1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение «О защите персональных данных Общества с ограниченной ответственностью «Центр юридического сопровождения бизнеса» (далее – Положение) устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «Центр юридического сопровождения бизнеса» (сокращенное наименование – ООО «Центр ЮСБ»).
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Распоряжением Правительства РФ от 21.03.1994 № 358-р «Об обеспечении сохранности документов по личному составу» и иными нормативными актами, действующими на территории Российской Федерации.
1.3. В настоящем Положении используются следующие термины и определения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения или предоставления третьим лицам без согласия субъекта персональных данных или требования Федерального закона.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами распространяется требование обязательной публикации информации.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по функциональным и техническим характеристикам.
Работодатель – ООО «Центр ЮСБ», вступивший в трудовые отношения с Работником и правовые отношения с соискателем на вакантную должность.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «Центр ЮСБ».
Соискатель – физическое лицо, вступившее в правовые отношения с ООО «Центр ЮСБ» с целью устройства на работу в ООО «Центр ЮСБ».
1.4. Настоящее положение утверждается приказом Генерального директора ООО «Центр ЮСБ».
1.5. Действия настоящего Положения распространяется на всех Работников ООО «Центр ЮСБ».
1.6. Настоящее Положение доводится до сведения всех Работников персонально под роспись.
1.7. Контроль за выполнением требований настоящего Положения осуществляет Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ».
1.8. Все изменения в настоящее положение вносятся приказом Генерального директора ООО «Центр ЮСБ».
1.9. Категории, состав, сроки и цели обработки персональных данных в ООО «Центр ЮСБ» устанавливаются внутренним документом, определяющим перечень персональных данных, обрабатываемых в ООО «Центр ЮСБ».
2. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ЦЕНТР ЮСБ»
2.1. Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ», назначается и освобождается от обязанностей приказом Генерального директора ООО «Центр ЮСБ».
2.2. Лицо, ответственное за организацию обработки персональных данных, подчиняется непосредственно Генеральному директору и подотчетно ему.
2.3. Лицо, ответственное за организацию обработки персональных данных, обязано:
2.3.1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2.3.2. организовать доведение до работников ООО «Центр ЮСБ» положений законодательства Российской Федерации о персональных данных, локальных актов ООО «Центр ЮСБ» по вопросам обработки персональных данных, требований к защите персональных данных;
2.3.3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.4. Лицо, ответственное за организацию обработки персональных данных, получает необходимую информацию для взаимодействия с Уполномоченным органом по защите прав субъектов персональных данных от структурных подразделений ООО «Центр ЮСБ».
3. ПРАВИЛА ПРЕДОСТАВЛЕНИЯ ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ
3.1. Список лиц, допущенных к обработке персональных данных (далее Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, согласуется Лицом, ответственным за организацию обработки персональных данных в ООО «Центр ЮСБ», и утверждается Генеральным директором ООО «Центр ЮСБ».
3.2. При принятии на работу, увольнении или изменении должностных обязанностей Работников не позднее чем в трехдневный срок Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ», вносит изменения в список лиц, допущенных к обработке персональных данных, по согласованию с Генеральным директором.
3.3. Лицо, ответственное за обработку персональных данных в ООО «Центр ЮСБ», не реже одного раза в квартал обязано проверять актуальность списка. В случае выявления расхождений оно вносит изменения в список лиц, допущенных к обработке персональных данных.
3.4. Работники ООО «Центр ЮСБ» выполняют действия по обработке персональных данных в соответствии со служебной необходимостью и возложенными на Работников функциями.
3.5. Доступ к персональным данным предоставляется только лицам из Списка. Предоставление доступа к ИСПДн осуществляется в установленном порядке.
3.6. Работники имеют доступ на ввод и коррекцию персональных данных в пределах, определенных служебными функциями.
3.7. Лица, имеющие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ», об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.
3.8. Лица, имеющие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных.
3.9. Ознакомление с локальными нормативными актами, а также с действующим законодательством в области персональных данных осуществляет Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ».
3.10. Организует и контролирует порядок предоставления доступа Работников ООО «Центр ЮСБ» к ПДн Лицо, ответственное за организацию обработки персональных данных.
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Мероприятия по обработке персональных данных являются неотъемлемой частью деятельности ООО «Центр ЮСБ».
4.2. Организация работ по обеспечению безопасности персональных данных осуществляется Лицом, ответственным за организацию обработки персональных данных в ООО «Центр ЮСБ», при непосредственном участии руководства и владельцев ООО «Центр ЮСБ».
4.3. Общий процесс обработки персональных данных Работниками включает в себя следующие подпроцессы:
4.3.1 получение (сбор);
4.3.2 уточнение (обновление, изменение);
4.3.3 систематизация и накопление;
4.3.4 использование;
4.3.5 хранение;
4.3.6 уничтожение.
4.4 В процессе обработки персональных данных Работники обязаны:
4.5.1. контролировать своевременность получения сведений о субъектах;
4.5.2. контролировать полноту и достоверность полученных сведений;
4.5.3. обеспечить безопасное хранение полученных сведений.
4.5 Обработка персональных данных осуществляется с согласия субъектов персональных данных, за исключением случаев, предусмотренных Федеральными законами.
4.6. Учет, использование, хранение и уничтожение машинных и бумажных носителей информации, относящейся к персональным данным, должен осуществляться в соответствии с внутренним документом, регулирующим работу с носителями персональных данных ООО «Центр ЮСБ».
4.7. При обработке персональных данных обеспечивается конфиденциальность, т.е. создаются условия, не допускающие их распространение или предоставление третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда персональные данные относятся к обезличенным или общедоступным.
4.8. В случае если ООО «Центр ЮСБ» на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и установленных ООО «Центр ЮСБ» требований безопасности персональных данных при их обработке.
4.9. Установленные ООО «Центр ЮСБ» требования безопасности персональных данных при их обработке не могут быть ниже государственных требований, установленных органами исполнительной власти, Правительством Российской Федерации.
4.10. В случае предоставления персональных данных третьим лицам все сведения о передаче персональных данных субъектов регистрируются в установленном порядке в целях контроля правомерности использования данной информации лицами, ее получившими.
4.11. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, ООО «Центр ЮСБ» до начала обработки таких персональных данных обязан уведомить субъекта персональных данных об обработке персональных данных.
4.12. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено Законодательством Российской Федерации, уничтожаются.
5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. ООО «Центр ЮСБ» предоставляет сведения по запросам на доступ к персональным данным от субъектов персональных данных. ООО «Центр ЮСБ» при получении запроса субъекта персональных данных или его законного представителя на предоставление информации о наличии персональных данных о соответствующем субъекте, в течение тридцати дней с даты получения запроса предоставляет в письменной форме ответ, содержащий запрашиваемые персональные данные субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, основания подтверждающие отношения с ООО «Центр ЮСБ» и подпись субъекта персональных данных или его законного представителя.
5.2. ООО «Центр ЮСБ» предоставляет в ответ на запрос субъекта персональных данных только сведения, касающиеся обработки его персональных данных, а именно:
5.2.1. подтверждения факта обработки персональных данных оператором;
5.2.2. правовых оснований и целей обработки персональных данных;
5.2.3. целей и применяемых оператором способов обработки персональных данных;
5.2.4. наименования и места нахождения оператора, сведений о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5.2.5. обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
5.2.6. сроков обработки персональных данных, в том числе сроков их хранения.
5.2.7. порядка осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
5.2.8. информации об осуществленной или о предполагаемой трансграничной передаче данных;
5.2.9. наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
5.2.10. иных сведений, предусмотренных правовым основанием для обработки персональных данных.
5.3. ООО «Центр ЮСБ» не удовлетворяет запросы субъекта персональных данных на доступ к его персональным данным в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
5.4. ООО «Центр ЮСБ» не удовлетворяет запросы субъекта персональных данных на доступ к его персональным данным, если с момента последнего ответа на обращения субъекта прошло менее тридцати дней, и ответ содержал полный и мотивированный ответ.
5.5. Отказ в предоставлении доступа должен быть мотивированным.
5.6. Запросы, обращения и требования субъектов по обработке их персональных данных регистрируются в Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных ООО «Центр ЮСБ». Учет и организацию работы с запросами, обращениями и требованиями субъектов персональных данных осуществляет Лицо, ответственное за организацию обработки персональных данных.
5.7. Все подразделения ООО «Центр ЮСБ» при поступлении к ним запроса от субъекта ПДн в течение одного рабочего дня сообщают об этом Лицу, ответственному за организацию обработки персональных данных.
5.8. В случае выявления неправомерных действий с персональными данными ООО «Центр ЮСБ» в течение трех рабочих дней с даты такого выявления устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений в течение десяти рабочих дней с даты выявления неправомерности действий с персональными данными, ООО «Центр ЮСБ» обязано уничтожить персональные данные.
5.9. ООО «Центр ЮСБ» в течение тридцати дней с даты обращения субъекта персональных данных подготавливает мотивированный ответ на поступивший запрос.
5.10. После реализации обращений и требований субъектов персональных данных Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ» уведомляет субъекта о выполненных действиях.
5.11. Обо всех обращениях субъектов или Уполномоченного органа исполнительной власти по вопросам защиты персональных данных, а также иных государственных и муниципальных органов, Работники в обязательном порядке в трехдневный срок уведомляют Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ».
6. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИСПДН
6.1. Обеспечение безопасности информации в ИСПДн достигается посредством правовых, организационных и технических мероприятий по защите информации.
6.2. Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн, определяются с учетом:
6.2.1. Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6.2.2. нормативно-методических документов ФСТЭК России;
6.2.3. нормативно-методических документов ФСБ России;
6.2.4. внутренних нормативных документов ООО «Центр ЮСБ» в области обеспечения информационной безопасности.
6.3. Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах ООО «Центр ЮСБ», определяются актуальными для ООО «Центр ЮСБ» угрозами информационной безопасности.
6.4. Каждой информационной системе персональных данных ООО «Центр ЮСБ» присваивается уровень защищенности и оформляется «Акт классификации ИСПДн».
6.5. На основании технического задания и модели угроз разрабатывается Технический проект, включающий в себя следующие подсистемы:
6.5.1. антивирусной защиты;
6.5.2. межсетевого экранирования;
6.5.3. управления доступом;
6.5.4. регистрации и учета;
6.5.5. обеспечения целостности;
6.5.6. обнаружения вторжений;
6.5.7. анализа защищенности.
6.6. Контроль за исполнением структурными подразделениями ООО «Центр ЮСБ» требований организационно-технической и эксплуатационной документации в ИСПДн возлагается на Лицо, ответственное за организацию обработки персональных данных.
6.7. Контроль за деятельностью Лица, ответственного за организацию обработки персональных данных, в области защиты персональных данных возлагается на Генерального директора ООО «Центр ЮСБ».
7. ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НЕПРАВОМЕРНЫХ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
7.1. Перечень мероприятий, направленных на предотвращение неправомерного использования персональных данных Работниками, включает в себя:
7.1.1. выявление совершенных в процессе выполнения служебных обязанностей действий, нарушающих требования при работе с персональными данными;
7.1.2. признание этих действий (бездействия) в установленном порядке неправомерными, предотвращение и возмещение вреда;
7.1.3. привлечение виновных к ответственности.
7.2. К организационным и правовым мерам выявления и предотвращения неправомерных действий с персональными данными относятся:
7.2.1 ознакомление всех Работников под роспись с настоящим Положением и иными документами ООО «Центр ЮСБ», устанавливающими порядок обработки персональных данных Работников, а также об их правах и обязанностях в этой области;
7.2.2. регулярное доведение до сведений Работников ООО «Центр ЮСБ» информации о возможных нарушениях при обработке персональных данных, ответственности при их совершении;
7.2.3. регулярный контроль выполнения внутренних нормативных документов осуществляет Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ»;
7.2.4. внесение в договорные отношения требований действующего законодательства в области персональных данных;
7.2.5. служебное расследование фактов неправомерного обращения с персональными данными.
7.3. К техническим мерам обеспечения безопасности персональных данных относятся:
7.3.2. обеспечение защиты от несанкционированного доступа к персональным данным;
7.3.3. обеспечение нейтрализации актуальных угроз безопасности при обработке персональных данных;
7.3.4. Ведение автоматизированного журнала учета предоставления доступа к персональным данным в автоматизированных системах или передаче персональных данных в другие системы (между системами и подсистемами), а также печать на бумажные носители и копирование информации на сменные носители информации.
7.4. Организацию и контроль за законностью обработки персональных данных осуществляет Лицо, ответственное за организацию обработки персональных данных в ООО «Центр ЮСБ».
8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
8.2. Контроль над выполнением требований настоящего Положения осуществляется Лицом, ответственным за организацию обработки персональных данных.