Положение о персональных данных
ПОЛОЖЕНИЕ
по обработке и защите персональных данных работников (иных лиц)
в том числе посетителей сайта www.lesidom.ru
(Политика конфиденциальности)
г. Архангельск «29» ноября 2024 г.
Настоящее Положение является нормативным актом общества с ограниченной ответственностью «Архлес и Ко» (ООО «Архлес и Ко»), ИНН 2901188390 ОГРН 1082901015889, место нахождения: 163000, г. Архангельск, пр. Ломоносова, 135, офис 713 принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
Положение вступает в силу с момента его утверждения директором «Архлес и Ко» и действует до его отмены приказом директора «Архлес и Ко» или до введения нового Положения.
Внесение изменений в Положение производится приказом директора «Архлес и Ко». Изменения вступают в силу с момента подписания соответствующего приказа.
Администратор сайта www.lesidom.ru ООО «Архлес и Ко», ИНН 2901188390 ОГРН 1082901015889, место нахождения: 163000, г. Архангельск, пр. Ломоносова, 135, офис 713
Основные понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – гражданин, раскрывающий свои персональные данные Оператору, пользователь, в том числе Сайта, самостоятельно разместивший совокупность данных о себе в соответствующих формах на Сайте.
Оператор – ООО «Архлес и Ко», либо организации, в которых ООО «Архлес и Ко» является управляющей организацией, подведомственные организации и организации, привлекаемые на договорной основе, для автоматизированной обработки в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», осуществляющее обработку персональных данных Пользователя.
Сайт – сайт www.lesidom.ru
А также термины и определения в соответствии с их значениями, определенными в Законе о персональных данных
1. Общие положения
1.1. Оператор производит обработку персональных данных Субъектов персональных данных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119, другими законодательными и нормативными правовыми актами по вопросам обработки и защиты персональных данных, а также договорами, заключаемыми между Оператором персональных данных и Субъектом персональных данных.
1.2. При раскрытии своих персональных данных Субъект персональных данных дает Согласие на обработку персональных данных.
1.3. При регистрации на Сайте Пользователь дает Согласие на обработку персональных данных. Согласие на обработку персональных данных является обязательным условием для регистрации и использования функционала Сайта.
Оператор персональных данных не производит обработку персональных данных в том числе пользователей Сайта, не прошедших процедуру регистрации и не давших согласие на обработку персональных данных, за исключением обезличенной технической информации о подключении устройства Пользователя при использовании Сайта
1.4. В Положении устанавливаются:
-цель, порядок и условия обработки персональных данных;
-категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
-перечень действий для защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.5. Настоящее Положение, регулирует отношения между Оператором и субъектом персональных данных, которые возникают в процессе исполнения Оператором своих обязанностей, а также в иных случаях предусмотренных законодательством РФ. Вопросы, не решаемые настоящей Положением, регулируются действующим законодательством Российской Федерации. Настоящее Положение, а также любая из его частей, может быть изменена Оператором без специального уведомления и выплаты какой-либо компенсации в связи с этим.
1.6. Пользователи могут направлять Оператору персональных данных запросы, предложения или вопросы, которые касаются настоящей Политики, в Службу поддержки пользователей по адресам электронной почты: lesidom29@yandex.ru; info@lesidom.ru, либо по почтовому адресу: 163000, г. Архангельск, пр. Ломоносова, 135, офис 713 или по телефону 8 (8182) 65-27-05.
2. Цели обработки персональных данных, категории (перечни)
обрабатываемых персональных данных,
категории субъектов персональных данных,
чьи персональные данные обрабатывает Оператор
2.1. Согласно настоящему Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных отношений, в том числе:
-сбор, анализ, хранение и иные действия, в том числе передача персональных данных в целях потенциального трудоустройства;
-ведении кадрового и бухгалтерского учета;
-содействии работникам в получении образования и продвижении по службе;
-оформлении награждений и поощрений;
-предоставлении со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций;
-заполнении и передаче в уполномоченные органы требуемых форм отчетности;
-обеспечении безопасности работников и сохранности имущества Оператора;
-осуществлении контроля за количеством и качеством выполняемой работы.
- регистрации, идентификации, предоставления доступа к информационным ресурсам Сайта;
-продвижения товаров, работ, услуг на рынке, в том числе путем направления информации о товарах и услугах;
-осуществление прямых контактов с потенциальным потребителем с помощью средств связи;
-проведение исследований по тематике деятельности Оператора, в целях разработки новых продуктов и контроля качества, проведение статистических и иных исследований;
- оптимизация, в том числе таргетирование рекламы, в том числе на других интернет-ресурсах;
-выявления и предотвращения мошенничества и незаконного использования Сайта
-подготовки ответов на претензии и запросы;
-исполнение обязательств по поставкам товаров, работ и услуг, гарантийным обязательствам и иным обязательствам предусмотренным законодательством РФ при продаже товаров, работ, услуг, в том числе передачу информации в ООО «Ямар», ИП Горьковенко А.Г., ООО «Архлес-сервис».
2.2. В соответствии с целями, указанными в п. 2.1 Положения, Оператором обрабатываются следующие персональные данные:
2.2.1. Контактных данных:
-фамилия, имя, отчество (при наличии);
-номер телефона (домашний и/или мобильный);
-адрес электронной почты;
2.2.2. Данных резюме:
-фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
-пол;
-дата (число, месяц, год) и место рождения;
-фотографическое изображение;
-сведения о гражданстве;
-вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
-страховой номер индивидуального лицевого счета (СНИЛС);
-идентификационный номер налогоплательщика (ИНН);
-адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
-номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
-реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
-сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
-сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
-информация о владении иностранными языками;
-сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
-сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
-сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
-сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
-сведения о доходах, обязательствах по исполнительным документам;
-номера расчетного счета, банковской карты;
-сведения о состоянии здоровья (для отдельных категорий работников);
2.2.3. Техническая информация, которая автоматически передается Сайтом в процессе использования (в том числе с использованием сервиса контекстной рекламы п. 3.4. настоящего Положения):
-источник захода на Сайт;
-информация поискового или рекламного запроса;
-данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
-пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
-данные, характеризующие аудиторные сегменты;
-параметры сессии;
-данные о времени посещения;
-идентификатор пользователя;
-данные из cookies;
2.2.4. Состав обрабатываемых персональных данных Пользователей может быть уточнен в рамках отдельных Согласий на обработку персональных данных, размещенных на Сайте.
2.3. Достоверность персональных данных, предоставленных Пользователем, Оператором персональных данных не проверяется. Вместе с тем в случаях, которые предусмотрены соглашениями, Пользователь должен предоставить подтверждение подлинности предоставленной им информации.
2.4. Оператор не осуществляет обработку биометрических персональных данных и иных специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
2.5. Оператор не осуществляет трансграничную передачу персональных данных.
2.6. Категории субъектов персональных данных, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
-кандидаты для приема на работу в Оператор;
-работники Оператора;
-бывшие работники Оператора;
-члены семей работников Оператора - в случаях, когда согласно законодательству сведения о них предоставляются работником;
-иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с законодательством РФ (в том числе покупатели, пользователи сайта, участники бонусной программы).
3. Права и обязанности Оператора
3.1. Оператор имеет право осуществлять действия по обработке персональных данных субъектов персональных данных, которые включают в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, а также любые иные действия с персональными данными, предусмотренные действующим законодательством Российской Федерации
3.2. Оператор хранит персональные данные субъектов персональных данных в соответствии действующему законодательству.
3.3. Оператор вправе передавать персональные данные субъектов персональных данных, органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
3.4. Для улучшения работы Сайта Оператор вправе использовать сервисы контекстной рекламы и статистики, которые получают доступ к информации о посещении сайта и действиях на нём на Согласия предоставляемого пользователем Сайта.
Сервис контекстной рекламы:
-Yandex.Metrica ООО «ЯНДЕКС» (Россия) Адрес: 119021, Россия, Москва, ул. Льва Толстого, д. 16 (Пользовательское соглашение сервисов Яндекса, размещено по адресу: https://yandex.ru/legal/rules, политика конфиденциальности, размещена по адресу: https://yandex.ru/legal/confidential);
3.5. Все персональные данные субъекта персональных данных Оператор обязан получать у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (доверенность). Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.6. Оператор не имеет права получать и обрабатывать сведения о субъекте персональных данных, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
3.7. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
3.8. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.9. Оператор обязан обеспечить защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты за счет своих средств в порядке, установленном Трудовым кодексом Российской Федерации или иными федеральными законами.
3.10. Оператор обязан исполнять иные обязанности, предусмотренные Трудовым кодексом Российской Федерации или иными федеральными законами.
4. Права и обязанности субъекта персональных данных
4.1. Субъект персональных данных имеет право требовать от Оператора уточнения своих персональных данных, блокирования или уничтожения в том числе в случае, если персональные данные являются неполными;
4.2. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации
4.3. Субъект персональных данных имеет право (по запросу) получать от Оператора информацию, которая касается обработки их персональных данных. В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» запрос должен содержать номер основного документа, удостоверяющего личность Пользователя или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Пользователя в отношениях Оператором персональных данных (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором персональных данных , подпись Пользователя или его представителя;
4.4. Субъект персональных данных имеет право требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в соответствии с п. 4.6.1. настоящего Положения в случае, если персональные данные являются неполными, в том числе самостоятельно удалять информацию о себе, размещенную на Сайте при достижении целей обработки, а также в других случаях по своему усмотрению. При этом следует учитывать, что полное или частичное удаление размещенной информации может повлечь невозможность использования части функционала Сайта;
4.5. Самостоятельно вносить дополнения и изменения в предоставленные им персональные данные, в том числе размещенные на Сайте.
4.6. Субъект персональных данных имеет право требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения.
4.6.1. Требование оформляется в письменном виде, если иное не установлено настоящим положением. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
4.7. Субъект персональных данных имеет право самостоятельно вносить дополнения и изменения в персональную информацию, размещенную на Сайте
4.8. Субъект персональных данных имеет иные права, предусмотренные Трудовым кодексом Российской Федерации или иными федеральными законами.
4.9. Субъект персональных данных обязан передавать Оператору или его представителю комплекс достоверных документированных персональных данных, необходимых для целей обработки персональных данных в соответствии с настоящим Положением.
4.10. Субъект персональных данных обязан своевременно в срок, не превышающий 5 (Пять) дней, сообщать Оператору об изменении своих персональных данных.
5. Порядок и условия обработки персональных данных
5.1. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
5.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», Закон РФ от 19.04.1991 N 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 N 719 «Об утверждении Положения о воинском учете».
5.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
5.4. Обработка персональных данных Оператором выполняется следующими способами:
-неавтоматизированная обработка персональных данных;
-автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
-смешанная обработка персональных данных.
5.5. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
5.6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
5.7. Обработка персональных данных осуществляется путем совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.8. Действия указанные в п. 5.7. настоящего Положения осуществляются Оператором посредством:
-получения оригиналов документов либо их копий;
-копирования оригиналов документов;
-внесения сведений в учетные формы на бумажных и электронных носителях;
-создания документов, содержащих персональные данные, на бумажных и электронных носителях;
-внесения персональных данных в информационные системы персональных данных
-иных действий не запрещенных законодательством РФ.
5.9. Оператором используются следующие информационные системы:
-корпоративная электронная почта;
-1С: Зарплата и управление персоналом;
-1С: Бухгалтерия;
-1С: Торговля;
-бонусная программа;
-система электронного документооборота;
-система нормативно-справочной информации;
-система контроля удаленного доступа;
-информационный портал;
Оператор вправе использовать иные системы в соответствии с законодательством РФ.
6. Сроки обработки и хранения персональных данных
6.1. Обработка персональных данных Оператором прекращается в следующих случаях:
-при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
-при достижении целей их обработки (за некоторыми исключениями);
-при достижении срока хранения документов содержащих персональные данные субъекта;
-по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
-при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
6.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
6.3. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
6.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.5. Сайт обладает функционалом, позволяющим предоставить доступ к данным, размещаемым Пользователем в формате резюме. Пользователь в любой момент может отозвать свое согласие на обработку персональных данных.
7. Порядок блокирования и уничтожения персональных данных
7.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
7.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
7.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления факта неправомерной обработки.
7.5. Персональные данные уничтожаются в течение 30 (тридцати) дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором, либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
7.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
7.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора «Архлес и Ко».
7.9.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
7.9.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.9.3. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
-актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
-актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом директора ООО «Архлес и Ко».
7.9.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их секретарю для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
7.9.5. Уничтожение персональных данных, не указанных в настоящем Положении, подтверждается актом, который оформляется непосредственно после уничтожения таких данных, на основании приказа директора ООО «Архлес и Ко».
8. Защита персональных данных. Процедуры,
направленные на предотвращение и выявление нарушений
законодательства, устранение последствий таких нарушений
8.1. Оператором персональных данных принимаются все необходимые организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, блокирования, уничтожения, изменения, распространения персональной информации, а также от иных неправомерных действий с ней. Оператор проводит внутренние проверки процессов сбора, хранения и обработки данных и мер безопасности, включая соответствующее шифрование и меры по обеспечению физической безопасности данных для предотвращения неавторизированного доступа к системам, хранящим персональную информацию не реже одного раза в год.
8.2. Оператор персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных пользователей с использованием баз данных, находящихся на территории Российской Федерации.
8.3. В связи с отсутствием обработки оператором персональных данных биометрических персональных данных для обеспечения безопасности применяется 4-ый уровень защищенности персональных данных (п. 13 Требований, утв. Постановлением Правительства РФ от 01.11.2012 г. № 1119):
а) организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечена сохранность носителей персональных данных;
в) настоящим положением, определен перечень лиц, которым разрешен доступ к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
8.4. Оператором персональных данных реализованы следующие мероприятия по обеспечению безопасности персональных данных:
-определен ответственный за организацию обработки персональных данных и ответственные за обеспечение безопасности персональных данных – директор ООО «Архлес и Ко» Горьковенко Андрей Гениевич;
-изданы документы, регламентирующие обработку персональных данных, а также документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение последствий таких нарушений;
-определены угрозы безопасности персональных данных и реализованы требования к защите персональных данных исходя из уровня защищенности персональных данных;
-применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
-произведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
-приняты соответствующие меры по защите от несанкционированного доступа к персональным данным;
-осуществляется резервное копирование баз данных, содержащих персональные данные, для возможности их восстановления при модификации или уничтожения вследствие несанкционированного доступа к ним;
-проводятся периодические внутренние проверки состояния системы защиты персональных данных;
-произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в сфере защиты персональных данных и соотношение причиненного вреда с принятыми мерами;
-все работники, осуществляющие обработку персональных данных, ознакомлены под роспись с требованиями к защите персональных данных, положениями законодательства Российской Федерации о персональных данных, локальными актами по вопросам обработки персональных данных;
-без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом;
-запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
8.5. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
8.6. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Оператора, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
8.7. Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям.
8.8. Оператором используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
8.9. Работники Оператора, обрабатывающие персональные данные, периодически (не реже одного раза в год) проходят обучение требованиям законодательства в области персональных данных.
8.10. В должностные инструкции работников Оператора, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
8.11. Оператором проводятся внутренние расследования в следующих ситуациях:
-при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
-в иных случаях, предусмотренных законодательством в области персональных данных.
9. Проведение расследования фактов неправомерной или случайной передачи
(предоставления, распространения, доступа) персональных данных,
повлекшей нарушение прав субъекта (субъектов) персональных данных
9.1. Обнаружение факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта (субъектов) персональных данных, оператором.
9.2. Назначение лица, уполномоченного оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
9.3. В течение 24 часов с момента обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта (субъектов) персональных данных сообщить в Роскомнадзор.
С указанием сведений:
-о произошедшем инциденте;
-о его предполагаемых причинах;
-о вреде, нанесенном правам субъекта (субъектам) персональных данных;
-о принятых мерах по устранению последствий соответствующего инцидента;
-предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).
Сообщение о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных можно передать через Портал персональных данных, через сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта (субъектов) персональных данных.
9.4. Провести внутреннее расследование факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
В ходе внутреннего расследования:
-определить причины возникновения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных персональных данных;
-определить вред нанесенный правам субъекта (субъектов) персональных данных;
-определить информационную систему к которой был осуществлен несанкционированный доступ;
-определить лица, чьи действия стали причиной инцидента;
-определить достаточность мер защиты персональных данных оператором по обработке персональных данных;
-определить меры для устранения последствий факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных;
9.5. В течение 72 часов проинформировать Роскомнадзор о результатах внутреннего расследования происшествия, а также предоставить сведения о виновниках (при наличии).
С указанием итоговой информации о результатах внутреннего расследования, в том числе:
-о причинах, повлекших неправомерное распространение персональных данных;
-о нанесенном правам субъекта (субъектов) персональных данных вреде;
-об информационной системе, к которой был осуществлен несанкционированный доступ;
-о лицах, чьи действия стали причиной инцидента (ФИО и должность сотрудника оператора или ФИО, наименование, IР-адрес, предполагаемое местонахождение стороннего виновника, если эту информацию удалось установить);
-о дополнительных мерах, принятых по результатам внутреннего расследования (по устранению доступа, недопущению подобных инцидентов в будущем и иные);
- о решении оператора с указанием его реквизитов о проведении внутренней проверки.
9.6. При необходимости сообщить о взломе в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА (ст. 5, 12, 19 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). Оператором системы является Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Порядок информирования определяет ФСБ России (Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»).
Оператору персональных данных, не являющемуся субъектом критической информационной инфраструктуры, достаточно в течение 24 часов с момента обнаружения компьютерного инцидента передать информацию о нем посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на его официальном сайте в разделе «Сообщить об инциденте».
10. Особенности для операторов, привлекающих третьих лиц
для обработки персональных данных
10.1. Оператор вправе поручить обработку персональных данных другому лицу в порядке, установленном п. 3 ст. 6 Федерального закона № 152-ФЗ.
10.2. В поручении оператора на обработку персональных данных должны быть указаны в числе прочего требования к этому лицу по защите обрабатываемых персональных данных, включая требование об уведомлении оператора о случаях установления фактов неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта (субъектов) персональных данных.
10.3. Все уведомления о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта (субъектов) персональных данных, должен представить в Роскомнадзор оператор персональных данных (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).
10.4. Согласно п. 5 ст. 6 Федерального закона № 152-ФЗ в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.
11. Ответственность за нарушение норм, регулирующих
обработку персональных данных
11.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
11.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.