходимости их уточнение, изменение или обновление.
4.5. Компания не раскрывает ПДн субъекта третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
4.6. Обработка специальных категорий ПДн в Компании, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
- субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
- ПДн сделаны общедоступными субъектом ПДн;
- обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
- обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.7. Создание фото - и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.
Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.
Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.
4.8. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора поручения обработки ПДн. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 «О персональных данных».
В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.
4.9. Обработка ПДн в Компании осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации. Компания не осуществляет исключительно автоматизированную обработку ПДн.
4.10. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Таблице 1.
Субъекты ПДн Обрабатываемые ПДн Цели обработки ПДн Страхователь ФИО, Контактная информация, Дата рождения, Адресные данные, Паспортные данные Заключение договора. Исполнение обязательств по договору Заявитель страхового случая ФИО, Дата рождения, Адресные данные, Паспортные данные Получатель выплаты ФИО, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения.
4.11. Компания не осуществляет трансграничную передачу ПДн.
4.12. Компанией направлено Уведомление о намерении осуществлять обработку ПДн в Управление Роскомнадзора по Москве и Московской области, соответствующее требованиям пункта 3 статьи 22 152-ФЗ, в электронной форме через официальный веб-сайт Роскомнадзора и почтовым письмом с уведомлением о доставке.
4.13. В данном Положении рассмотрены общие вопросы обработки ПДн субъектов (кроме сотрудников). Вопросы обработки ПДн сотрудников Компании рассмотрены в документе «Положение о порядке хранения, использования и передачи персональных данных в пределах ОСАО «РЕСО-Гарантия».
4.14. Сотрудники Компании должны быть ознакомлены с настоящим Положением и другими документами Компании, устанавливающими порядок обработки ПДн субъектов ПДн, а также об их правах и обязанностях в этой области.
4.15. Управление по работе с персоналом знакомит с содержанием настоящего Положения под роспись лиц, с которыми заключаются трудовые договоры.
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Компания осуществляет обработку ПДн на основании:
5.1.1. Федеральных законов, иных нормативных правовых актов Российской Федерации, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;
5.1.2. Договоров страхования, гражданских договоров, трудовых договоров, заключенных с сотрудниками Компании;
5.1.3. Согласия субъекта на обработку его ПДн.
5.2. Основания обработки ПДн приведены в Таблице 2.
5.3. Доказательством получения согласия субъектов ПДн (если для обработки ПДн необходимо получение согласие субъекта ПДн) на обработку их данных являются:
5.3.1. Договоры с субъектами ПДн, содержащие соответствующие оговорки;
5.3.2. Согласия на обработку ПДн от субъектов.
Таблица 2. Основания обработки ПДн
Цели обработки ПДн Основания обработки ПДн Соблюдение требований законодательства Гражданский кодекс РФ (глава 48), Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации», Федеральный закон от 25.04.2002 № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств», Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ, Кодекс внутреннего водного транспорта Российской Федерации от 7 марта 2001 г. N 24-ФЗ, Кодекс торгового мореплавания Российской Федерации от 30 апреля 1999 г, N 81-ФЗ, Жилищный кодекс Российской Федерации от 29 декабря 2004 г, N 188-ФЗ, Положение Банка России от 19.09.2014 № 431-П «О Правилах обязательного страхования гражданской ответственности владельцев транспортных средств». Заключение и исполнение обязательств по договору Договоры ДМС, договоры страхования недвижимого имущества, договоры коллективного ДМС, договоры страхования ОСАГО, договоры страхования КАСКО, иные договоры страхования хозяйственные договоры, договоры передачи имущества Компании в аренду физическим лицам, Письменное согласие субъекта ПДн Для оказания срочной помощи 152-ФЗ, ст. 6 п. 4 Принятие на работу сотрудника Трудовой договор. Трудовой кодекс РФ, письменное согласие субъекта ПДн Содействие лицам в трудоустройстве Письменное согласие субъекта ПДн Доступ на территорию Компании Письменное согласие субъекта ПДн
6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В случае соответствующего обращения субъекта ПДн Компания:
6.1.1. Сообщает субъекту ПДн или его законному представителю информацию о наличии у Компании ПДн, относящихся к соответствующему субъекту ПДн.
6.1.2. Безвозмездно предоставляет субъекту ПДн или его законному представителю возможность ознакомления с обрабатываемыми ПДн.
6.1.3. Вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.1.4. Прекращает обработку и уничтожает ПДн субъекта в случае отзыва субъектов согласия на обработку ПДн (если нет других правовых оснований для их обработки).
6.1.5. Уведомляет субъекта ПДн о результатах запрашиваемых им действий.
6.2. Компания в течение трех дней прекращает обработку ПДн и уничтожает соответствующие ПДн по достижению целей обработки ПДн или в случае утраты необходимости в их достижении.
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Компания осуществляет автоматизированную обработку ПДн.
7.2. Компания обеспечивает конфиденциальность ПДн при их автоматизированной обработке.
7.3. В целях обеспечения безопасности ПДн при их обработке в Компании реализованы следующие мероприятия:
7.3.1. Назначен уполномоченный сотрудник, ответственный за обеспечение безопасности ПДн при их обработке в Компании (Ответственный за обеспечение безопасности ПДн).
7.3.2. Проведена классификация ИСПДн, в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и выпущены соответствующие акты классификации ИСПДн.
7.3.3. Разработана модель угроз и нарушителя безопасности ПДн при их обработке в ИСПДн Компании.
7.3.4. Разработан технический проект СЗПДн в составе ПЗ (пояснительной записки) к проекту.
7.3.5. Проведены мероприятия по внедрению СЗПДн.
7.3.6. Используются сертифицированные средства защиты информации в составе СЗПДн.
7.3.7. Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (администратор безопасности СЗПДн).
7.3.8. Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.
7.3.9. Реализуются мероприятия по технической защите ПДн.
7.3.10. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их автоматизированной обработке.
8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Компания осуществляет неавтоматизированную обработку ПДн.
8.2. Компания обеспечивает конфиденциальность ПДн при их неавтоматизированной обработке.
8.3. В целях обеспечения безопасности ПДн при их неавтоматизированной обработке Компанией реализованы следующие мероприятия:
8.3.1. Утверждены места хранения материальных носителей ПДн;
8.3.2. Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн;
8.3.3. Осуществляется ведение списка сотрудников, обладающих доступом к материальным носителям ПДн;
8.3.4. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их неавтоматизированной обработке.
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Сроки обработки ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством,, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документами, фиксирующими договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.
9.2. Сроки хранения ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документов, фиксирующих договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.
10. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ
10.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн, в Компании используются следующие процедуры:
- принятие мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ и внутренних документов Общества в области ПДн;
- издание внутренних документов по вопросам обработки ПДн;
- назначение ответственных за организацию обработки ПДн;
- осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.
- оценка вреда, который может быть причинен субъектам ПДн.
- ознакомление лиц, непосредственно осуществляющих обработку ПДн в Компании, с законодательством Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, настоящим Положением.
- принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей.
- осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн.
- недопущение обработки ПДн, несовместимых с целями сбора ПДн.
- недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
- обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн.
- размещает текст настоящего Положения на официальном сайте Компании www.мекафинанс.рф;
- организация пропускного и внутриобъктового режима в Компании;
- внедряет парольную защиту доступа пользователей к информационной системе ПДн;
- осуществляет иные мероприятия, предусмотренные действующим законодательством Российской Федерации.
10.2. В случае выявления в Компании фактов нарушения действующего законодательства при обработке ПДн, Компания принимает меры по предотвращению таких нарушений, а также устранению (минимизации) последствий таких нарушений, в том числе, но не ограничиваясь:
- привлекает виновных лиц к ответственности,
- осуществляет уничтожение, обезличивание, исправление или блокирование ПДн, в порядке и сроки, предусмотренные действующим законодательством и/или настоящим Положением,
- с учетом фактических обстоятельств нарушения, принимает дополнительные правовые, организационные или технические меры для достижения указанных настоящем пункте целей,
- возмещает вред, причиненный указанным нарушением,
- с учетом фактических обстоятельств нарушения принимает иные доступные меры, исключающие в дальнейшем (сводящих к минимуму) вероятность повторения подобного нарушения, а также устраняющие последствия такого нарушения.
11. УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Компания уничтожает ПДн в следующих случаях:
11.1.1. Достижение целей обработки ПДн или утраты необходимости в их достижении.
11.1.2. Получение соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства РФ.
11.1.3. Отзыв согласия субъекта на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн).
11.1.4. Получение соответствующего предписания от уполномоченного органа по защите прав субъектов.
11.1.5. В иных случаях, предусмотренных действующим законодательством Российской Федерации
11.2. По результатам уничтожения ПДн составляется акт (по форме Приложения А).
11.3. Компания может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Компания и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.
11.4. Уничтожение информации, содержащей ПДн, производится в срок, предусмотренный действующим законодательством Российской Федерации, в частности 152-ФЗ. В случае отсутствия возможности уничтожения ПДн в течение установленного законом срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами
11.5. К ПДн, хранимым в электронном виде, относятся файлы, папки, электронные архивы на жестком диске компьютера и съёмных машинных носителях (компакт-дисках CD-R/RWили DVD-R/RW, дискетах 3,5, флеш-носителях).
11.6. Съёмные машинные носители по истечению сроков обработки и хранения на них ПДн подлежат уничтожению с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
11.7. В случае допустимости повторного использования съёмного машинного носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.
11.8. Подлежащие уничтожению файлы с ПДн, расположенные на жестком диске информационной системы ПДн, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
11.9. Черновики документов, испорченные листы, варианты и неподписанные проекты документов, а также иные материальные носители ПДн уничтожаются путём их сожжения или измельчения, или другим путем, исключающим восстановление текста документов.
11.10. Компания может обезличивать персональные данные в статистических или иных исследовательских целях, а также в целях исполнения требований действующего законодательства, в частности по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
11.11. Компания может использовать следующие способы обезличивания ПДн:
- замена части данных идентификаторами;
- обобщение, изменение или удаление части данных;
- деление данных на части и обработка в разных информационных системах;
- перемешивание данных;
- другие способы.
11.12. Ответственный за организацию обработки ПДн назначает ответственных лиц за проведение мероприятий по обезличиванию персональных данных.
11.13. Решение о необходимости обезличивания ПДн и способе обезличивания принимает ответственный за организацию обработки ПДн.
11.14. Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности
Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.
11.15. При использовании процедуры обезличивания не допускается совместное хранение ПДн и обезличенных данных.
11.16. Обезличивание ПДн может применяться к любому из категорий субъектов ПДн и в отношении любых ПДн.
11.17. По результатам обезличивания ПДн составляется акт (по форме Приложения А).
12. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Создание фото- и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.
Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.
Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.
13. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE.
13.1. Интернет сайты Компании используют файлы cookie. Сайты Компании предупреждают посетителей об использовании таких файлов и отслеживании действий пользователя.
13.2. Файлы cookie, используемые на веб-сайтах Компании, подразделяются на 3 категории:
- обязательные файлы cookie, которые требуются для просмотра веб-сайтов Компании и использования их функций и обеспечивающие работоспособность основных функций сайта.
- файлы сookie, которые осуществляют сбор информацию об использовании веб-сайтов, например, о наиболее часто посещаемых страницах. Указанные данные используются для оптимизации веб-сайтов и упрощения навигации, отслеживания действий посетителя на сайте. Указанная информация, собранная с помощью таких файлов cookie, предназначена только для статистических целей и остается анонимной.
- настроечные файлы cookie, которые позволяют веб-сайтам Компании запомнить сделанный посетителем выбор при просмотре сайта, могут использоваться для запоминания других настраиваемых параметров сайта. Указанные файлы также могут использоваться для отслеживания рекомендуемых продуктов во избежание повторения. Информация, предоставляемая такими файлами cookie, не позволяет идентифицировать посетителя сайта.
13.3. При отсутствии потребности в получении cookie при просмотре сайтов Компании, посетитель сайта может настроить используемый им браузер таким образом, чтобы он предупреждал его о возможном принятии файлов cookie, либо полностью блокировал такое получение.
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
14.1. В соответствии с законодательством РФ Компания несет ответственность за соблюдение требований законодательства РФ в области ПНд, а также за обеспечение конфиденциальности и безопасности ПНд при их обработке.
14.2. Персональная ответственность за соблюдение требований законодательства РФ и внутренних документов Компании в области ПНд в структурных подразделениях Компании, а также за обеспечение конфиденциальности и безопасности ПНд возлагается на руководителей этих подразделений и сотрудников, допущенных к обработке ПНд.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Настоящее Положение утверждается приказом Генерального директора.
15.2. В случае, если в результате изменения законодательства РФ отдельные пункты Положения вступят в противоречие с нормами законодательства РФ, эти пункты утрачивают силу, и до момента внесения изменений в настоящее Положение, следует руководствоваться законодательством РФ.
16. ПРИЛОЖЕНИЕ А. ФОРМА АКТА ОБ УНИЧТОЖЕНИИ/ОБЕЗЛИЧИВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО "МЕКА"
Акт об уничтожении/обезличивания персональных данных
г.Йошкар-Ола (дата)
Комиссия в составе:
ФИО Должность Председатель Члены комиссии провела отбор данных и установила, что в соответствии с требованиями ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных», подлежит уничтожению/обезличиванию следующее количество записей:_______
Персональные данные обезличены путем изменения данных в записях алгоритмом MD5 без возможности дальнейшего восстановления.
Председатель комиссии: / /
Члены комиссии: / /