1. Основные понятия и определения
В настоящем Положении используются следующие основные понятия:
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2. Администратор безопасности информационной системы персональных данных – лицо, назначенное распоряжением ответственного за выполнение (либо организацию) технических мер по обеспечению безопасности персональных данных, в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе
1.3. Актуальные угрозы – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, представление, распространение персональных данных, а так же иные неправомерные действия.
1.4. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных (фото-, видеоизображение, цифровое изображение и иные изображения, полученные с помощью технических средств и устройств).
1.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.6. Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
1.7. Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
1.8. Инцидент - выявление факта неправомерной или случайной утечки, утраты или раскрытия персональных данных.
1.9. Конфиденциальность персональных данных – обязательное для соблюдения работниками ООО «Центр информационных технологий» (далее – Оператор), получившими доступ к персональным данным, требование не раскрывать третьем лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
1.10. Материальные носители персональных данных – материальные объекты, используемые для закрепления и хранения на них информации, содержащей персональные данные.
1.11. Матрица доступа – таблица, отображающая правила доступа субъектов по встроенным (легальным) операциям с записями баз персональных данных (чтение, поиск, запись, удаление, сортировка, модификация), т.е. таблица, отображающая правила разграничения доступа.
1.12. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
1.13. Обработка персональных данных, осуществляемая без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, при которой такие действия как использование, уточнение, передача, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использование средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
1.14. Общедоступные источники персональных данных – источники данных, которые могут создаваться оператором в целях информационного обеспечения (в том числе справочники, адресные книги, информационные стенды и т.д. ), доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных или на которые в соответствие с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.15. Оператор – ООО «Центр информационных технологий» (ИНН 1650412966, ОГРН 1221600034611, юр. адрес: 423800, Российская Федерация, Республика Татарстан, Набережные Челны, ул. Моторная, зд. 11В), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.16. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.17. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о персональных данных.
1.18. Пользователь информационной системы персональных данных – лицо, получившее доступ к персональным данным и осуществляющее автоматизированную обработку персональных данных в информационной системе персональных данных для выполнения служебных обязанностей.
1.19. Представление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.20. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных работника в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работника каким-либо иным способом.
1.21. Субъект персональных данных:
1.21.1. Работник – физическое лицо, состоящее/ранее состоявшее в трудовых отношениях с Оператором.
1.21.2. Члены семей работников - в случаях, когда согласно законодательству сведения о них предоставляются работником.
1.21.3. Соискатель (кандидат) на должность – физическое лицо, предоставившее Оператору свои персональные данные с предложением заключения трудового договора.
1.21.4. Работник клиента – физическое лицо, состоящее/ранее состоявшее в трудовых отношения с организацией, с которой у Оператора заключен договор оказания услуг.
1.21.5. Исполнитель – физическое лицо, с которым у Оператора заключен договор гражданско-правового характера.
1.21.6. Иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
1.22. Технологический процесс обработки – документ, содержащий описание последовательности взаимосвязанных действий, выполняющихся с момента возникновения исходных данных (персональных данных субъектов персональных данных) до получения требуемого результата, режим обработки персональных данных в целом и в отдельных компонентах системы.
1.23. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.24. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.25. Уполномоченное лицо – лицо, которому на основании договора/соглашения Оператор поручает обработку персональных данных.
1.26. Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), осуществляющая функцию обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных».
1.27. Частная модель угроз безопасности персональных данных – перечень актуальных угроз применительно к конкретным условиям функционирования информационной системы персональных данных.
2. Применяемые сокращения
АРМ |
- автоматизированное рабочее место; |
| |
КА ИСПДн |
- кадровое администрирование; - информационная система персональных данных; |
| |
ОРП ПДн |
- отдел по работе с персоналом; - персональные данные; |
| |
Положение |
- Положение об обработке и защите персональных данных в ООО «Центр информационных технологий» |
| |
РФ |
- Российская Федерация |
| |
ТК РФ |
- Трудовой кодекс Российской Федерации
|
| |
3. Общие положения
3.1. Настоящее Положение является локальным нормативным актом Оператора, разработанным в соответствии с: - главой 14 ТК РФ; - Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями, внесенными ФЗ РФ от 14.07.2022 №266-ФЗ «О внесении изменений в ФЗ «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»); - Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Постановлением Правительства РФ от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»; - Приказом Роскомнадзора от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"; - Приказом Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных». - Приказом генерального директора ПАО «КАМАЗ» от 25.01.2018 № 5 «Об утверждении и введении в действие СТО КАМАЗ 60.15-2017 «Порядок обработки и защиты персональных данных». 3.2. Настоящее Положение разработано в целях: - обеспечения защиты прав субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну; - определения порядка обработки ПДн, осуществляемой без использования средств автоматизации и при их обработке в ИСПДн оператора; - установления ответственности лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн. 3.3. Обработка ПДн осуществляется в целях: - обеспечения соблюдения законов и иных нормативных правовых актов; - взаимодействия Оператора с государственными и муниципальными органами, с ПАО «КАМАЗ» и его дочерними и зависимыми обществами, а также с иными организациями, с которыми у Оператора заключен договор оказания услуг; - содействия работникам в трудоустройстве, карьерном и профессиональном развитии и продвижении, в прохождении обучения, оценочных процедур, а также формирования кадрового резерва; - ведения кадрового и бухгалтерского учета; - предоставления со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций; - предоставления работникам социальных гарантий, льгот в соответствии с локальными нормативными актами Оператора; - оформления награждений и поощрений; - обеспечения личной безопасности работников; - организации и обеспечения пропускного режима (с помощью системы контроля и управления доступом); - контроля за соблюдением дисциплины труда и трудового распорядка; - контроля количества и качества выполняемой работы; - обеспечения сохранности имущества; - информационного обеспечения общедоступных источников (справочники, телефонные книги, сайт Оператора, информационные стенды); - оказание услуг или выполнение работ по договорам с клиентами (контрагентами) - обработки обращений Контакт-центром Оператора. 3.4. Положение определяет основные понятия, состав ПДн, обрабатываемых оператором, основные условия проведения обработки, порядок передачи, хранения, уничтожения, доступа и защиты ПДн, права и обязанности субъекта ПДн, обязанности оператора, ответственность за нарушение норм, регулирующих особенности обработки и защиты ПДн. 3.5. Положение вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения. 3.6. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
4. Состав персональных данных, обрабатываемых оператором
4.1. Оператор осуществляет обработку следующих ПДн: - фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения); - пол; - число, месяц, год и место рождения; - сведения о гражданстве; - паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ); - индивидуальный номер налогоплательщика (ИНН); - номер страхового свидетельства государственного пенсионного страхования (СНИЛС); - номер страхового медицинского полиса обязательного медицинского страхования; - табельный номер; - реквизиты лицевого счета банковской карты; - адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; - сведения о документах об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи, наименование и местонахождение образовательного учреждения); - сведения о документах воинского учета военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет); - сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, ФИО супруга(и), степень родства, ФИО, даты рождения, место работы (учебы) других членов семьи, иждивенцев); - номер телефона (домашний), сотовый, адрес электронной почты и (или) сведения о других способах связи; - информация о владении иностранными языками (для отдельных категорий работников); - сведения о номере, серии и дате выдачи трудовой книжки и записях в ней; - сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы; - сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ); - сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ); - сведения о награждении; - фотоизображение; - видеоизображение; - цифровое изображение и иные изображения, полученные с помощью технических средств и устройств; - марка и государственный номер автомобиля; - сведения о результатах оценки персонала (профессиональные, личные компетенции, рекомендации по обучению, развитию и другое); - сведения о заработной плате, пособиях, компенсациях, дотациях; - сведения об обязательствах по исполнительным документам; - сведения о временной нетрудоспособности; - сведения о состоянии здоровья (для отдельных категорий работников); - сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников); - иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной пунктом 3.3. Положения; - иные персональные данные, которые работник пожелал сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной пунктом 3.3. Положения. 4.2. В ИСПДн Оператора обрабатываются следующие сведения, формируемые в целях исполнения трудового договора: - пол; - число, месяц, год и место рождения; - сведения о гражданстве; - паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ); - индивидуальный номер налогоплательщика (ИНН); - номер страхового свидетельства государственного пенсионного страхования (СНИЛС); - информация о владении иностранными языками; - реквизиты лицевого счета банковской карты; - адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; - сведения о документах об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи, наименование и местонахождение образовательного учреждения); - сведения о документах воинского учета военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет); - сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, ФИО супруга(и), степень родства, ФИО, даты рождения, место работы (учебы) других членов семьи, иждивенцев); - номер телефона (домашний), сотовый, адрес электронной почты и (или) сведения о других способах связи; - сведения об общем и страховом стаже; - сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ); - сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ); - сведения о награждении; - фотоизображение; - видеоизображение; - цифровое изображение и иные изображения, полученные с помощью технических средств и устройств; - сведения об обязательствах по исполнительным документам; - содержание и реквизиты трудового договора; - профессия (должность); - табельный номер; - заработная плата, пособия, компенсации, дотации; сведения о временной нетрудоспособности; - сведения о справке МСЭ (серия, номер, дата выдачи, срок действия). 4.3. Перечень носителей ПДн работников, состоящих в трудовых отношениях, и физических лиц, состоящих в гражданско-правовых отношениях с Оператором или иными организациями, которым Оператор оказывает услуги по заключенным договорам, приведен в приложении А, сроки хранения которых определяются на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения». 4.4. Сведения, документы и носители ПДн, перечисленные в пунктах 4.1. , 4.2. и 4.3. , в совокупности являются конфиденциальными. 4.5. Работники, осуществляющие обработку ПДн, обеспечивают конфиденциальность ПДн и несут ответственность за недопущение их распространения без согласия субъекта ПДн либо наличия иного законного основания. 4.6. Все меры конфиденциальности при сборе, обработке, передаче и хранении ПДн субъекта ПДн распространяются как на бумажные носители, так и на ПДн, обрабатываемые в ИСПДн. 4.7. Режим конфиденциальности ПДн субъекта ПДн снимается в случаях обезличивания или включения их в общедоступные источники ПДн, если иное не определено законодательством.
5. Права субъекта персональных данных
5.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: - подтверждение факта обработки ПДн оператором; - правовые основания и цели обработки ПДн; - цели и применяемые оператором способы обработки ПДн; - наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании законодательства РФ; - обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»; - сроки обработки ПДн, в том числе сроки их хранения; - наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; - информацию о мерах, применяемых оператором для выполнения обязанностей, установленных Федеральным законом «О персональных данных»; - иные сведения, предусмотренные настоящим Положением или Федеральным законом «О персональных данных». 5.2. Сведения, указанные в пункте 5.1. предоставляются субъекту ПДн или его представителю оператором в течение десяти рабочих дней с момента обращения. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 5.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено, в случаях, предусмотренных п.8 ст.14 Федерального закона «О персональных данных».
6. Мероприятия по защите персональных данных
6.1. Без письменного согласия субъекта ПДн Оператор не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено Федеральным законом «О персональных данных». 6.2. Запрещено раскрытие и распространение ПДн субъектов ПДн по телефону. 6.3. В целях обеспечения реализации требований по защите ПДн приказом генерального директора назначается ответственный за организацию обработки ПДн и ответственный за выполнение (либо организацию) технических мер по обеспечению безопасности ПДн. 6.4. Ответственный за организацию обработки ПДн обязан: 6.4.1. Уведомить Уполномоченный орган по защите прав субъектов ПДн об осуществлении обработки ПДн за исключением случаев, предусмотренных Федеральным законом «О персональных данных». 6.4.2. В случае изменения сведений, содержащихся в ранее поданном уведомлении об обработке ПДн, уведомить об этом Уполномоченный орган по защите прав субъектов ПДн в течение 10 рабочих дней с даты возникновения таких изменений. Для этого направить в уполномоченный орган информационное письмо с указанием основания изменения сведений. 6.4.3. Организовать прием, обработку обращений и запросов работников или уполномоченного органа по защите прав субъектов ПДн и осуществлять контроль за приемом и обработкой таких запросов. 6.4.4. Организовать ознакомление под роспись всех лиц, допущенных к обработке ПДн, с положениями законодательства РФ, локальными нормативными актами по вопросам обработки и защиты ПДн и обучение указанных работников. 6.4.5. Обеспечить за счет средств оператора защиту ПДн работников от неправомерного их использования или утраты. 6.4.6. Организовать режим обеспечения безопасности для помещений, в которых обрабатываются ПДн, сохранности носителей ПДн и средств защиты информации, а также исключить возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. 6.4.7. Определить оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных российским законодательством. Результаты оценки вреда оформляются актом оценки потенциального вреда субъектам персональных данных по форме Ф-01 приложения Б. 6.4.8. Обеспечить неограниченный доступ к настоящему Положению. 6.4.9. Определить меры по обеспечению сохранности обрабатываемых ПДн, исключающие несанкционированный доступ к ним. 6.5. Ответственный за выполнение (либо организацию) технических мер по обеспечению безопасности ПДн обязан: 6.5.1. Обеспечить защиту каналов связи, по которым осуществляется обмен ПДн, путем реализации организационных мер и применения технических средств. 6.5.2. Предусмотреть возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 6.5.3. Назначить своим распоряжением администратора безопасности ИСПДн по обеспечению защиты ПДн в информационной системе Оператора; 6.5.4. Инициировать разработку единой инструкции администратора безопасности ИСПДн и утверждает ее; 6.5.5. Обеспечить ознакомление администратора безопасности ИСПДн с инструкцией под роспись. 6.6. Оператор использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. 6.7. Работники Оператора, обрабатывающие ПДн, периодически проходят обучение требованиям законодательства в области ПДн.
7 Организация обработки персональных данных
7.1. Обработка и защита ПДн, содержащихся на бумажных носителях и в ИСПДн, осуществляется работниками подразделений Оператора, должностными обязанностями которых предусмотрена обработка ПДн. 7.2. Перечень должностей работников, допущенных к обработке ПДн представлен в приложение В настоящего Положения. 7.3. Специалист по КА при трудоустройстве лиц, в чьих должностных обязанностях предусмотрена обработка ПДн, ознакамливает их с настоящим Положением под роспись. К работе с ПДн такие лица допускаются только после подписания обязательства о неразглашении ПДн субъектов ПДн по форме Ф-02 приложения Г. 7.4. Ответственный за организацию обработки ПДн: - организует процесс ознакомления работников, допущенных к обработке ПДн с настоящим Положением и подписания обязательства о неразглашении ПДн субъектов ПДн; - определяет перечень помещений, предназначенных для обработки ПДн, по форме Ф-03 приложения Д и утверждает его генеральным директором; - инициирует разработку и актуализацию, по мере необходимости, матрицы доступа к каждой ИСПДн по форме Ф-04 приложения Е, которая утверждается генеральным директором; - организует хранение и актуализацию документов по защите ПДн в деле, зарегистрированном в номенклатуре дел Оператора. 7.5. Ответственный за выполнение (либо организацию) технических мер по обеспечению безопасности ПДн: - разрабатывает и актуализирует технологический процесс обработки ПДн и схему расположения ИСПДн; - разрабатывает частную модель угроз безопасности ИСПДн, выявляет на ее основе актуальные угрозы ИСПДн и определяет уровень защищенности ПДн при их обработке в ИСПДн; - актуализирует частную модель угроз безопасности при изменении технических, эксплуатационных характеристик, видов угроз; - готовит акт определения уровня защищенности ПДн по каждой ИСПДн по форме Ф-05 приложения Ж. - готовит паспорта АРМ пользователей, допущенных к обработке ПДн и серверов баз данных, содержащих ПДн по форме Ф-06 приложения З; - разрабатывает инструкции пользователей (работников, допущенных к обработке ПДн в ИСПДн) по обеспечению безопасности ПДн в ИСПДн, все пользователи должны быть ознакомлены под роспись; - определяет перечень ИСПДн, в которых обрабатываются ПДн, по форме Ф-07 приложения И и утверждает его генеральным директором.
8 Получение и обработка персональных данных
8.1. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения ПДн, в том числе с помощью средств вычислительной техники. 8.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляются посредством: - получения оригиналов документов либо их копий; - копирования оригиналов документов; - внесения сведений в учетные формы на бумажных и электронных носителях; - создания документов, содержащих ПДн, на бумажных и электронных носителях; - Обращения в Контакт-центр (звонок, электронная почта, портал «Комета», мобильное приложение, смс-сообщение, чат-бот); - внесения ПДн в ИСПДн. 8.3. Специалист по КА получает ПДн непосредственно от субъекта ПДн при наличии письменного согласия по форме Ф-08 приложения К. 8.4. При оформлении служебной командировки в ИСПДн субъект ПДн дает согласие на обработку его ПДн в целях оформления и приобретения проездных билетов (автобусных, авиа- и железнодорожных билетов), бронирования жилого помещения (гостиницы) согласно форме Ф-09 приложения Л. 8.5. При получении ПДн, предполагающих их распространение неопределенному кругу лиц, необходимо получение отдельного согласия работника на обработку ПДн, разрешенных субъектом ПДн для распространения по форме Ф-10 приложения М. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения. 8.6. В согласии на обработку персональных данных, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц, за исключением случаев обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. 8.7. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения. 8.8. Согласие на обработку ПДн может быть отозвано субъектом ПДн. Специалист по КА обязан разъяснить субъекту ПДн последствия отказа предоставления ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн, только при наличии оснований, установленных законодательством. 8.9. В случаях, когда ПДн субъекта ПДн возможно получить только у третьей стороны, субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. 8.10. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн. 8.11. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч.2 ст.10 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных». 8.12. Согласие субъекта ПДн на обработку ПДн не требуется в следующих случаях: − обработка ПДн осуществляется в целях исполнения трудового договора на основании ТК РФ или иного федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия работодателя; −− при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами; − обработка ПДн осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания ПДн; − по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом, в том числе запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. Запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. 8.13. В случае поступления запросов от третьих лиц, родственников, членов семьи субъекта ПДн, специалист по КА обязан получить письменное согласие на передачу ПДн у субъекта ПДн и предупредить под роспись лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. 8.14. В случае изменения информации, содержащей ПДн, субъект ПДн обязан в течение 5 рабочих дней с даты произошедших изменений предоставить специалисту по КА уведомление об уточнении (изменении) ПДн по форме Ф-11 приложения Н и оригиналы документов. 8.15. Обработка ПДн осуществляется способом автоматизированной и неавтоматизированной обработки. 8.16. При обработке ПДн работник, допущенный к обработке ПДн, принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 8.17. В целях информационного обеспечения у Оператора создаются общедоступные источники ПДн субъектов ПДн. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться фамилия, имя, отчество, дата рождения, должность, номера контактных телефонов, адрес электронной почты, фотоизображение. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. 8.18. В целях информационного обеспечения у Оператора создаются корпоративные источники информации. Информация о субъектах ПДн, содержащая их ПДн (фамилия, имя, отчество, должность, номера контактных телефонов, фотоизображение), могут размещаться в них только после получения письменного согласия субъектов ПДн на обработку ПДн для распространения. Сведения о субъекте ПДн должны быть в любое время исключены из корпоративных источников информации по требованию субъекта ПДн либо по решению суда или иных уполномоченных органов. 8.19. Руководитель подразделения, инициирующего распространение ПДн, своим распоряжением назначает лицо, ответственное за получение согласия субъекта ПДн на обработку ПДн, разрешенных для распространения, и направляет информацию о нем ответственному за выполнение (либо организацию) технических мер по обеспечению безопасности ПДн. 8.20. Ответственное лицо, назначенное в соответствии с п. 8.19. , обеспечивает: − размещение ПДн субъекта ПДн в корпоративных источниках информации в соответствии с полученными согласиями на распространение ПДн; − своевременное удаление ПДн субъекта ПДн и хранение согласия в соответствии с настоящим положением. 8.21. Обработка биометрических ПДн допускается только при наличии письменного согласия субъекта ПДн. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Федерального закона «О персональных данных». 8.22. Оператор не осуществляет трансграничную передачу ПДн.
9 Обработка персональных данных соискателей
9.1. Обработка ПДн соискателей на замещение вакантных должностей осуществляется после получения работником ОРП согласия соискателей на обработку их ПДн по форме Ф-12 приложения О на период принятия Оператором решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда: − от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор; − соискатель самостоятельно разместил свое резюме в сети Интернет; − соискатель самостоятельно отправил свое резюме через официальный сайт Оператора; - соискатель самостоятельно отправил свое резюме через официальный сайт ПАО «КАМАЗ». 9.2. Работник ОРП обязан разъяснить соискателю о целях, способах и источниках получения ПДн, а также о характере подлежащих обработке ПДн и возможных последствиях отказа субъекта ПДн дать согласие на их обработку. 9.3. В случае получения резюме соискателя по каналам электронной почты, факсимильной связи, работнику ОРП необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К таким мероприятиям относится приглашение соискателя на личную встречу с работниками Оператора, которые осуществляют обработку ПДн соискателей. 9.4. При поступлении в адрес Оператора резюме, составленного в произвольной форме, при которой однозначно определить лицо, его направившее, не представляется возможным, в течение 3-х рабочих дней резюме уничтожается по акту в соответствии с формой Ф-13 приложения П. 9.5. В случае отказа в приеме на работу сведения, представленные соискателем, должны быть уничтожены работником ОРП в течение 30 календарных дней с даты принятия такого решения по акту в соответствии с формой Ф-13 приложения П. С согласия соискателя его ПДн могут быть включены в ИСПДн E-Staff. 9.6. Получение согласия от соискателя является обязательным условием при направлении оператором запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
10 Передача персональных данных
10.1. Передача (распространение, предоставление, доступ) ПДн субъектов ПДн осуществляется в случаях и в порядке, предусмотренных законодательством в области ПДн и Положением. 10.2. При передаче ПДн субъекта ПДн оператор соблюдает следующие требования: − не сообщать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральными законами; − при заключении договора/соглашения о поручении обработки ПДн другому уполномоченному лицу, оператор обязан обеспечить наличие в договоре/соглашении условий, обязывающих уполномоченное лицо соблюдать конфиденциальность и безопасность ПДн при их использовании и обработке; − передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном ТК РФ, и ограничивать эту информацию только теми ПДн субъекта ПДн, которые необходимы для выполнения указанными представителями их функций. 10.3. Передача (обмен) ПДн в подразделениях Оператора может осуществляться только между ответственными по ПДн с соблюдением требований конфиденциальности. 10.4. Передача (обмен) электронных документов, содержащих ПДн, допускается посредством сервиса корпоративной почты в виде архивов с использованием паролей защиты или с использованием функции обмена зашифрованными сообщениями клиента Microsoft Outlook. 10.5. Ответственный по ПДн специалист по КА: - ведет учет передачи ПДн в «Журнале учета передачи ПДн по запросам», отражающем сведения о поступившем запросе, в соответствии с формой Ф-14 приложения Р; - организует хранение заявлений о выдаче копий документов субъекта ПДн в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения». 10.6. Работники, допущенные к обработке ПДн, на основании заявления предоставляют субъекту ПДн надлежаще заверенные копии документов, связанных с работой, в которых содержатся ПДн субъекта ПДн, и фиксируют выдачу указанных копий в «Журнале учета заявлений о выдаче копий документов, связанных с работой», который оформляется в соответствии с формой Ф-15 приложения С. 10.7. Журналы учета регистрируются специалистом по КА в номенклатуре дел организации. 10.8. Листы журналов учета нумеруются и прошиваются. На последнем листе журнала конец прошивки должен быть заклеен бумажной лентой, на которой делается запись о количестве пронумерованных и прошнурованных в нем листов, заверяется специалистом по КА с указанием даты прошивки и ставится печать 21 (штамп) так, чтобы она вышла за края бумажной ленты и след присутствовал на самом журнале. На лицевой стороне обложки журнала указываются: наименование журнала, номенклатурный номер, даты начала и окончания журнала. 10.9. Журналы учета заполняются аккуратным, разборчивым подчерком. В журналах учета запрещается делать подчистки, а также исправления с применением корректирующей жидкости. Допущенные прежде неточности в записи перечеркиваются одной чертой и вносятся уточненные данные.
11. Сроки обработки и хранение персональных данных
11.1. В помещениях, в которых хранятся и обрабатываются ПДн, должны быть созданы надежные условия (в том числе установлена пожарная сигнализация), обеспечивающие сохранность находящейся в них документации в целях предотвращения несанкционированного доступа к ПДн и передачи их лицам, не имеющим права доступа к такой информации. 11.2. По окончании рабочего дня бумажные и материальные носители ПДн запираются на ключ в секциях рабочих столов, в шкафах, закрывающихся на ключ или в несгораемых шкафах. 11.3. Уборка помещений, предназначенных для обработки и хранения ПДн, должна проводиться в присутствии лиц, работающих в них. 11.4. Хранение, обработка и архивирование любых электронных документов (файлов), содержащих ПДн, должны осуществляться с учётом требования по ограничению несанкционированного доступа к ним третьих лиц и защиты от угрозы хищения. 11.5. Доступ к ПДн, содержащихся в ИСПДн, осуществляется по индивидуальным паролям. 11.6. ПДн, обрабатываемые в ИСПДн, должны храниться на корпоративных серверах или на отдельных защищенных виртуальных серверах в дата-центре ГАУ «ИТ-ПАРК», либо в организации, оказывающей услуги по хранению данных в соответствии с заключенным договором. 11.7. Доступ к указанным виртуальным серверам со стороны хостинг-провайдера должен быть заблокирован с помощью сертифицированных средств защиты. 11.8. Хранение информации, содержащей ПДн субъекта ПДн, на почтовом сервере запрещается. 11.9. Резервное копирование информации, находящейся на сервере производится автоматически, в соответствии с утвержденным регламентом. 11.10. При поступлении запроса на уничтожение ПДн по требованию субъекта ПДн или уполномоченного органа по защите прав субъекта ПДн, ответственный за обработку запросов действует в соответствии требования законодательства. 11.11. Хранение ПДн субъектов ПДн осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении. 11.12. Хранение документов, содержащих ПДн субъектов ПДн, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению с составлением акта по форме Ф-13 приложения П. Сроки хранения документов, содержащих ПДн, определены в Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций. 11.13. Срок хранения ПДн, обрабатываемых в информационных системах ПДн, соответствует сроку хранения персональных данных на бумажных носителях. 11.14. Прекращение обработки и уничтожение ПДн осуществляется в следующих случаях с соблюдением требований законодательства РФ: - истечение определенного срока хранения и обработки ПДн. Срок прекращения обработки – в течение 30 дней с даты достижения максимальных сроков хранения документов; - достижение цели обработки ПДн. Срок прекращения обработки – в течение 30 дней с даты достижения цели обработки; - утрата необходимости в достижении цели обработки ПДн. Срок прекращения обработки – в течение 30 дней; - отзыв субъектом ПДн (или его представителя) согласия на обработку своих ПДн (при отсутствии других законных оснований на обработку ПДн). Срок прекращения обработки - не более десяти рабочих дней с даты получения отзыва (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления); − выявление недостоверных ПДн или неправомерной обработки ПДн. Срок прекращения обработки – в течение трех рабочих дней с даты выявления такого факта; − истечение срока или прекращение действия договора поручения, в соответствии с которым оператором осуществляется обработка и хранение ПДн. Срок прекращения обработки – в течение 30 дней с даты события. 11.15. В случае предоставления субъектом ПДн (его представителем) подтвержденной информации о том, что ПДн являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта ПДн (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
12. Порядок блокирования и уничтожения персональных данных
12.1. Оператор блокирует ПДн в порядке и на условиях, предусмотренных законодательством в области ПДн. 12.2. При достижении целей обработки ПДн или в случае утраты необходимости в достижении этих целей ПДн уничтожаются либо обезличиваются. Исключение может предусматривать Федеральный закон «О персональных данных». 12.3. В случае уничтожения ПДн, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта ПДн (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие ПДн. 12.4. В случае уничтожения ПДн, которые неправомерно обрабатывались, Оператор уведомляет субъекта ПДн (его представителя) об устранении нарушений в части неправомерной обработки ПДн. Уведомляется также Роскомнадзор, если он направил обращение субъекта ПДн (его представителя) либо сам сделал запрос. 12.5. Отбор материальных носителей и (или) сведений из ИСПДн, содержащих ПДн, которые подлежат уничтожению, производится комиссией, назначаемой распоряжением генерального директора, в состав которой включается не менее трех человек. 12.6. Выделение к уничтожению и уничтожение бумажных документов с ПДн производится комиссией, назначаемой распоряжением генерального директора, в состав которой включается не менее трех человек. 12.7. Документы должны быть уничтожены путем измельчения до степени, исключающей возможность прочтения текста с использованием шредера. По результатам уничтожения составляется акт по форме Ф-13 приложения П. 12.8. Удаление ПДн с электронных носителей производится методами и средствами гарантированного удаления остаточной информации без возможности восстановления. 12.9. По результатам уничтожения данных на материальных носителях составляется акт по форме Ф-13 приложения П. 12.10. По результатам уничтожения ПДн из ИСПДн составляется акт по форме Ф-13 приложения П, а также выгрузка из журнала регистрации событий в ИСПДн (далее – выгрузка из журнала). 12.11. Выгрузка из журнала должна содержать: - фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПДн были уничтожены. - перечень категорий уничтоженных ПДн субъекта (субъектов) ПДн; - наименование информационной системы ПДн, из которой были уничтожены ПДн субъекта (субъектов) ПДн; - причину уничтожения ПДн; - дату уничтожения ПДн субъекта (субъектов) ПДн. 12.12. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 12.11. Положения, недостающие сведения вносятся в акт об уничтожении ПДн.
13. Контроль за выполнением установленных норм, регулирующих получение, обработку и защиту персональных данных
13.1. Ответственный за организацию обработки ПДн осуществляет контроль за соблюдением требований обработки и защиты ПДн в целях изучения и оценки состояния сохранности ПДн, выявления недостатков при обработке и защите ПДн, установления причин их возникновения и выработки предложений по их устранению. 13.2. Для контроля выполнения требований настоящего положения проводятся внутренние плановые и внеплановые проверки. 13.3. Внутренние внеплановые проверки проводятся при наличии признаков утечки, раскрытия ПДн или утраты носителей ПДн или в иных случаях на основании приказа генерального директора. 13.4. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором. 13.5. Проверяющие по ПДн имеют право: − знакомиться со всеми документами и иными материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы, консультироваться со специалистами и исполнителями, требовать предоставления письменных объяснений, справок и отчетов по всем вопросам, входящим в их компетенцию; − проверять АРМ и серверы на соответствие установленным требованиям. При проверке должен присутствовать ответственный за выполнение (либо организацию) технических мер по обеспечению безопасности персональных данных. 13.6. По результатам проверки проверяющие по ПДн составляют «Справку по результатам проверки соблюдения организационных требований при обработке ПДн» в произвольной форме, в которой отражается: состояние дел в области выполнения установленных норм, регулирующих получение, обработку и защиту ПДн работников, выявленные недостатки и нарушения, а также вносятся предложения по их устранению. Справка направляется в адрес генерального директора. 13.7. При выявлении случаев утечки, утраты или неправомерного раскрытия ПДн (далее инцидент) лицо, выявившее данный факт, обязано поставить в известность генерального директора. Для расследования указанных случаев по решению генерального директора создается рабочая группа. Рабочая группа выявляет обстоятельства утраты (раскрытия), а также разрабатывает предложения по предотвращению фактов раскрытия и утраты носителей ПДн. 13.8. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор: - об инциденте; - о его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных; - о принятых мерах по устранению последствий инцидента; - о представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом. 13.9. В течение 72 часов Оператор обязан сделать следующее: - уведомить Роскомнадзор о результатах внутреннего расследования; - предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии). 13.10. Ответственный за выполнение (либо организацию) технических мер по обеспечению безопасности персональных данных имеет право ограничить доступ к ПДн или техническим средствам обработки ПДн работнику, нарушившему нормы, регулирующие получение, обработку и защиту ПДн работников на период проведения служебной проверки.
14. Обязанности и ответственность лиц, допущенных к обработке персональных данных
14.1. Работники, допущенные к обработке ПДн, обязаны: 14.1.1. Руководствоваться в своей работе действующим законодательством Российской Федерации, настоящим положением, должностной инструкцией и иными локальными актами Оператора и ПАО «КАМАЗ» в области защиты ПДн. 14.1.2. Обеспечивать сохранность и конфиденциальность ПДн субъекта ПДн, исключить доступ к ним третьих лиц. 14.1.3. Осуществлять обработку ПДн только в установленных целях. 14.1.4. Информировать руководителя подразделения при инцидентах, связанных с нарушением порядка обработки ПДн. 14.1.5. Разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку (если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными). 14.2 Ответственность за обеспечение требований настоящего стандарта несут ответственные лица за организацию обработки ПДн, за выполнение (либо организацию) технических мер по обеспечению безопасности. 14.3. Лица, виновные в нарушении положений законодательства РФ в области ПДн при обработке ПДн работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном Федеральными законами. 14.4. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также несоблюдения требований к их защите, установленных Законом о ПДн, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
|
|
ООО "Центр информационных технологий" занимается автоматизацией управления и учета на базе программных продуктов «1С».
В нашей компании работают сертифицированные фирмой «1С» специалисты, которые постоянно совершенствуют свои знания и навыки. Они помогут качественно и оперативно решить задачи по автоматизации управления и учета на вашем предприятии.
Наша компания опирается в своей работе на знание и повседневное применение стандартов качества, проектных методов в управлении, процессного подхода в организации нашей деятельности.
Мы работаем с крупными компаниями и холдингами, имеем большой опыт комплексных решений на базе продуктов "1С" и интеграции их с другими эксплуатируемыми автоматизированными системами.