Политика Общества с ограниченной ответственностью «Экспертно-внедренческий центр» в отношении обработки персональных данных

Общие положения

1.1. Настоящая политика Общества с ограниченной ответственностью «Экспертно-внедренческий центр» (далее – Общество) в отношении обработки персональных данных (далее – Политика) определяет порядок создания, обработки и защиты персональных данных субъектов персональных данных, вступающих в отношения с Обществом.
1.2. Основные понятия, применяемые в Политике, используются в тех значениях,
в каких они определены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон от 27.07.2006 № 152-ФЗ).
1.3. Получение, обработка, передача, хранение, использование, блокирование и уничтожение персональных данных осуществляется в соответствии с действующим законодательством.
1.4. Общество является оператором персональных данных для следующих субъектов:
- работников и лиц, прекративших трудовых отношения с Обществом;
- лиц, ищущих работу и направивших в Общество анкету (резюме);
- иных физических лиц, вступающих с Обществом в гражданские или иные отношения
в отношения в своём интересе;
- работников юридических лиц, индивидуальных предпринимателей, которые намерены воспользоваться услугами Общества на основании договора;
- посетители сайта Общества в сети Интернет.
1.5. Порядок обработки персональных данных работников Общества регулируется также специально принимаемым локальным нормативным актом. Настоящая Политика в отношении обработки персональных данных применяется в отношении обработки персональных данных работников Общества в части, не урегулированной специально принятым локальным нормативным актом.

2. Название и адрес оператора персональных данных

Общество с ограниченной ответственностью «Экспертно-внедренческий центр» (ООО «ЭВЦ»), зарегистрировано по адресу: 194100, г. Санкт-Петербург, ул. Новолитовская, д.15, лит. А, этаж 5, офис № Д-507.

3. Основания обработки персональных данных

3.1. Общество обрабатывает персональные данные субъектов на одном из нижеследующих оснований:
возложение законодательством Российской Федерации на Общество как оператора персональных данных определённых функций, полномочий и обязанностей;
ставшее обязательным для Общества судебное постановление, устанавливающее денежные или иные обязательства в пользу субъекта персональных данных;
согласие субъекта персональных данных на обработку его персональных данных:
для работников клиентов (потенциальных) Общества;
для обращений через сайт Общества;
для обработки прочих обращений;
на передачу персональных данных третьему лицу;
согласие на передачу персональных данных для обработки третьему лицу;
для рассмотрения кандидата на вакансию;
согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
согласие на внесение персональных данных в общедоступный источник информации.
Формы согласий, перечисленных в подпунктах 3.1 – 3.6, подпунктах 4, 5 пункта 3.1. настоящего раздела, являются приложениями к настоящей Политике.

4. Цели обработки персональных данных

Обработка персональных данных осуществляется Обществом в следующих целях:
а) оказание услуг, сервисной, клиентской и технической поддержки;
б) взаимодействие с контрагентами и партнерами при ведении закупочной деятельности и (или) договорной работы (включая преддоговорную работу), при исполнении договоров и соглашений;
в) обеспечение соблюдения трудового законодательства;
г) для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
д) отбор кандидатов на замещение вакантных должностей, формирования кадрового резерва;
е) ведения кадрового и бухгалтерского учёта;
ж) содействия работникам в осуществлении их трудовой деятельности;
з) ведения военно-учётной работы;
и) статистических или иных исследований;
к) ведения и предоставления налоговой и иной отчётности,
л) обеспечения пропускного режима;
м) работы с обращениями граждан;
н) информационное обеспечение осуществления Обществом видов деятельности, предусмотренных уставом Общества.

5. Общие принципы и условия обработки персональных данных

5.1. Обработка персональных данных должна осуществляться на законном основании и с согласия субъекта, за исключением случаев, когда федеральным законом допускается обработка персональных данных без согласия субъекта персональных данных.
5.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Обрабатываемые персональные данные

6.1. Объём и содержание персональных данных, которые обрабатывает Общество, зависят от целей и характера отношений, в которые вступает с ним субъект персональных данных.
Цели обработки, обрабатываемые в соответствии с ними персональные данные и перечень субъектов персональных данных отражаются в карте обработки персональных данных, которая является приложением к настоящей Политике.
Cookies посетителей официального сайта Общество не обрабатывает. Посредством имеющихся инструментов Общество получает информацию об операционной системе ПК посетителя, дата посещения и локализация с точностью до населённого пункта.
6.2. В случае, если для использования сервисов, размещённых на сайте Общества, требуется регистрация и создание учётной записи, Общество также обрабатывает логин и пароль, присваиваемые посетителю сайта как Пользователю сервисов, с целью его идентификации и оказания услуг сервиса

7. Порядок получения персональных данных

7.1. Получение персональных данных осуществляется путем представления их самим субъектом персональных данных, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.2. Согласие гражданина и работника на сбор персональных данных оформляется оператором в письменной форме. Равнозначным содержащему собственноручную подпись гражданина и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью.
7.3. В обязанности работников, осуществляющих первичный сбор персональных данных гражданина, входит получение согласия гражданина на обработку его персональных данных под личную подпись.

8. Локализация обработки персональных данных

8.1. Обработка персональных данных субъектов без использования средств автоматизации осуществляется Оператором по месту своего фактического местонахождения.
8.2. Персональные данные субъектов с использованием средств автоматизации обрабатываются на территории города федерального значения Санкт-Петербург.
8.3. С согласия субъектов персональных данных Общество вправе поручать обработку
их персональных данных по договору третьим лицам при условии нахождения центра обработки информации на территории Российской Федерации.

9. Применяемые способы обработки персональных данных

Обработка вышеуказанных персональных данных осуществляется путем смешанной обработки персональных данных:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и программных продуктов).
Информация, полученная в результате автоматизированной обработки персональных данных из сети Общества, может передаваться в сеть общего пользования «Интернет».

10. Получение персональных данных, срок хранения, ограничение использования

10.1. Персональные данные предоставляются лично работником. В случае возникновения необходимости получения персональных данных работников у третьей стороны они извещаются об этом заблаговременно для получения их письменного согласия и уведомления о целях, предполагаемых источниках и способах получения принадлежащих ему персональных данных.
10.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. В случае, если обработка персональных данных осуществлялась в связи с исполнением договора и договором не установлено иное, хранение персональных данных осуществляется в течение трех лет с даты прекращения обязательств по договору.
10.3. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
10.4. При принятии решений, затрагивающих интересы работника, запрещается основываться только на данных автоматизированной обработки персональных данных.

11. Передача персональных данных третьим лицам

11.1. Общество, в соответствии с законодательством, направляет установленные требуемые сведения с точно установленными, конкретными персональными данными в кредитные Общества, в органы внутренних дел, органы Федеральной налоговой службы, иные правоохранительные органы, в медицинские Общества и образовательные Общества, в Социальный Фонд Российской Федерации.
При передаче персональных данных третьей стороне Обществом соблюдаются следующие требования:
- передача персональных данных сотрудников Общества третьей стороне осуществляется на основании действующего законодательства РФ;
- третья сторона предупреждается о необходимости обеспечения секретности персональных данных и безопасности персональных данных при их обработке;
- необходимость письменного согласия субъекта персональных данных, за исключением случаев, указанных в пункте 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
11.2. Передача персональных данных законным представителям субъекта персональных данных осуществляется в порядке, установленном законодательством Российской Федерации, и ограничивается только теми данными, которые необходимы для выполнения указанными представителями их функций.
11.3. Общество вправе сообщать персональные данные работников неопределённому кругу лиц, в том числе путём создания информационно-справочных материалов (справочники, списки, журналы, стенды), с соблюдением порядка и условий, предусмотренных разделом 15 настоящей Политики.
11.4. Трансграничная передача персональных данных Обществом не осуществляется.

12. Уничтожение персональных данных

12.1. Общество уничтожает персональные данные в следующих случаях:
- достижение цели обработки персональных данных;
- отпадение цели обработки персональных данных;
- отзыв субъектом персональных данных согласия на обработку своих персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить нарушения не представляется возможным;
- истечение срока хранения документов, содержащих персональные данные.
12.2. Уничтожение персональных данных осуществляется после выбора способа их уничтожения.
Выбор способа уничтожения персональных данных производится в зависимости от вида содержащего их материального носителя информации и характера персональных данных, подлежащих уничтожению.
12.3. Уничтожение персональных данных производится следующими способами:
1) уничтожением материальных носителей, содержащих персональные данные, когда исключается возможность дальнейшего использования указанных носителей информации в целях обработки персональных данных;
2) безвозвратным "стиранием" персональных данных и остаточной информации, касающейся персональных данных, с электронных и магнитных носителей информации.
12.4. Уничтожение материальных носителей информации осуществляется путем физического уничтожения указанных материальных носителей информации (в том числе посредством сжигания, механического нарушения целостности, переработки в утилизирующих организациях) (далее - физическое уничтожение).
Уничтожение персональных данных, хранившихся на электронных и магнитных носителях информации осуществляется методами и средствами гарантированного уничтожения информации на электронных и магнитных носителях информации, в том числе с помощью использования специального программного обеспечения.
12.5. По факту уничтожения персональных данных лицом, ответственным за обработку персональных данных, составляется акт по форме, установленной уполномоченным органом.

13. Защита персональных данных

13.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей по защите персональных данных, предусмотренные статьёй 18.1 Федерального закона № 152-ФЗ и включающие правовые, организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные статьёй 19 данного Федерального закона.
Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ, исходя из способов обработки персональных данных, а также видов угроз информационным системам, в которых обрабатываются персональные данные, определённых в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
13.2. Состав и перечень мер, направленных на обеспечение выполнения Обществом обязанностей, предусмотренных Федеральным законом № 152-ФЗ, приводится в приложении № 2 к настоящей Политике.
Общество стремится к повышению уровня защиты обрабатываемых персональных данных ради повышения доверия к нему со стороны субъектов персональных данных, контрагентов, государства.

14. Обезличивание персональных данных

14.1. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличивание персональных данных (далее - обезличивание) осуществляется с целью ведения статистического учета и отчетности, снижения уровня возможного ущерба в случае распространения (передачи) и разглашения защищаемых персональных данных, а также
с целью снижения требований, предъявляемых к уровню защищенности информационных систем персональных данных.
14.2. Должностные лица Общества, в чьи обязанности входит обработка персональных данных, могут осуществлять обезличивание при достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено федеральным законом.
14.3. Обезличивание осуществляется одним из следующих методов или несколькими в сочетании, а именно:
1) метод введения идентификаторов персональных данных;
2) метод изменения состава или семантики;
3) метод декомпозиции;
4) метод перемешивания;
5) метод преобразования.
14.4. Деятельность по обезличиванию персональных данных обеспечивается оператором в том числе путём:
1) принятия локальных актов, устанавливающих правила и порядок применения того или иного метода обезличивания, осуществления деятельности по обезличиванию персональных данных, оценки достаточности применяемого метода (методов) обезличивания персональных данных, обработки персональных данных, полученных в результате обезличивания персональных данных;
2) обеспечения хранения локальных актов, предусмотренных подпунктом 1 пункта 14.3 настоящей Политики, отдельно от персональных данных, полученных в результате обезличивания с использованием соответствующего метода (методов) обезличивания персональных данных и исключения доступа к ним третьих лиц;
3) исключения доступа третьих лиц к принятым им локальным актам или информации об используемом методе (методах) обезличивания персональных данных, используемых информационных системах и (или) программах для электронных вычислительных машин для обезличивания персональных данных, а равно иной информации о процедуре проведения обезличивания персональных данных.
14.5. При обезличивании следует соблюдать требования, предъявляемые как
к выбранному методу обезличивания, так и процедурам обезличивания вообще.
Методы обезличивания, кроме обеспечения требуемых свойств обезличенных данных, должны быть практически реализуемыми в различных программных средах и позволять решать поставленные перед Оператором задачи обработки персональных данных либо
с предварительным деобезличиванием, либо без деобезличивания.
14.6. Обезличенные данные обрабатываются ответственными должностными лицами
с использованием или без использования средств автоматизации, в том числе
с использованием информационных систем персональных данных.
Обезличенные данные в информационных системах персональных данных хранятся
в электронном виде.
Обезличивание осуществляется перед внесением обезличенных данных (получаемых путем обезличивания) в информационные системы персональных данных.
Для достижения целей обработки в информационных системах персональных данных могут обрабатываться обезличенные данные, полученные (истребованные) от третьих лиц.
14.7. В случаях, когда в целях обработки обезличенных данных требуется восстановление персональных данных (из обезличенных данных), уполномоченные должностные лица осуществляют действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных (далее - деобезличивание).
14.8. Деобезличивание осуществляется в соответствии с процедурами преобразования, обратными процедурам обезличивания (далее - процедуры деобезличивания).
14.9. Обработка персональных данных до обезличивания и после деобезличивания должна осуществляться в соответствии с законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
По отношению к персональным данным, полученным в результате деобезличивания, должны быть выполнены требования к обеспечению их безопасности:
1) не допускается совместное хранение обрабатываемых обезличенных данных и персональных данных, полученных в результате деобезличивания;
2) после завершения обработки обезличенных данных персональные данные, полученные для целей обработки указанных данных в результате деобезличивания, подлежат обязательному уничтожению.
14.10. Использование обезличенных данных осуществляется без согласия субъекта персональных данных

15. Общедоступные источники персональных данных

15.1. В целях информационного обеспечения осуществления уставных видов деятельности Общество может создавать общедоступные источники персональных данных (в том числе справочники, адресные книги), в которые с письменного согласия работника, могут включаться его фамилия, имя, отчество, номер телефона, сообщаемые субъектом персональных данных.
Письменное согласие может быть отозвано в любое время.
Общество вправе создавать адресные книги, справочники с указанием персональных данных работников также для внутреннего использования – в этом случае согласие работника не требуется.
15.2. При обезличивании персональных данных согласие гражданина или работника на включение персональных данных в общедоступные источники персональных данных не требуется.
15.3. Сведения о работниках могут быть исключены из общедоступных источников персональных данных по требованию самого работника, либо по решению суда или иных уполномоченных государственных органов.

16. Порядок осуществления прав субъекта персональных данных на доступ
к своим персональным данным и на получение информации, касающейся его персональных данных

16.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением
работников Общества), которые имеют доступ к персональным данным или которым могут
быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных
Федеральным законом № 152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Общества, если обработка поручена или будет
поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных ст. 18.1
Федерального закона № 152-ФЗ;
- иные сведения, предусмотренные Законом о персональных данных или другими
федеральными законами.
16.2. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона № 152-ФЗ, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос может быть направлен на электронную почту info@sizam.ru и должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях
с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Срок предоставления ответа – 10 рабочих дней с момента обращения или получения Обществом запроса субъекта персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Ответ предоставляется в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федеральным законом № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
16.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора, Общество блокирует персональные данные, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов Общество уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные. В случае отсутствия возможности уничтожения персональных данных в указанные выше сроки, Общество блокирует такие персональные данные и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.
В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество блокирует неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
16.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
16.5. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.


17. Заключительные положения

17.1. Настоящая Политика вступает в силу с даты ее утверждения.
17.2. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами изменения вносятся на основании Приказа руководителя Общества.
17.3. Настоящая Политика распространяется на всех работников Общества, а также на физических лиц, которые вступают с Обществом в гражданско-правовые отношения.
Физические лица, а также их законные представители имеют право ознакомится с настоящей Политикой.
Работники Общества подлежат ознакомлению с данным документом в порядке, предусмотренном Приказом руководителя, под личную подпись.
17.4. Должностные лица, виновные в нарушении норм, содержащихся в настоящей Политике, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
17.5. Настоящая Политика в отношении обработки персональных данных подлежит размещению на официальном сайте Общества либо в ином общедоступном месте.

_____________

Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных Федеральным законом № 152-ФЗ

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
4) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных:
а) идентификация и аутентификация пользователей, являющихся работниками оператора;
б) управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
в) защита обратной связи при вводе аутентификационной информации;
г) идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
д) управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
е) ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
ж) реализация защищенного удаленного доступа субъектов доступа к объектам доступа через
внешние информационно-телекоммуникационные сети;
з) управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);
и) обеспечение режима, препятствующего возможности неконтролируемого проникновения или
пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
- оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
- утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных
ситуациях;
- утверждения перечня лиц, имеющих право доступа в Помещения. .
к) обеспечение сохранности носителей персональных данных;
л) разработан, утверждён и регулярно актуализируется документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
м) использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз (Использование СКЗИ класса КС1 и выше).
5) применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации.
6) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
7) учет машинных носителей персональных данных.
8) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
9) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
11) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
12) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
13) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.


_____________________