Положение об обработке и защите персональных данных
(утв. Приказом Ген. директора О. Л. Андреевой от «16» апреля 2016г. № 2/16/ПД)
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке и защите персональных данных (далее по тексту — Положение) ООО «Микрокредитная компания «ЛайтФинанс» (далее по тексту — «Общество») разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Федеральным законом «О микрофинансовой деятельности и микрофинансовых организациях», иными нормативными правовыми актами, действующими на территории Российской Федерации.
1.1. Настоящее Положение об обработке и защите персональных данных (далее по тексту — Положение) ООО «Микрокредитная компания «ЛайтФинанс» (далее по тексту — «Общество») разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Федеральным законом «О микрофинансовой деятельности и микрофинансовых организациях», иными нормативными правовыми актами, действующими на территории Российской Федерации.
1.2. Цель разработки Положения — определение порядка обработки персональных данных в Обществе; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью Общества. Общество собирает данные только в объеме, необходимом для достижения названных целей.
1.3. В настоящем Положении приведены:
1.3.1 Характеристики процессов обработки персональных данных, осуществляемых в Обществе, в том числе:
- цели обработки персональных данных; - объёмы обрабатываемых персональных данных; - субъекты, персональные данные которых обрабатываются; - виды обрабатываемых персональных данных; - основания обработки персональных данных; - лица, осуществляющие обработку персональных данных.
1.3.2 Описание мероприятий, выполняемых Обществом в целях:
- соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных, а также органов власти, имеющих отношение к регулированию области обработки и защиты персональных данных; - обеспечения безопасности обрабатываемых персональных данных; - соблюдения законных прав субъектов персональных данных.
1.3.1 Характеристики процессов обработки персональных данных, осуществляемых в Обществе, в том числе:
- цели обработки персональных данных; - объёмы обрабатываемых персональных данных; - субъекты, персональные данные которых обрабатываются; - виды обрабатываемых персональных данных; - основания обработки персональных данных; - лица, осуществляющие обработку персональных данных.
1.3.2 Описание мероприятий, выполняемых Обществом в целях:
- соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных, а также органов власти, имеющих отношение к регулированию области обработки и защиты персональных данных; - обеспечения безопасности обрабатываемых персональных данных; - соблюдения законных прав субъектов персональных данных.
1.4. Настоящее Положение вступает в силу с момента его утверждения руководителем Общества и действует бессрочно, до замены его новым Положением.
1.5. Все работники Общества должны быть ознакомлены с настоящим Положением под роспись. Сотрудниками Общества, в обязанность которых входит обработка персональных данных заемщиков и других прочих лиц, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.6. Контроль за соблюдением настоящего Положения осуществляет лицо, назначенное приказом Генерального директора ООО «Микрокредитная компания «ЛайтФинанс».
1.7. Настоящее положение утверждается Генеральным директором Общества и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным заемщиков и третьих лиц.
2. ОСНОВНЫЕ ПОНЯТИЯ И СОКРАЩЕНИЯ
2.1. Для целей настоящего Положения используются следующие основные понятия и определения:
2.1. Для целей настоящего Положения используются следующие основные понятия и определения:
«персональные данные» (далее по тексту – ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес регистрации и проживания, семейное, социальное, имущественное положение, профессия, доходы, другая информация;
«оператор» - Общество самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
«оператор» - Общество самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. НОРМАТИВНЫЕ ССЫЛКИ
3.1. При разработке настоящего Положения использованы следующие законодательные акты:
3.1.1. ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных»;
3.1.2. Постановление Правительства от 01 ноября 2012 года РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
3.1.3. Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
3.1.4. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
3.1.5. Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" (Зарегистрировано в Минюсте России 18.03.2016 N 41455);
3.1.6. Кодекс РФ об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ (с изменениями и дополнениями);
3.1.7. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (с изменениями и дополнениями).
3.1. При разработке настоящего Положения использованы следующие законодательные акты:
3.1.1. ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных»;
3.1.2. Постановление Правительства от 01 ноября 2012 года РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
3.1.3. Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
3.1.4. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
3.1.5. Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" (Зарегистрировано в Минюсте России 18.03.2016 N 41455);
3.1.6. Кодекс РФ об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ (с изменениями и дополнениями);
3.1.7. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (с изменениями и дополнениями).
4. ОБРАБОТКА И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Общество является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В целях обеспечения прав и свобод человека и гражданина Общество и ее представители при обработке персональных данных обязаны соблюдать указанные в данном разделе требования.
4.2. Обработка персональных данных субъектов ПДн должна осуществляться в строгом соответствии с Конституцией РФ, 152-ФЗ, нормативно-правовыми актами, указанными в разделе 3 настоящего Положения, а также иными Федеральными законами, подзаконными актами и настоящим Положением.
4.3. К персональным данным заемщиков и прочих лиц, которые обрабатывает Общество относятся:
4.3.1 Фамилия, имя, отчество, пол, год, месяц, дата и место рождения, серия и номер документа, удостоверяющего личность, дата выдачи, орган выдавший документ, удостоверяющий личность, код подразделения, адрес регистрации и адрес фактического проживания.
4.3.2. Образование, семейное положение, социальное положение, имущественное положение, доход, место работы или учебы гражданина, стаж работы, профессия, гражданство, ИНН, адрес места работы, наименование работодателя.
4.3.3. Иная информация, которую субъекты персональных данных добровольно сообщают о себе для описания своего имущественного состояния и финансового положения, если ее обработка не запрещена законом.
4.4. Материалы личного дела заемщиков и прочих лиц относятся к конфиденциальной информации ограниченного доступа.
4.5. При обработке ПДн Общество руководствуется следующими принципами:
- обеспечение законности целей и способов обработки персональных данных, а также справедливости;- соответствие целей обработки персональных данных конкретным целям, заранее определенным, законным и заявленным при сборе ПДн, а также собственным полномочиям; - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;- соответствие содержания, объема и характера обрабатываемых персональных данных заявленным целям обработки;- обеспечение достоверности и точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;- уничтожение либо обезличивания обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей;- отсутствие избыточных ПДн по отношению к заявленным при сборе ПДн целям; - использование раздельных баз данных ИСПДн для несовместных целей обработки ПДн;- ответственность сотрудников Общества за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
4.6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящим Положением и законодательством РФ.
4.7. Обработка персональных данных допускается в следующих случаях:
4.7.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных;
4.7.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.7.3. на основании требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора.
4.8. Обработка ПДн в Обществе осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации.
4.9. Общество не осуществляет обработку специальных категорий ПДн, биометрических ПДн, а также не осуществляет трансграничную передачу ПДн.
4.10. Документы, содержащие персональные данные, создаются путём:
а) копирования оригиналов;
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов.
4.11. Доказательством получения согласия субъектов ПДн на обработку их данных являются:
1) Договоры с субъектами ПДн.
2) Согласие субъекта ПДн на обработку своих ПДн.
4.12. Персональные данные следует получать у самого субъекта ПДн. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие.
4.13. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.14. Согласие на обработку персональных данных оформляется в письменном виде. Письменное согласие на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование и адрес оператора, получающего согласие субъекта персональных данных;цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта персональных данных.
4.15. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
4.16. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.17. Общество не имеет права на обработку персональных данных субъекта персональных данных о его судимости, расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка вышеуказанных специальных категорий персональных данных допустима в случаях, предусмотренных Федеральным законом № 152-ФЗ, в том числе, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
4.18. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Положением и Федеральным законом.
4.19. Общество не имеет право получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.20. Общество не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.21. При обработке персональных данных должны быть приняты все необходимые организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты персональных данных.
4.1. Общество является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В целях обеспечения прав и свобод человека и гражданина Общество и ее представители при обработке персональных данных обязаны соблюдать указанные в данном разделе требования.
4.2. Обработка персональных данных субъектов ПДн должна осуществляться в строгом соответствии с Конституцией РФ, 152-ФЗ, нормативно-правовыми актами, указанными в разделе 3 настоящего Положения, а также иными Федеральными законами, подзаконными актами и настоящим Положением.
4.3. К персональным данным заемщиков и прочих лиц, которые обрабатывает Общество относятся:
4.3.1 Фамилия, имя, отчество, пол, год, месяц, дата и место рождения, серия и номер документа, удостоверяющего личность, дата выдачи, орган выдавший документ, удостоверяющий личность, код подразделения, адрес регистрации и адрес фактического проживания.
4.3.2. Образование, семейное положение, социальное положение, имущественное положение, доход, место работы или учебы гражданина, стаж работы, профессия, гражданство, ИНН, адрес места работы, наименование работодателя.
4.3.3. Иная информация, которую субъекты персональных данных добровольно сообщают о себе для описания своего имущественного состояния и финансового положения, если ее обработка не запрещена законом.
4.4. Материалы личного дела заемщиков и прочих лиц относятся к конфиденциальной информации ограниченного доступа.
4.5. При обработке ПДн Общество руководствуется следующими принципами:
- обеспечение законности целей и способов обработки персональных данных, а также справедливости;- соответствие целей обработки персональных данных конкретным целям, заранее определенным, законным и заявленным при сборе ПДн, а также собственным полномочиям; - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;- соответствие содержания, объема и характера обрабатываемых персональных данных заявленным целям обработки;- обеспечение достоверности и точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;- уничтожение либо обезличивания обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей;- отсутствие избыточных ПДн по отношению к заявленным при сборе ПДн целям; - использование раздельных баз данных ИСПДн для несовместных целей обработки ПДн;- ответственность сотрудников Общества за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
4.6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящим Положением и законодательством РФ.
4.7. Обработка персональных данных допускается в следующих случаях:
4.7.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных;
4.7.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.7.3. на основании требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора.
4.8. Обработка ПДн в Обществе осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации.
4.9. Общество не осуществляет обработку специальных категорий ПДн, биометрических ПДн, а также не осуществляет трансграничную передачу ПДн.
4.10. Документы, содержащие персональные данные, создаются путём:
а) копирования оригиналов;
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов.
4.11. Доказательством получения согласия субъектов ПДн на обработку их данных являются:
1) Договоры с субъектами ПДн.
2) Согласие субъекта ПДн на обработку своих ПДн.
4.12. Персональные данные следует получать у самого субъекта ПДн. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие.
4.13. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.14. Согласие на обработку персональных данных оформляется в письменном виде. Письменное согласие на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование и адрес оператора, получающего согласие субъекта персональных данных;цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта персональных данных.
4.15. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
4.16. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.17. Общество не имеет права на обработку персональных данных субъекта персональных данных о его судимости, расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка вышеуказанных специальных категорий персональных данных допустима в случаях, предусмотренных Федеральным законом № 152-ФЗ, в том числе, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
4.18. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Положением и Федеральным законом.
4.19. Общество не имеет право получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.20. Общество не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.21. При обработке персональных данных должны быть приняты все необходимые организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты персональных данных.
5. ОБЯЗАННОСТИ ОБЩЕСТВА
5.1. Если предоставление персональных данных является обязательным в соответствии с настоящим Положением и федеральным законом, Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.2. При определении объёма и содержания обрабатываемых персональных данных субъектов ПДн Общество обязано руководствоваться Конституцией Российской Федерации и иными Федеральными законами.
5.3. Общество должно сообщить субъекту ПДн о целях обработки ПДн, о правовом основании, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение. Общество освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлён об осуществлении обработки его персональных данных Обществом, персональные данные получены Общестовм на основании федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн, персональные данные сделаны общедоступными субъектом ПДн или получены из общедоступного источника.
5.4. Общество обязано сообщить в порядке, предусмотренном настоящим Положением, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
5.5. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными или неактуальными, Общество обязано внести в них необходимые изменения.
5.6. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Положением и Федеральным законом.
5.7. Общество обязано обеспечить неограниченный доступ к документам, определяющим его политику в отношении обработки персональных данных.
5.8. Общество при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.9. Общество обязано ознакомить работников, непосредственно осуществляющих обработку персональных данных, с настоящим Положением.
5.1. Если предоставление персональных данных является обязательным в соответствии с настоящим Положением и федеральным законом, Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.2. При определении объёма и содержания обрабатываемых персональных данных субъектов ПДн Общество обязано руководствоваться Конституцией Российской Федерации и иными Федеральными законами.
5.3. Общество должно сообщить субъекту ПДн о целях обработки ПДн, о правовом основании, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение. Общество освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлён об осуществлении обработки его персональных данных Обществом, персональные данные получены Общестовм на основании федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн, персональные данные сделаны общедоступными субъектом ПДн или получены из общедоступного источника.
5.4. Общество обязано сообщить в порядке, предусмотренном настоящим Положением, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
5.5. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными или неактуальными, Общество обязано внести в них необходимые изменения.
5.6. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Положением и Федеральным законом.
5.7. Общество обязано обеспечить неограниченный доступ к документам, определяющим его политику в отношении обработки персональных данных.
5.8. Общество при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.9. Общество обязано ознакомить работников, непосредственно осуществляющих обработку персональных данных, с настоящим Положением.
6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:- правовые основания и цели обработки персональных данных;- цели и применяемые Обществом способы обработки персональных данных;- сроки обработки персональных данных, в том числе сроки их хранения;- иные сведения, предусмотренные федеральными законами.
6.2. Сведения, указанные в п.п. 6.1. настоящего Положения, предоставляются субъекту персональных данных или его представителю Обществом при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведении о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, подпись субъекта персональных данных или его представителя.
6.3. Сведения о персональных данных должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.5. В случае соответствующего обращения субъекта ПДн Общество:
6.5.1. Осуществляет идентификацию субъекта ПДн.
6.5.2. Сообщает субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн.
6.5.3. Предоставляет субъекту ПДн или его законному представителю возможность ознакомления с полной информацией об их персональных данных и их обработке в Обществе.
6.5.4. Вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного Федерального закона.
6.5.5. Извещает всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн обо всех произведённых в них исключениях, исправлениях или дополнениях.
6.5.6. Уведомляет субъекта ПДн о результатах запрашиваемых субъектом действий.
6.6. Заемщики и третьи лица (поручители) вправе принимать предусмотренные законом меры по защите своих прав.
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:- правовые основания и цели обработки персональных данных;- цели и применяемые Обществом способы обработки персональных данных;- сроки обработки персональных данных, в том числе сроки их хранения;- иные сведения, предусмотренные федеральными законами.
6.2. Сведения, указанные в п.п. 6.1. настоящего Положения, предоставляются субъекту персональных данных или его представителю Обществом при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведении о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, подпись субъекта персональных данных или его представителя.
6.3. Сведения о персональных данных должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.5. В случае соответствующего обращения субъекта ПДн Общество:
6.5.1. Осуществляет идентификацию субъекта ПДн.
6.5.2. Сообщает субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн.
6.5.3. Предоставляет субъекту ПДн или его законному представителю возможность ознакомления с полной информацией об их персональных данных и их обработке в Обществе.
6.5.4. Вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного Федерального закона.
6.5.5. Извещает всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн обо всех произведённых в них исключениях, исправлениях или дополнениях.
6.5.6. Уведомляет субъекта ПДн о результатах запрашиваемых субъектом действий.
6.6. Заемщики и третьи лица (поручители) вправе принимать предусмотренные законом меры по защите своих прав.
7. ПОРЯДОК СБОРА, ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПДН
7.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
7.2. Лица, допущенные к работе с персональными данными, обязаны:
7.2.1. ознакомиться с нормативными документами по защите ПДн, утверждёнными в Обществе, и соблюдать установленные в них требования по защите ПДн;
7.2.2. обеспечивать сохранность закреплённого массива носителей с персональными данными, исключать возможность ознакомления с ними третьих лиц;
7.2.3. докладывать своему непосредственному руководителю и Ответственному за обеспечение безопасности ПДн обо всех фактах и попытках несанкционированного доступа к ПДн.
7.3. Порядок хранения анкет и иных документов, содержащих информацию персонального характера определяются «Положением о порядке хранения информации персонального характера на бумажных носителях».
7.4. Ввод персональных данных в автоматизированную систему Общества осуществляется работником, имеющим доступ к работе с персональными данными, и в соответствии с его должностными обязанностями.
7.5. Сотрудники, осуществляющие ввод и обработку данных с использованием автоматизированной информационной системы, несут ответственность за достоверность и полноту введенной информации.
7.6. При работе с программными средствами автоматизированной информационной системы Общества, работникам Общества запрещается:- демонстрация экранных форм, содержащих такие данные;- сохранение данных на жестких дисках и сменных носителях;- обработка персональных данных сторонним программным обеспечением;- копирование, распространение и озвучивание персональных данных.
7.7. При обработке персональных данных на бумажном носителе, работникам Общества запрещается:
- копирование, распространение и передача третьим лицам бумажных носителей содержащих персональных данных;
- использование в целях не связанных с исполнением должностных обязанностей.
7.8. Хранение персональных данных в автоматизированной информационной системе Общества осуществляется на серверах Общества с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.
7.9. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.
7.10. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации, и другими действующими нормативно правовыми актами Российской Федерации.
7.11. Хранение резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на серверах Общества и сменных носителях, доступ к которым ограничен.
7.12. Вынос резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, из Общества запрещен. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки автоматизированной информационной системы.
7.13. Сотрудникам Общества не разрешается при выходе из помещения оставлять какие-либо документы, содержащие персональные данные, на рабочем столе. Черновики и редакции документов, испорченные бланки, листы со служебными записями уничтожаются.
7.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
7.2. Лица, допущенные к работе с персональными данными, обязаны:
7.2.1. ознакомиться с нормативными документами по защите ПДн, утверждёнными в Обществе, и соблюдать установленные в них требования по защите ПДн;
7.2.2. обеспечивать сохранность закреплённого массива носителей с персональными данными, исключать возможность ознакомления с ними третьих лиц;
7.2.3. докладывать своему непосредственному руководителю и Ответственному за обеспечение безопасности ПДн обо всех фактах и попытках несанкционированного доступа к ПДн.
7.3. Порядок хранения анкет и иных документов, содержащих информацию персонального характера определяются «Положением о порядке хранения информации персонального характера на бумажных носителях».
7.4. Ввод персональных данных в автоматизированную систему Общества осуществляется работником, имеющим доступ к работе с персональными данными, и в соответствии с его должностными обязанностями.
7.5. Сотрудники, осуществляющие ввод и обработку данных с использованием автоматизированной информационной системы, несут ответственность за достоверность и полноту введенной информации.
7.6. При работе с программными средствами автоматизированной информационной системы Общества, работникам Общества запрещается:- демонстрация экранных форм, содержащих такие данные;- сохранение данных на жестких дисках и сменных носителях;- обработка персональных данных сторонним программным обеспечением;- копирование, распространение и озвучивание персональных данных.
7.7. При обработке персональных данных на бумажном носителе, работникам Общества запрещается:
- копирование, распространение и передача третьим лицам бумажных носителей содержащих персональных данных;
- использование в целях не связанных с исполнением должностных обязанностей.
7.8. Хранение персональных данных в автоматизированной информационной системе Общества осуществляется на серверах Общества с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.
7.9. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.
7.10. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации, и другими действующими нормативно правовыми актами Российской Федерации.
7.11. Хранение резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на серверах Общества и сменных носителях, доступ к которым ограничен.
7.12. Вынос резервных и технологических копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, из Общества запрещен. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки автоматизированной информационной системы.
7.13. Сотрудникам Общества не разрешается при выходе из помещения оставлять какие-либо документы, содержащие персональные данные, на рабочем столе. Черновики и редакции документов, испорченные бланки, листы со служебными записями уничтожаются.
8. ОСОБЕННОСТИ ПРЕДОСТАВЛЕНИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. Доступ сотрудников Общества к персональным данным, содержащимся как в автоматизированной информационной системы Общества, так и на бумажных носителях осуществляется с письменного согласия Генерального директора Общества или уполномоченного им лица (допуск).
8.2. Сотрудник, получивший допуск к персональным данным, должен быть ознакомлен с настоящим Положением.
8.3. При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных.
8.4. Доступ к автоматизированной информационной системе Общества разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
8.5. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.
Запрещается использование для доступа к автоматизированной информационной системе Общества учетных записей других пользователей.
8.6. Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимаются уполномоченные администраторы в соответствии с должностными обязанностями.
8.7. Право доступа к персональным данным Общества и третьих лиц, в части их касающейся имеют: - Генеральный директор Общества;- сотрудники бухгалтерии;- сотрудники службы экономического контроля.
К обработке, передаче и хранению персональных данных заемщиков и третьих лиц могут иметь доступ менеджеры по работе с клиентами Общества. Другие сотрудники Общества имеют доступ к персональным данным заемщиков и третьих лиц только при наличии специального указания в письменном согласии самого заемщика и третьих лиц, носителя данных.
8.8. Руководитель Общества:
8.8.1. Несёт ответственность за организацию защиты ПДн в структурных подразделениях;
8.8.2. Закрепляет за работниками, уполномоченными обрабатывать ПДн, конкретные массивы носителей с персональными данными, которые необходимы для выполнения возложенных на них функций;
8.8.3. Организует изучение уполномоченными работниками нормативных документов по защите ПДн и требует их неукоснительного исполнения;
8.8.4. Обеспечивает режим конфиденциальности в отношении ПДн, обрабатываемых в структурных подразделениях;
8.8.5. Организует контроль доступа к ПДн в соответствии с функциональными обязанностями того или иного работника подразделения.
8.9. Доступ представителей государственных органов к ПДн регламентируется действующим законодательством Российской Федерации.
8.1. Доступ сотрудников Общества к персональным данным, содержащимся как в автоматизированной информационной системы Общества, так и на бумажных носителях осуществляется с письменного согласия Генерального директора Общества или уполномоченного им лица (допуск).
8.2. Сотрудник, получивший допуск к персональным данным, должен быть ознакомлен с настоящим Положением.
8.3. При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных.
8.4. Доступ к автоматизированной информационной системе Общества разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
8.5. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.
Запрещается использование для доступа к автоматизированной информационной системе Общества учетных записей других пользователей.
8.6. Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимаются уполномоченные администраторы в соответствии с должностными обязанностями.
8.7. Право доступа к персональным данным Общества и третьих лиц, в части их касающейся имеют: - Генеральный директор Общества;- сотрудники бухгалтерии;- сотрудники службы экономического контроля.
К обработке, передаче и хранению персональных данных заемщиков и третьих лиц могут иметь доступ менеджеры по работе с клиентами Общества. Другие сотрудники Общества имеют доступ к персональным данным заемщиков и третьих лиц только при наличии специального указания в письменном согласии самого заемщика и третьих лиц, носителя данных.
8.8. Руководитель Общества:
8.8.1. Несёт ответственность за организацию защиты ПДн в структурных подразделениях;
8.8.2. Закрепляет за работниками, уполномоченными обрабатывать ПДн, конкретные массивы носителей с персональными данными, которые необходимы для выполнения возложенных на них функций;
8.8.3. Организует изучение уполномоченными работниками нормативных документов по защите ПДн и требует их неукоснительного исполнения;
8.8.4. Обеспечивает режим конфиденциальности в отношении ПДн, обрабатываемых в структурных подразделениях;
8.8.5. Организует контроль доступа к ПДн в соответствии с функциональными обязанностями того или иного работника подразделения.
8.9. Доступ представителей государственных органов к ПДн регламентируется действующим законодательством Российской Федерации.
9. ПОРЯДОК ПЕРЕДАЧИ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПДн
9.1. В соответствии с законодательством Российской Федерации персональные данные Обществом могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в случаях, установленных федеральным законом.
9.2. Запрещается сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.
9.3. При передаче персональных данных заемщиков и третьих лиц Общества должно соблюдать следующие требования:
- не сообщать персональные данные другой стороне без его письменного согласия, за исключением случаев:
* обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является заемщик или третье лицо;
* обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
* обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов заемщиков и третьих лиц, если получение его согласия невозможно.
- предупредить лиц, получающих персональные данные заемщиков и третьих лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные заемщика и третьих лиц, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
9.4. Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области защиты персональных данных. В поручении Общества должны быть определены действия (операции) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели обработки ПДн. В поручении Общества должно быть указано положение об обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с действующим законодательством РФ в области защиты персональных данных.
9.5. Третье лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В свою очередь, указанное третье лицо несёт ответственность перед Обществом.
9.1. В соответствии с законодательством Российской Федерации персональные данные Обществом могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в случаях, установленных федеральным законом.
9.2. Запрещается сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.
9.3. При передаче персональных данных заемщиков и третьих лиц Общества должно соблюдать следующие требования:
- не сообщать персональные данные другой стороне без его письменного согласия, за исключением случаев:
* обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является заемщик или третье лицо;
* обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
* обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов заемщиков и третьих лиц, если получение его согласия невозможно.
- предупредить лиц, получающих персональные данные заемщиков и третьих лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные заемщика и третьих лиц, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
9.4. Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области защиты персональных данных. В поручении Общества должны быть определены действия (операции) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели обработки ПДн. В поручении Общества должно быть указано положение об обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с действующим законодательством РФ в области защиты персональных данных.
9.5. Третье лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В свою очередь, указанное третье лицо несёт ответственность перед Обществом.
10. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПДн
10.1. Блокирование информации, содержащие персональные данные заемщиков и третьих лиц, производится в случае:
- если персональные данные являются неполными, устаревшими, недостоверными;
- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае подтверждения факта недостоверности персональных данных Обществом на основании документов, представленных заемщиком или третьим лицом, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязан уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными Общество обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий один месяц с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные.
Уничтожение персональных данных должно быть осуществлено, согласно Акта комиссии путем сжигания документов.
10.1. Блокирование информации, содержащие персональные данные заемщиков и третьих лиц, производится в случае:
- если персональные данные являются неполными, устаревшими, недостоверными;
- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае подтверждения факта недостоверности персональных данных Обществом на основании документов, представленных заемщиком или третьим лицом, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязан уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными Общество обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий один месяц с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные.
Уничтожение персональных данных должно быть осуществлено, согласно Акта комиссии путем сжигания документов.
11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.
11.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
11.3. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Обществом с учетом оценки возможного вреда, проведенной во исполнение Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами. Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
- угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
- угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
- угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
- угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных.
11.4. Общество обеспечивает конфиденциальность ПДн при их обработке.
11.5. В целях обеспечения безопасности ПДн при их обработки в Обществе реализованы следующие мероприятия:
11.5.1. Произведена классификация ИСПДн и уровней защищенности ПДн при их обработке в информационных системах в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
11.5.2. Определен порядок соблюдения всех требований действующего законодательства по обработке и защите ПДн в рамках деятельности Общества.
11.5.3. Назначен уполномоченный сотрудник, ответственный за обеспечение безопасности ПДн при их обработке в Обществе (Ответственный за обеспечение безопасности ПДн).
11.5.4. Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (Администратор СЗПДн).
11.5.5. Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.
11.5.6. Разработаны и утверждены требования по хранению документов, материальных носителей ПДн, обеспечивающие сохранность носителей ПДн.
11.5.7. Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн, организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
11.5.8. Используются сертифицированные средства защиты информации в составе СЗПДн.
11.1. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.
11.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
11.3. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Обществом с учетом оценки возможного вреда, проведенной во исполнение Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами. Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:
- угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
- угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
- угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
- угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных.
11.4. Общество обеспечивает конфиденциальность ПДн при их обработке.
11.5. В целях обеспечения безопасности ПДн при их обработки в Обществе реализованы следующие мероприятия:
11.5.1. Произведена классификация ИСПДн и уровней защищенности ПДн при их обработке в информационных системах в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
11.5.2. Определен порядок соблюдения всех требований действующего законодательства по обработке и защите ПДн в рамках деятельности Общества.
11.5.3. Назначен уполномоченный сотрудник, ответственный за обеспечение безопасности ПДн при их обработке в Обществе (Ответственный за обеспечение безопасности ПДн).
11.5.4. Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (Администратор СЗПДн).
11.5.5. Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.
11.5.6. Разработаны и утверждены требования по хранению документов, материальных носителей ПДн, обеспечивающие сохранность носителей ПДн.
11.5.7. Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн, организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
11.5.8. Используются сертифицированные средства защиты информации в составе СЗПДн.
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
12.1. Персональная ответственность является одним из главных требований к организации функционирования СЗПДн и обязательным условием обеспечения эффективности функционирования данной системы.
12.2. Общество несёт ответственность: - за нарушение требований законодательства РФ по обработке и защите ПДн;
- за нарушение конфиденциальности обрабатываемых ПДн; - за нарушение требований регулирующих организаций по обработке и защите ПДн.
12.3. Сотрудники Общества, в соответствии со своими полномочиями владеющие информацией о клиентах Общества, получающие и использующие её, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
12.4. Каждый сотрудник Общества, получающий для работы конфиденциальный документ, несёт единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.
12.5. Должностные лица, в обязанность которых входит ведение ПДн, обязаны обеспечить каждому субъекту ПДн, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
12.6. Неправомерный отказ в предоставлении собранных в установленном порядке ПДн, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечёт наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
12.7. Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
12.1. Персональная ответственность является одним из главных требований к организации функционирования СЗПДн и обязательным условием обеспечения эффективности функционирования данной системы.
12.2. Общество несёт ответственность: - за нарушение требований законодательства РФ по обработке и защите ПДн;
- за нарушение конфиденциальности обрабатываемых ПДн; - за нарушение требований регулирующих организаций по обработке и защите ПДн.
12.3. Сотрудники Общества, в соответствии со своими полномочиями владеющие информацией о клиентах Общества, получающие и использующие её, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
12.4. Каждый сотрудник Общества, получающий для работы конфиденциальный документ, несёт единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.
12.5. Должностные лица, в обязанность которых входит ведение ПДн, обязаны обеспечить каждому субъекту ПДн, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
12.6. Неправомерный отказ в предоставлении собранных в установленном порядке ПДн, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечёт наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
12.7. Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
