«Ареал Био», «Асконт плюс»
Разработка, производство и комплексные поставки
качественных ветеринарных препаратов

Правила обработки и обеспечения режима защиты персональных данных в ООО «НПК «Асконт+»

1. Общие положения

    1.1. Настоящие Правила, разработанные в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных, политикой Общества по обработке и защите персональных данных, устанавливают требования к обработке и обеспечению режима защиты персональных данных работников Общества в целях:
  • - Обеспечения защиты прав и свобод субъектов персональных данных при обработке Оператором персональных данных;
  • - Установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
  • - Определения целей обработки Оператором персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков обработки и хранения обрабатываемых персональных данных, а также порядка уничтожения при достижении целей обработки или при наступлении иных законных оснований;

1.2. Установления ответственности работников Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований норм, регулирующих обработку персональных данных, установленных законодательством Российской Федерации, настоящими правилами и иными внутренними документами Оператора.

1.3. Общество является оператором персональных данных, организующим и (или) осуществляющим обработку персональных данных, формируемых при осуществлении полномочий Общества, а также определяющим цели и содержание обработки таких персональных данных, действия (операции), совершаемые с ними.

1.4. Требования настоящих Правил обязательны для выполнения всеми работниками Общества.

2. Основные понятия

2.1. В настоящих Правилах используются следующие понятия и термины:

2.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.2. Допуск к обработке персональных данных – процедура оформления права на доступ к персональным данным;

2.1.3. Доступ – действия, направленные на предоставление доступа к персональным данным.

2.1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    2.1.5. Действия (операции) с персональными данными:
  • - сбор – действия (операции), направленные на получение персональных данных субъектов персональных данных;
  • - запись – действия (операции), направленные на фиксирование персональных данных на материальных носителях и в информационных системах персональных данных (далее – ИСПД);
  • - систематизация – действия (операции) по группировке персональных данных;
  • - накопление – действия (операции) по сбору персональных данных и формированию баз данных персональных данных;
  • - хранение – действия (операции) с персональными данными, направленные на создание условий для сохранности персональных данных, включая их защиту от несанкционированного доступа до момента, когда персональные данные должны быть уничтожены;
  • - извлечение – действия (операции), направленные на выборку персональных данных из других сведений;
  • - уточнение (обновление, изменение) – действия (операции) с персональными данными, совершаемые в целях их актуализации в случае изменения персональных данных;
  • - использование – действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц;
  • - распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • - предоставление – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • - обезличивание – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • - блокирование – действия, направленные на временное прекращение обработки персональных данных (за исключением случаев, если обработка персональных данных необходима для уточнения персональных данных);
  • - удаление, уничтожение – действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПД и/или в результате которых уничтожаются материальные носители персональных данных;
  • - разглашение персональных данных – действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных.

2.1.6. Уполномоченный орган по защите прав субъектов персональных данных – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);

2.1.7. Контролируемая зона – пространство (административные здания Общества, прилегающая к ним территория), на котором на законных основаниях осуществляется контроль за пребыванием и действиями физических лиц и (или) транспортных средств;

2.1.8. Материальный носитель – бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных;

2.1.9. Машинный носитель – материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние жесткие диски, флэш-накопители, внешние жесткие диски, CD-диски и иные устройства);

2.1.10. Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям;

2.1.11. ПЭВМ – персональная электронная вычислительная машина;

2.1.12. СНИ – съёмные машинные носители информации, используемые для хранения информации вне ПЭВМ (флэш-накопители, внешние жесткие диски, CD-диски и иные устройства).

2.1.13. Иные понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты персональных данных.

3. Перечень обрабатываемых персональных данных

3.1. Оператор может обрабатывать общие персональные данные следующих категорий субъектов персональных данных.

    3.1.1. Контрагенты (физические лица):
  • - биографические сведения (фамилия, имя, отчество, пол, возраст), дата и место рождения, паспортные данные, сведения об образовании, сведения о местах работы (город, название организации, должность, сроки работы, доходах с предыдущих мест работы);
  • - сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения);
  • - сведения о месте регистрации и проживания;
  • - сведения о постановке на налоговый учёт;
  • - сведения о регистрации в Социальном фонде России;
  • - сведения об открытых банковских счетах;
  • - сведения о воинском учете и реквизиты документов воинского учета;
  • - контактную информацию;
  • - реквизиты водительского удостоверения;
  • - информацию о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «НПК «Асконт+»;
  • - сведения о доходах в ООО «НПК «Асконт+»;
  • - сведения о разрешительной документации на работу и проживание на территории РФ;
  • - добровольном и обязательном медицинском страховании;
  • - сведения об инвалидности из справки медико-социальной экспертизы и индивидуальной программы реабилитации (абилитации) инвалида;
  • - сведения о деловых и иных личных качествах, носящих оценочный характер;
  • - информацию о состоянии здоровья, которая относится к вопросу о возможности выполнения работы;
  • - иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, предоставления услуг.
    3.1.2. Лица, являющиеся представителями/работниками контрагентов Оператора (юридических лиц и индивидуальных предпринимателей):
  • - фамилия, имя, отчество;
  • - контактные данные;
  • - адрес электронной почты;
  • - иные персональные данные, предоставляемые клиентами и контрагентами (юридическими лицами и индивидуальными предпринимателями), необходимые для заключения и исполнения договоров, предоставления услуг.

3.2. Оператор не осуществляет намеренно обработку персональных данных несовершеннолетних лиц. Все лица, младше 18 лет, обязаны получить разрешение своих законных представителей прежде, чем предоставлять какую-либо персональную информацию о себе.

3.3. Если Оператору станет известно о том, что он получил персональную информацию о несовершеннолетнем лице без согласия законных представителей, то такая информация будет удалена в возможно короткие сроки.

4. Основные правила обработки

4.1. Обработка персональных данных может осуществляться Оператором в случаях, установленных законодательством Российской Федерации в области обработки персональных данных, в том числе в случаях, когда:

4.1.1. Обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных в случаях, установленных законодательством Российской Федерации.

4.1.2. Обработка персональных данных необходима для осуществления и выполнения Оператором возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей.

4.1.3. Обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных.

4.1.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4.1.5. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

4.1.6. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

4.2. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъектов персональных данных Оператор обязан соблюдать следующие общие требования:

4.2.1. При определении объёма и содержания обрабатываемых персональных данных субъекта Оператор должен руководствоваться соответствующим законодательством Российской Федерации.

4.2.2. Все персональные данные субъекта персональных данных следует получать непосредственно у субъекта персональных данных, за исключением случаев, когда право Оператора на получение персональных данных иным способом установлено законодательством Российской Федерации в области обработки и защиты персональных данных и правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора персональных данных.

4.2.3. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных», но субъект персональных данных отказывается их предоставить, необходимо разъяснить субъекту персональных данных юридические последствия такого отказа. Примерная форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведена в приложении № 5 к приказу.

4.2.4. Если персональные данные получены не от субъекта персональных данных, то до начала обработки таких персональных данных необходимо предоставить субъекту персональных данных информацию, определенную ч. 3 ст. 18 Федерального закона «О персональных данных», за исключением случаев, предусмотренных ч. 4 ст. 18 требований Федерального закона «О персональных данных».

4.2.5. В случае передачи персональных данных субъекта персональных данных третьей стороне обязательным требованием является наличие письменного согласия субъекта, за исключением случаев, установленных законодательством Российской Федерации.

4.2.6. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.2.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъекту персональных данных, ограничения реализации его прав и свобод.

4.3. При организации обработки персональных данных Оператором осуществляется обработка персональных данных субъектов персональных данных путём: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.

4.4. Все работники Оператора должны быть ознакомлены с положениями внутренних нормативных документов по вопросам обработки и обеспечения безопасности персональных данных.

4.5. Обработка персональных данных, не отвечающая целям обработки, запрещается.

4.6. При приёме на работу уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных согласно приложению № 6 к приказу.

4.7. Согласие на обработку персональных данных уполномоченный работник получает у субъекта персональных данных до начала их обработки.

4.8. Получение согласия близких родственников работника на обработку их персональных данных не требуется при заполнении анкет в объёме, предусмотренном формой № 10 по воинскому учету.

4.9. Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив Оператору отзыв, составленный в произвольной форме.

4.10. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.

4.11. Оператор вправе поручить обработку персональных данных субъектов персональных данных с их согласия другому лицу на основании заключаемого с ним договора.

4.12. Договор должен содержать перечень действий (операций) с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, а также с настоящими Правилами.

4.13. Обработка персональных данных кандидатов для приёма на работу осуществляется в соответствии с требованиями настоящих Правил.

    4.14. Для кандидатов, поступающих на работу, письменное согласие не требуется:
  • при самостоятельном размещении кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц;
  • если резюме кандидата поступило по электронной почте уполномоченному работнику Оператора.

4.15. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом «Об архивном деле в Российской Федерации».

5. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации

5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

    5.2. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
  • - при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • - при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.3. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя – путём изготовления нового материального носителя с уточнёнными персональными данными.

5.4. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе работников, не уполномоченных на обработку персональных данных.

5.5. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

6. Допуск и доступ к обработке персональных данных

6.1. Генеральный директор Общества назначает приказом ответственного за организацию обработки персональных данных, а также утверждает перечень должностей, замещение которых предусматривает обработку персональных данных. Уполномоченные работники имеют право обрабатывать только те персональные данные, которые необходимы для выполнения конкретных функций.

6.2. Основанием для допуска работника к обработке персональных данных является обязательство о неразглашении персональных данных по форме согласно приложению № 7 к приказу, назначение работника на должность, замещение которой предусматривает осуществление обработки персональных данных.

6.3. Условием предоставления доступа к обработке персональных данных ответственного за организацию обработки персональных данных и уполномоченных работников является подписание ими обязательства о неразглашении персональных данных и ознакомление под подпись с настоящими Правилами.

6.4. Представители сторонних организаций могут допускаться к обработке персональных данных на основании заключаемых договоров в соответствии с требованиями, изложенными в настоящих Правилах.

6.5. В случае расторжения трудового договора с работником, осуществляющим обработку персональных данных, последним должно быть подписано обязательство о прекращении обработки персональных данных согласно приложению № 8 к приказу.

7. Требования к обращению с материальными носителями персональных данных, их учёт и хранение

7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.2. Сроки хранения персональных данных Оператором определяются исходя из целей обработки персональных данных и в соответствии с требованиями федеральных законов Российской Федерации.

7.3. Срок хранения персональных данных в электронном виде не должен превышать срок хранения этих же данных на бумажных носителях.

7.4. При хранении персональных данных на машинных носителях Оператором обеспечивается регулярное резервное копирование информации с целью недопущения потери персональных данных при выходе из строя машинных носителей персональных данных.

7.5. Хранение материальных носителей должно осуществляться в помещениях, находящихся в контролируемой зоне.

7.6. Хранение материальных носителей персональных данных допускается только в тех помещениях и хранилищах (шкафах, сейфах), которые указаны в приложении № 1 к приказу. В случае необходимости организации нового хранилища соответствующие изменения вносятся в приказ.

7.7. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.

7.8. Черновики и рабочие варианты документов, содержащих персональные данные, уничтожаются исполнителем без возможности восстановления.

7.9. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

7.10. Копирование и печатание документов, содержащих персональные данные, должно осуществляться в порядке, исключающем возможность нарушения конфиденциальности персональных данных.

    7.13. Во время перерывов в работе, а также после окончания работы с документами, содержащими персональные данные, необходимо:
  • - убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);
  • - блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;
  • - принимать иные необходимые меры по недопущению использования средств вычислительной техники другими работниками и посторонними лицами.

7.14. Документы, содержащие персональные данные, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.

7.15. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.

7.16. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.

    7.17. Запрещается:
  • - хранить СНИ, содержащие персональные данные, на рабочих местах ненадлежащим образом или передавать на хранение другим лицам;
  • - выносить СНИ, содержащие персональные данные, из рабочих помещений без служебной необходимости.

8. Уничтожение персональных данных и их материальных носителей

8.1. Оператором осуществляется систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах, файлах, хранящихся на ПЭВМ или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.

    8.2. Персональные данные подлежат уничтожению в следующих случаях:
  • - достижения цели обработки персональных данных (в том числе по истечении установленных сроков хранения);
  • - отзыва субъектом согласия на обработку своих персональных данных, когда это согласие является обязательным условием обработки персональных данных;
  • - невозможности устранения допущенных при их обработке нарушений;
  • - получения соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.

8.3. Сроки уничтожения персональных данных в случаях, приведенных в п. 8.2 настоящих Правил, определяются ст. 21 Федерального закона № 152-ФЗ «О персональных данных».

8.4. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными.

8.5. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых СНИ, производится с использованием штатных средств информационных и операционных систем.

8.6. Уничтожение персональных данных на бумажных и электронных носителях производится путём, не позволяющим произвести считывание или восстановление содержания персональных данных.

8.7. При утрате или несанкционированном уничтожении СНИ проводится служебное расследование и составляется акт.

8.8. Уничтожение персональных данных осуществляется комиссией, назначаемой приказом генерального директора Общества. По результатам уничтожения составляется акт уничтожения персональных данных.

9. Передача персональных данных

9.1. Передача персональных данных субъектов персональных данных без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях, предусмотренных федеральными законами.

9.2. Передача персональных данных субъектов персональных данных третьим лицам осуществляется с их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации и иными федеральными законами.

9.3. Пересылка материальных носителей организациям, государственным органам, а также между подразделениями Оператора, расположенными по различным почтовым адресам, производится в запечатанных конвертах (пакетах) с сопроводительным документом, в котором указывается о наличии персональных данных и требование о соблюдении конфиденциальности персональных данных.

9.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных согласно приложению № 9 к приказу. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

10. Рассмотрение обращений (запросов) субъектов персональных данных

10.1. Субъекты персональных данных имеют право получать у Оператора информацию, касающуюся обработки их персональных данных, в соответствии с частями 1 - 7 статьи 14 Федерального закона «О персональных данных».

10.2. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

11. Обеспечение защиты персональных данных

11.1. Защита персональных данных обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня безопасности персональных данных, установленного законодательством Российской Федерации и внутренними документами Общества, в том числе ограничением доступа к персональным данным и в помещения, в которых осуществляется обработка персональных данных.

    11.2. Защите подлежит любая информация о персональных данных субъекта, в том числе:
  • - документы, содержащие персональные данные субъекта на бумажных носителях;
  • - персональные данные, содержащиеся на электронных носителях и (или) в информационных системах.

11.3. Лица, осуществляющие обработку персональных данных на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с требованиями законодательства Российской Федерации и внутренних документов Общества.

11.4. Обрабатываемые персональные данные подлежат защите от актуальных угроз безопасности информации. Безопасность персональных данных при их обработке обеспечивается путем принятия правовых, организационных и технических мер, направленных на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    11.5. Обеспечение безопасности персональных данных достигается:
  • - определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • - применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • - применением средств защиты информации;
  • - оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • - учетом машинных носителей персональных данных;
  • - обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • - восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • - установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • - контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

12. Права субъектов персональных данных

    12.1. Субъекты персональных данных, данные которых обрабатываются Оператором, имеют право:
  • - получать у Оператора персональных данных полную информацию о своих персональных данных и обработке этих данных;
  • - осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • - требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • - обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в случае, если субъект персональных данных считает, что Оператором осуществляется обработка его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
  • - осуществлять иные действия, предусмотренные законодательством Российской Федерации в области обработки и защиты персональных данных.

13. Обязанности ответственного за организацию обработки и уполномоченных работников на обработку персональных данных

13.1. Ответственный за организацию обработки персональных данных в Обществе назначается приказом генерального директора Общества.

13.2. Ответственный за организацию обработки персональных данных обязан руководствоваться в своей деятельности законодательством Российской Федерации в области обработки и защиты персональных данных, политикой в отношении организации обработки и обеспечения безопасности персональных данных в Обществе, настоящими Правилами и другими локальными документами Общества.

    13.3. Ответственный за организацию обработки персональных данных в Обществе обеспечивает:
  • - соблюдение законодательства Российской Федерации и нормативных документов Общества в области обработки и защиты персональных данных;
  • - доведение до сведения уполномоченных работников Общества положений законодательства Российской Федерации и локальных документов Общества в области обработки и защиты персональных данных;
  • - осуществление внутреннего контроля за обеспечением режима защиты персональных данных в Обществе;
  • - организовывать прием и обработку обращений и запросов субъектов ПД или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов.
    13.4. В целях обеспечения указанных в п. 13.3. настоящих Правил требований, ответственный за организацию обработки персональных данных в Обществе осуществляет:
  • - контроль проведения мероприятий по защите персональных данных;
  • - организацию и контроль проведении внутренних проверок состояния защиты персональных данных, выполнения правил обработки персональных данных;
  • - организацию и контроль проведения обучения работников Общества в области обработки и защиты персональных данных;
  • - организацию и контроль проведения проверки знаний работников Общества в области обработки и защиты персональных данных;
  • - организацию приема и обработки обращений и запросов субъектов ПД и запросов уполномоченного органа по защите прав субъектов ПД;
  • - контроль проведения мероприятий по результатам расследования инцидентов информационной безопасности, связанных с нарушением требований по обработке и защите персональных данных.
    13.5. Уполномоченные работники Общества в области обработки и защиты персональных данных обязаны:
  • - знать и выполнять законодательные и иные нормативные правовые акты Российской Федерации, а также локальные документы Общества в области обработки и защиты персональных данных;
  • - выполнять все требования настоящих Правил и других локальных документов Общества, устанавливающих режим защиты персональных данных в Обществе;
  • - не разглашать информацию, содержащую персональные данные субъектов персональных данных;
  • - обеспечивать конфиденциальность персональных данных, использовать предусмотренные в Обществе меры для защиты персональных данных от неправомерных действий;
  • - во время работы с информацией и (или) документами, содержащими персональные данные, исключать возможность ознакомления с ними работников, не имеющих права обработки персональных данных либо доступа к ним;
  • - при увольнении сдавать все имеющиеся в распоряжении материальные носители лицу, принимающему дела увольняющегося работника, по акту;
  • - информировать своего непосредственного руководителя обо всех фактах и попытках несанкционированного доступа к персональным данным и о других нарушениях порядка обработки персональных данных.