Политика обработки персональных данных
Приложение 2
к приказу ООО «ОКТОПРИНТ СЕРВИС»
от 10 апреля 2025года № 779И
ПОЛИТИКА
обработки персональных данных в ООО «ОКТОПРИНТ СЕРВИС»
1. Основные термины и определения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно
определенному, либо определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (Оператор) – ООО «ОКТОПРИНТ СЕРВИС» (ИНН
7723344246), адрес регистрации: 141503, Московская область, г. Солнечногорск, д.п. Поварово,
ул. Почтовая, д. 29, помещ. 2, офис 5, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными.
Автоматизированная обработка персональных данных – обработка персональных данных с
помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения персональных
данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором
или иным получившим доступ к персональным данным лицом требование не допускать их
раскрытие третьим лицам или их распространение без согласия субъекта персональных данных,
если иное не предусмотрено федеральным законом;
Обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких
средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных
данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного
круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных.
2. Общие положения
2.1. Настоящая Политика обработки персональных данных в ООО «ОКТОПРИНТ
СЕРВИС» (далее – Политика) разработана в соответствии Федеральным законом РФ от 27.07.2006
№ 152-ФЗ «О персональных данных» и нормативными правовыми актами (в т.ч. методическими
документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при
их обработке.
2.2. Политика определяет порядок обработки ПДн, а также ответственность работников
ООО «ОКТОПРИНТ СЕРВИС» (далее – Оператор), участвующих в обработке ПДн.
2.3. Политика входит в состав комплекта организационно-распорядительной
документации Оператора, регламентирующего порядок обработки ПДн.
2.4. Политика распространяется на всех работников Оператора, а также физических лиц,
взаимодействующих с Оператором на основании договоров, нормативных, правовых и
организационно-распорядительных документов, вступающих с Оператором в любые
правоотношения, в том числе путем использования интернет- ресурсов (сайтов, блогов, соц. сетей
и т.п.), контактных е-мэйлов и телефонов, принадлежащих Оператору.
2.5. Положения Политики также распространяются на иных лиц при необходимости их
участия в процессах обработки Оператором ПДн, в том числе в случаях передачи в установленном
законом порядке ПДн контрагентам и третьим лицам на основании поручений на обработку ПДн,
договоров, норм действующего законодательства.
2.6. Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены
ее новой Политикой.
2.7. Политика не распространяется на следующие случаи:
- хранения, комплектования, учета и использования архивных документов, содержащих
ПДн, в соответствии с законодательством об архивном деле в РФ;
- обработки ПДн, отнесенных в установленном порядке к сведениям, составляющим
государственную тайну.
3. Правовые основания обработки персональных данных
3.1. Оператор обрабатывает ПДн на основании следующих нормативных правовых актов:
- Трудовой кодекс РФ;
- Налоговый кодекс РФ;
- Гражданский кодекс РФ;
- Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»;
- Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и
мобилизации в Российской Федерации»;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной
ответственностью»;
- Федеральный закон от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;
- Федеральный закон от 07.08.2001 № 115-ФЗ "О противодействии легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации
юридических лиц и индивидуальных предпринимателей»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании
в Российской Федерации»;
- Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники
при осуществлении наличных денежных расчетов и (или) расчетов с использованием
электронных средств платежа»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании
на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании
в Российской Федерации»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг
отдельными видами юридических лиц»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в
Российской Федерации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок
товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
- иных обязательных к исполнению всеми участниками правоотношений нормативных
правовых актов.
3.2. Также основаниями для обработки ПДн Оператором являются:
- договоры гражданского-правового характера, трудовые договоры и иные
соглашения/сделки, заключенные как в письменной форме, так и иным допустимым
законом способом;
- Устав Оператора;
- Политика обработки персональных данных и прочие локальные нормативные акты
Оператора;
- согласия субъектов персональных данных.
4. Общие принципы обработки ПДн
4.1. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных
Федеральным законом «О персональных данных».
4.2. Обработка ПДн осуществляется на законной и справедливой основе.
4.3. Обработка ПДн ограничивается достижением конкретных, заранее определённых и
законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Содержание
и объем обрабатываемых ПДн должен соответствовать заявленным целям обработки и не должен
являться избыточным.
4.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых
осуществляется в целях, несовместимых между собой.
4.5. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых
случаях и актуальность по отношению к целям обработки ПДн. Принимаются необходимые меры
по удалению или уточнению неполных, или неточных данных.
4.6. Обработка Оператором ПДн осуществляется смешанным способом.
4.7. Организацию процесса обработки ПДн и контроль за его состоянием осуществляет
Ответственный за организацию обработки ПДн Оператора, назначенный приказом Управляющего.
4.8. Непосредственный сбор и обработку ПДн осуществляют работники Оператора в
соответствии с их должностными обязанностями.
4.9. Все работники, которым в связи со служебными (должностными) обязанностями
необходим доступ к ПДн, заполняют и подписывают обязательство о неразглашении информации
ограниченного доступа, форма которого устанавливается приказом Управляющего.
4.10. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим
лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено
федеральным законодательством.
4.11. Оператор обрабатывает данные посетителей своих интернет-сайтов с помощью
метрических программ (сервисов веб-аналитики), а именно посредством сервиса Яндекс.Метрика.
4.12. При сборе ПДн, в том числе посредством сети интернет, Оператор обеспечивает запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн
граждан РФ с использованием баз данных, находящихся на территории РФ.
4.13. При обработке ПДн без использования средств автоматизации Оператор обеспечивает
соблюдение правил хранения бумажных носителей и порядка доступа в помещения, где они
хранятся, в целях исключения несанкционированного доступа к ПДн, их уничтожения, изменения,
блокирования, копирования, распространения, иных неправомерных действий в отношении ПДн.
4.14. При обработке ПДн с использованием средств автоматизации Оператор дополнительно
соблюдает правила по парольной защите, идентификации пользователей ИСПДн, правила работы
со съемными носителями.
5. Цели обработки персональных данных
5.1. Оператор обрабатывает ПДн исключительно в следующих целях:
- подбор персонала на вакантные должности;
- ведение кадрового делопроизводства и бухгалтерского учета;
- обеспечение соблюдения требования трудового законодательства;
- обеспечение соблюдения налогового законодательства;
- обеспечение соблюдения пенсионного законодательства;
- заключение, исполнение, изменение, прекращение гражданско-правовых договоров;
- обеспечение работы интернет-ресурсов Оператора (сайты, лендинги и т.п.), сбор
статистических и аналитических данных об использовании интернет-ресурсов.
- обеспечение уставной деятельности Оператора.
5.2. Перечень субъектов, чьи ПДн обрабатываются Оператором для каждой цели, а также
конкретные виды обрабатываемых ПДн субъектов приведены в приложении к Политике.
5.3. Обработка специальных категорий ПДн, касающихся расовой, национальной
принадлежности, политических взглядов, религиозных или философских убеждений, интимной
жизни, Оператором не осуществляется.
Сведения о состоянии здоровья работников обрабатываются Оператором исключительно в
целях установления возможности выполнения работником трудовой функции в соответствии с
законодательством о государственной социальной помощи, трудовым и пенсионным
законодательством Российской Федерации (листы временной нетрудоспособности, расследование
дисциплинарных проступков, охрана труда и т.п.).
5.4. Обработка биометрических ПДн (сведения, которые характеризуют физиологические
и биологические особенности человека, на основании которых можно установить его личность, и
которые используются Оператором для установления личности субъекта ПДн) Оператором не
осуществляется.
Оператор не рассматривает фотографические и видеоизображения субъектов ПДн,
используемых им при осуществлении своей деятельности, как биометрические ПДн, в случаях,
если не используется биометрическая система распознавания лиц.
6. Согласие субъекта ПДн
6.1. Согласие на обработку ПДн должно быть конкретным, предметным, информированным,
сознательным и однозначным.
6.2. Согласие может быть предоставлено в любой позволяющей подтвердить факт его
получения форме. В частности, согласие на обработку ПДн может быть выражено путем
совершения субъектом ПДн конклюдентных действий:
- нажатием кнопки «Я прочитал» под информационным сообщением в новостной ленте
корпоративного портала Битрикс 24;
- направлением в адрес Оператора форм, анкет, документов, содержащих ПДн (к примеру,
резюме кандидата или карточки клиента с данными контактного лица);
- поддержанием электронной переписки, в которой говорится об обработке ПДн;
- нажатием кнопки «Согласен», «Отправить» или аналогичной по содержанию на
интернет-ресурсе Оператора;
- продолжением использования интернет-ресурсов Оператора после уведомления
пользователя об обработке ПДн. Дальнейшее использование интернет-ресурсов
Оператора означает безоговорочное согласие пользователя с Политикой и указанными в
ней условиями обработки его ПДн. При несогласии с этими условиями пользователь
должен воздержаться от использования интернет-ресурса Оператора;
- закрытием всплывающего уведомления об обработке ПДн в соответствии с Политикой
при проставленной галочке в окне «Принять» или «Согласен» либо аналогичном по
содержанию;
- совершением субъектом ПДн иных действий, по которым можно судить о его
волеизъявлении.
6.3. Согласие на обработку биометрических ПДн, специальных категорий ПДн, на
распространение ПДн, а также на передачу ПДн работников (кроме случаев передачи,
предопределенных законом) должно быть оформлено строго в письменной форме. Формы
используемых Оператором согласий устанавливаются приказом Управляющего.
6.4. Согласие на распространение ПДн оформляется отдельно от прочих видов письменных
согласий субъекта ПДн.
6.5. В случае недееспособности субъекта ПДн согласие на обработку его ПДн берется у
законного представителя субъекта ПДн.
6.6. В случае смерти субъекта ПДн согласие на обработку его ПДн берется у наследников
субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
6.7. В случае получения согласия на обработку ПДн от представителя субъекта ПДн
проверяются полномочия данного представителя на дачу согласия от имени субъекта ПДн.
6.8. Допускается включение согласия субъекта ПДн в письменном виде непосредственно в
документ, заполняемый субъектом ПДн или подготавливаемый для субъекта ПДн (анкета,
опросный лист, соглашение, договор и т.д.).
6.9. В случаях обработки ПДн, полученных не от субъекта ПДн напрямую, а от других лиц
на основании договора или поручения на обработку, обязанность получения согласия субъекта
ПДн возложена на лицо, от которого получены ПДн.
6.10. В случаях, когда предоставление ПДн является обязательным в соответствии с
Федеральным законом «О персональных данных» либо иными законами РФ, а субъект
отказывается их предоставить, ему разъясняются юридические последствия отказа предоставить
ПДн. Форма разъяснения субъекту юридических последствий отказа предоставить свои ПДн
утверждается приказом Управляющего Оператора.
6.11. В случае отказа субъекта ПДн от предоставления в необходимом и достаточном объеме
его ПДн, Оператор не гарантирует осуществление необходимых действий для достижения
соответствующих обработке целей. В частности, может быть не завершена отправка сообщения
пользователя на сайте Оператора, резюме соискателя не будет рассмотрено и т.д.
6.12. Согласие может быть в любой момент отозвано субъектом ПДн путем направления
письменного заявления оператору ООО «ОКТОПРИНТ СЕРВИС» по адресу: 141503, Московская
область, г. Солнечногорск, д.п. Поварово, ул. Почтовая, д. 29, пом. 2, офис 5 или на электронную
почту info@oktoprint.ru. Заявление должно содержать необходимые данные, позволяющие
идентифицировать субъекта ПДн (ФИО, паспортные данные) и контактную информацию для
ответа (адрес электронной почты или почтовый адрес).
7. Права субъектов персональных данных
7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в
том числе содержащей:
- подтверждение факта обработки ПДн Оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты
ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их
получения;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом
«О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
ПДн по поручению Оператора, если обработка поручена или будет поручена такому
лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или
другими федеральными законами.
7.2. Оператор обязан предоставить соответствующую информацию субъекту ПДн в
течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн. В установленных
законом случаях Оператор вправе в тот же срок предоставить мотивированный отказ (ч. 8 ст. 14
Федерального закона «О персональных данных»).
7.3. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или
уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки.
Оператор должен осуществить изменение (уточнение), блокирование или уничтожение ПДн
не позднее 7 (семи) рабочих дней с даты получения соответствующего требования от субъекта
ПДн. В случае, если ПДн субъекта были переданы третьим лицам, Оператор обязан уведомить
таких третьих лиц о необходимости уточнения, блокирования или уничтожения ПДн в связи с
требованием субъекта (кроме случаев, когда дальнейшая обработка возможна по законным
основаниям).
7.4. Субъект ПДн вправе принимать предусмотренные законом меры по защите своих
прав.
7.5. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с
нарушением требований Федерального закона «О персональных данных» или иным образом
нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в
вышестоящий орган по защите прав субъектов ПДн (Федеральная служба по надзору в сфере
связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном
порядке.
7.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Основные права и обязанности Оператора ПДн
8.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для
обеспечения выполнения им обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными правовыми
актами;
- поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не
предусмотрено федеральным законом, на основании заключаемого с этим лицом
договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано
соблюдать принципы и правила, предусмотренные Федеральным законом «О
персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые
меры, направленные на обеспечение выполнения обязанностей, предусмотренных
законом;
- в случае отзыва субъектом ПДн согласия на обработку ПДн продолжить их обработку
при наличии на то законных оснований;
- предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим
законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении ПДн в случаях, предусмотренных законодательством.
8.2. Оператор обязан:
- организовывать обработку ПДн в соответствии с требованиями Федерального закона «О
персональных данных»;
- обеспечивать своевременную подачу уведомлений в Роскомнадзор о начале обработки
ПДн и трансграничной передачи ПДн, поддержание их в актуальном состоянии;
- разрабатывать и внедрять меры, необходимые для соблюдения требований
законодательства о безопасности обработки ПДн и защиты информации;
- осуществлять внутренний контроль за порядком обработки ПДн Оператором, принимать
необходимые меры для устранения угроз сохранности ПДн;
- отвечать на обращения и запросы субъектов ПДн и их законных представителей в
соответствии с требованиями закона;
- сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10
рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не
более чем на 5 рабочих дней. Для этого Оператору необходимо направить в
Роскомнадзор мотивированное уведомление с указанием причин продления срока
предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с
государственной системой обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ, включая информирование его о
компьютерных инцидентах, которые повлекли неправомерную передачу
(предоставление, распространение, доступ) ПДн.
9. Поручение обработки ПДн
9.1. Обработка ПДн другому лицу поручается только с согласия субъекта ПДн, если иное не
предусмотрено законом.
9.2. Обработка ПДн другому лицу поручается только на основании заключаемого с этим
лицом договора, государственного или муниципального контракта, принятого государственным
или муниципальным органом акта (далее – «Поручение оператора»).
9.3. В Поручении оператора должны быть определены:
- перечень действий (операций) с ПДн, которые будут совершаться лицом,
осуществляющим обработку ПДн;
- цели обработки ПДн;
- обязанность указанного лица соблюдать конфиденциальность ПДн и обеспечивать
безопасность ПДн при их обработке;
- требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального
закона «О персональных данных»;
- ответственность указанного лица перед Оператором.
9.4. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать
принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных
данных». При этом данное лицо не обязано получать согласие субъекта ПДн на обработку его
ПДн.
9.5. В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед
субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку
ПДн по поручению Оператора, несет ответственность перед Оператором.
10. Предоставление ПДн
10.1. Оператор вправе предоставлять ПДн субъектов третьим лицам, в том числе
контрагентам Оператора, только с согласия субъекта ПДн, если иное не предусмотрено
федеральными законами. В частности, Оператор вправе без согласия субъекта предоставлять его
ПДн органам дознания и следствия, иным уполномоченным органам по основаниям,
предусмотренным действующим законодательством РФ.
10.2. Все третьи лица, которым осуществляется предоставление ПДн, обязаны соблюдать
принципы и правила обработки ПДн, предусмотренные действующим законодательством РФ.
10.3. При наличии письменного согласия субъекта ПДн Оператор вправе с целью
осуществления своей уставной деятельности (к примеру, для информирования о различного рода
событиях и мероприятиях Оператора, размещения отличившихся работников на досках почета)
осуществлять распространение ПДн субъектов на интернет-ресурсах ООО «ОКТОПРИНТ
СЕРВИС» (сайтах oktoprint.ru, cut4you.ru, zund-rus.ru, oktosparts.ru, kleyservice.ru,
polygraphist.oktoprint.ru, sales.oktoprint.ru, okto-line.ru, oktoprint.com, oktobit24.ru, в социальных
сетях, блогах и т.п.), рекламных листовках (буклетах), информационных стендах Оператора.
10.4. С указанной целью допускается распространение фотографий и видеоматериалов с
участием субъектов ПДн, а также сведений об их фамилиях, имени, отчестве, должности, опыте,
месте и стаже работы, образовании, компетенциях, служебном телефоне, электронной почте.
10.5. В случае получения требования субъекта о прекращении предоставления его ПДн
Оператор в течение 3 (трех) рабочих дней прекращает предоставление, если отсутствуют иные
законные основания для такой дальнейшей обработки ПДн.
11. Трансграничная передача ПДн
11.1. Оператором может осуществляться трансграничная передача ПДн на территории
иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических
лиц при автоматизированной обработке ПДн, а также на территории иностранных государств,
обеспечивающих адекватную защиту прав субъектов ПДн, с учетом требований действующего
законодательства РФ в соответствии с Регламентом, утвержденным Управляющим Оператора.
11.2. Трансграничная передача ПДн на территории иных иностранных государств, не
обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться Оператором с
учетом требований действующего законодательства РФ в случаях:
- наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его
ПДн;
- исполнения договора, стороной которого является субъект ПДн;
- наличие разрешения Роскомнадзора на такую передачу ПДн.
11.3. В случае получения требования субъекта о прекращении передачи его ПДн Оператор в
течение 3 (трех) рабочих дней прекращает передачу, если отсутствуют иные законные основания
для такой дальнейшей обработки ПДн.
12. Правила обезличивания ПДн и работы с обезличенными ПДн
12.1. Обезличивание ПДн производится в случаях, когда цели обработки ПДн достигнуты
либо утрачена необходимость в достижении целей обработки, и при этом невозможно их
уничтожение.
12.2. Обезличивание ПДн, содержащихся на машинных носителях, производится путем
замены ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн, на
уникальный внутренний идентификатор субъекта ПДн, присвоенный ему Оператором.
12.3. Обезличивание ПДн, содержащихся на бумажных носителях, производится путем
стирания (вымарывания) ПДн, позволяющих определить принадлежность ПДн конкретному
субъекту ПДн.
12.4. Работники Оператора не должны нарушать целостность, доступность обезличенных
данных.
12.5. Обработка обезличенных ПДн может осуществляться с использованием средств
автоматизации или без использования таких средств.
13. Условия и сроки прекращения обработки персональных данных и их уничтожение
13.1. Оператор прекращает обработку ПДн и уничтожает ПДн в следующих случаях:
- достижение целей обработки ПДн или максимальных сроков хранения – в течение 30
дней;
- утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
- выявление факта, что ПДн являются незаконно полученными или не являются
необходимыми для заявленной цели обработки – в течение 3 рабочих дней;
- невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
- отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не
требуется для целей обработки ПДн – в течение 30 дней;
- получение от субъекта ПДн требования о прекращении обработки ПДн – в течение 10
рабочих дней.
13.2. Уничтожение ПДн в ИСПДн и цифровых носителях производится способом,
исключающим возможность их восстановления:
- перезаписью уничтожаемых (стираемых) файлов случайной битовой
последовательностью;
- удалением записи о файлах;
- обнулением журнала файловой системы;
- полной перезаписью всего адресного пространства съемного машинного носителя ПДн
случайной битовой последовательностью с последующим форматированием.
13.3. Уничтожение ПДн на бумажных материальных носителях осуществляется способом,
исключающим возможность их восстановления:
- измельчение в бумагорезательной машине (шредер) – для документов на бумаге,
подлежащих полному уничтожению;
- тщательное вымарывание (с проверкой тщательности вымарывания) информации,
подлежащей уничтожению - для документов на бумаге, требующих дальнейшего
сохранения прочей информации (помимо уничтожаемых ПДн), зафиксированной в них.
13.4. Уничтожение или обезличивание ПДн осуществляется работниками Оператора,
входящими в состав комиссии по уничтожению, создаваемой приказом Управляющего Оператора.
13.5. При невозможности уничтожения ПДн в сроки, определенные Федеральным законом
«О персональных данных» для случаев, когда невозможно обеспечить правомерность обработки
ПДн или при достижении целей обработки ПДн, если сохранение ПДн более не требуется для
целей обработки ПДн, осуществляется блокирование ПДн и их последующие уничтожение в
течение 6 месяцев, если иной срок не установлен федеральным законодательством.
13.6. В соответствии с ч. 5 ст. 21 Федерального закона «О персональных данных»
допускается не уничтожать или не обезличивать ПДн в следующих случаях:
- если иное предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект ПДн;
- если в соответствии с федеральными законами есть основания осуществлять дальнейшую
обработку ПДн без согласия субъекта ПДн.
14. Меры обеспечения безопасности ПДн
14.1. Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией
правовых, организационных, технических и программных мер, необходимых и достаточных для
обеспечения требований законодательства в области защиты ПДн.
14.2. Оператор предпринимает необходимые организационные и технические меры для
защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения ПДн, а также от иных
неправомерных действий в отношении ПДн.
14.3. В целях обеспечения безопасности ПДн Оператор предпринимает следующие
организационно-технические меры:
- назначает должностных лиц, ответственных за организацию обработки ПДн и за
обеспечение безопасности ПДн в информационных системах Оператора;
- утверждает локальный правовой акта, определяющий политику оператора в отношении
обработки ПДН (настоящая Политика). Обеспечивает опубликование такой Политики на
своем сайте в сети Интернет;
- утверждает локальный акт по вопросам обработки ПДн, определяющий для каждой цели
обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн
которых обрабатываются, способы, сроки их обработки и хранения (настоящая
Политика);
- утверждает локальный правовой акт, определяющий порядок уничтожения ПДн при
достижении целей их обработки или при наступлении иных законных оснований
(настоящая Политика);
- утверждает локальный правовой акт, устанавливающий процедуры, направленные на
предотвращение и выявление нарушений законодательства РФ в сфере обработки и
защиты ПДн, устранение последствий таких нарушений (настоящая Политика,
Положение об обеспечении безопасности ПДн);
- утверждает Перечень должностей работников, допущенных к обработке ПДн, которым
доступ ПДн, обрабатываемым Оператором, необходим для выполнения ими трудовых
обязанностей;
- осуществляет внутренний контроль соответствия обработки ПДн действующим
нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, иным
локальным правовым актам Оператора;
- проводит в соответствии с требованиями Роскомнадзора оценку вреда, который может
быть причинен субъектам ПДн в случае нарушении требований к защите ПДн,
соотношение указанного вреда и принимаемых Оператором мер, направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных». Оценка эффективности мер, принимаемых Оператором
производится не реже, чем раз в 3 года;
- оценивает эффективность принимаемых мер по обеспечению безопасности ПДн до ввода
в эксплуатацию информационной системы ПДн Оператора;
- организует ознакомление работников Оператора, непосредственно осуществляющих
обработку ПДн, с положениями законодательства РФ о ПДн, документами Оператора,
определяющими его политику в отношении обработки ПДн, иными локальными
правовыми актами по вопросам обработки ПДн;
- определяет угрозы безопасности ПДн при их обработке в информационных системах
ПДн Оператора;
- организует режим обеспечения безопасности помещений, в которых размещена
информационная система Оператора, препятствующий возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти
помещения;
- обеспечивает сохранность носителей ПДн, в том числе ведет учет машинных носителей
ПДн, на которых размещены средства криптографической защиты информации (СКЗИ),
их защиту;
- применяет средства защиты информации, прошедшие в установленном порядке
процедуру оценки соответствия требованиям законодательства РФ в области обеспечения
безопасности информации, если применение таких средств необходимо для устранения
актуальных угроз;
- обеспечивает обнаружение фактов несанкционированного доступа к ПДн и принятие мер,
по обнаружению, предупреждению и ликвидации последствий компьютерных атак на
информационные системы ПДн и по реагированию на компьютерные инциденты в них;
- организует восстановление ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- устанавливает правила доступа к ПДн, обрабатываемым в информационной системе
Оператора, в том числе: идентификацию и аутентификацию субъектов доступа и
объектов доступа, управление доступом субъектов доступа к объектам доступа;
- обеспечивает регистрацию и учет всех действий, совершаемых с ПДн в информационной
системе Оператора, в том числе регистрацию событий безопасности;
- осуществляет контроль за принимаемым мерами по обеспечению безопасности ПДн и
уровнем защищенности информационных систем Оператора и ПДн в них;
- обеспечивает антивирусную защиту информационных систем;
- осуществляет защиту технических средств, а также защиту информационной системы, ее
средств, систем связи с передачи данных;
- организует управление конфигурацией информационной системы и системы защиты
ПДн.
14.4. Оператор обеспечивает конфиденциальность ПДн в соответствии с применимым
законодательством, локальными актами Оператора, условиями заключенных соглашений и
договоров, кроме случаев, когда:
- ПДн являются общедоступными, содержатся в общедоступных источниках ПДн;
- ПДн разрешены субъектом ПДн для передачи или распространения, в том числе в
интересах субъекта ПДн;
- ПДн или содержащаяся в них информация подлежит обязательному раскрытию третьим
лицам, включая государственные органы, в соответствии с применимым
законодательством.
14.5. Выполнение мероприятий по обеспечению безопасности ПДн при их обработке
Оператором осуществляется в соответствии с настоящей Политикой, а также прочим комплектом
организационно-распорядительной документации Оператора по вопросу обработки ПДн и защиты
информации.
14.6. Внутренний контроль за соблюдением законодательства РФ и локальных правовых
актов Оператора при обработке ПДн осуществляется согласно плану мероприятий,
утверждаемому приказом Управляющего, не реже, чем 1 раз в 3 года. По факту проведения
контрольных мероприятий составляется акт, отражающий наличие либо отсутствие нарушений, а
при выявлении нарушений – сроки для их устранения.
15. Действия в связи с утечками / разглашением ПДН.
Уведомление Роскомнадзора об утечках ПДн
15.1. Для проведения разбирательств по фактам возникновения инцидентов
информационной безопасности, повлекшего за собой утечку и/или разглашение ПДн, приказом
Управляющего Оператора создаётся комиссия, состоящая не менее чем из трех человек с
обязательным включением в её состав:
- ответственного за организацию обработки ПДн;
- администратора ИСПДн.
15.2. При проведении разбирательства устанавливаются:
- наличие самого факта совершения инцидента информационной безопасности, служащего
основанием для вынесения соответствующего решения;
- время, место и обстоятельства возникновения инцидента, а также оценка его
последствий;
- наличие и степень вины работников Оператора в инциденте информационной
безопасности;
- перечень разглашенных ПДн;
- причины разглашения ПДн;
- размер (предварительная оценка) причиненного ущерба.
15.3. В целях проведения разбирательства все работники Оператора обязаны по первому
требованию членов комиссии предъявить для проверки все числящиеся за ними материалы и
документы, дать устные или письменные объяснения об известных им фактах по существу
заданных им вопросов.
15.4. По завершении разбирательства комиссией составляется заключение, в котором
указываются:
- основание для проведения разбирательства;
- состав комиссии и время проведения разбирательства;
- сведения о времени, месте и обстоятельствах возникновения инцидента
информационной безопасности (характеристики ПДн, которые стали доступны
третьим лицам, количество записей в базе данных, которая была скомпрометирована).;
- причины и условия возникновения инцидента информационной безопасности;
- данные о характере и размерах причиненного в результате инцидента ущерба;
- результаты внутреннего расследования выявленного инцидента;
- сведения о лицах, действия которых стали причиной инцидента (Ф.И.О. физического
лица или ИП, наименование юридического лица, IP-адрес компьютера или устройства,
предполагаемое местонахождение таких лиц и устройств, иные сведения);
- о принятых мерах по устранению последствий инцидента
15.5. Все материалы разбирательства относятся к информации ограниченного доступа и
хранятся в течение 5 лет.
15.6. Оператор обязан уведомлять Роскомнадзор о случаях неправомерной или случайной
передачи ПДн, повлекшей нарушение прав субъектов таких данных. Ч. 3.1 ст. 21 Федерального
закона «О персональных данных» определяет следующие сроки уведомления Роскомнадзора:
- в течение 24 часов – о произошедшем инциденте (первичное уведомление),
- в течение 72 часов – о результатах внутреннего расследования инцидента
(дополнительное уведомление).
В первичном уведомлении указываются сведения:
- о произошедшем инциденте (дата и время его выявления, характеристики ПДн,
которые стали доступны третьим лицам, количество записей в базе данных, которая
была скомпрометирована). Дополнительно можно сообщить об актуальности этой
базы данных, а также о периоде, в течение которого были собраны ПДн;
- о предполагаемых причинах, которые привели к нарушению прав субъектов ПДн;
- о предполагаемом вреде, нанесенном правам субъектов ПДн;
- о принятых мерах по устранению последствий инцидента;
- о лице, уполномоченном оператором ПДн на взаимодействие с Роскомнадзором;
- иные сведения и материалы, в том числе об источнике получения информации об
инциденте, а также подтверждающие принятие мер по устранению последствий
инцидента (при наличии таких сведений).
Кроме того, в уведомлении приводятся данные направившего его Оператора:
- полное и сокращенное наименование Оператора;
- ИНН Оператора;
- адрес Оператора в пределах его места нахождения;
- адрес электронной почты для направления информации.
15.7. Если на момент направления первичного уведомления Оператор располагает
сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать
такие сведения в первичном уведомлении.
15.8. В дополнительном уведомлении указываются сведения:
- о результатах внутреннего расследования выявленного инцидента (о причинах,
повлекших нарушение прав субъектов ПДн и нанесенном им вреде, о дополнительно
принятых мерах по устранению последствий инцидента (при наличии), а также о
решении Оператора о проведении внутреннего расследования с указанием его
реквизитов);
- о лицах, действия которых стали причиной инцидента (Ф. И. О. физического лица или
ИП, наименование юридического лица, IP-адрес компьютера или устройства,
предполагаемое местонахождение таких лиц и устройств, иные сведения).
15.9. В случае, когда Роскомнадзор самостоятельно выявит факт утечки базы ПДн,
содержание которой указывает на ее принадлежность Оператору, он направляет требование о
необходимости предоставить первичное или дополнительные уведомления (24 часа для
первичного уведомления, 72 часа – для дополнительного).
15.10. Если Оператор, получив требование Роскомнадзора, выяснит, что
скомпрометированная база ПДн ему не принадлежит, он направляет в Роскомнадзор
дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем
расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения
ПДн.
15.11. Если будет установлено, что сведения об утечке базы данных ранее уже
направлялись в Роскомнадзор, Оператор направляет в ведомство уведомление, в котором
указывает дату и номер ранее направленного уведомления.
15.12. Все нештатные ситуации, повлекшие за собой утечку и/или разглашение ПДн,
фиксируются в Журнале учета утечек / разглашения ПДн, форма которого утверждается
Управляющим. Журнал заводится при выявлении первого случая инцидента, ведется в
электронной форме, при необходимости – распечатывается.
16. Ответственность
16.1. Все работники Оператора, допущенные в установленном порядке к работе с ПДн,
несут административную, материальную, уголовную ответственность в соответствии с
действующим законодательством за обеспечение сохранности и соблюдение правил работы с
ПДн.
16.2. Ответственность за доведение требований Политики до работников и обеспечение
мероприятий по их реализации несет Ответственный за организацию обработки ПДн.
16.3. Предоставление ПДн посторонним лицам, в том числе, работникам, не имеющим права
их обрабатывать, распространение ПДн, утрата материальных носителей информации,
содержащих ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных
Политикой и иными локальными нормативными актами Оператора, влечет наложение на
совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания:
замечания, выговора или увольнения.
16.4. Работник, имеющий доступ к ПДн субъектов и совершивший указанный в пункте 16.3
дисциплинарный проступок, несет полную материальную ответственность в случае причинения
его действиями ущерба (п. 7 ст. 243 Трудового кодекса РФ).
16.5. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или
передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом
компьютерной информации, несут уголовную ответственность в соответствии со ст. 137 и ст. 272
Уголовного кодекса РФ.
Приложение к Политике обработки персональных данных в ООО «ОКТОПРИНТ СЕРВИС»
