Настоящее Положение по обработке персональных данных (далее – Положение) разработано в соответствии со следующими основными законодательными актами Российской Федерации о персональных данных (далее – ПДн), нормативно-методическими документами исполнительных органов государственной власти и внутренними документами по информационной безопасности ООО «Химки Бизнес Парк» (далее – Компания):
Цель Положения – определение порядка обработки и обеспечения защищенности ПДн работников и клиентов Компании.
Положение предназначено для обязательного ознакомления и исполнения всеми работниками Компании. Каждый работник Компании, подписывая заявление о согласии на передачу и обработку своих ПДн Компании удостоверяет, в том числе, и то, что он прочитал и понял настоящее Положение.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – действия (операции) с ПДн, включающие сбор, хранение, обновление, изменение, распространение, обезличивание и уничтожение ПДн.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность ПДн конкретному физическому лицу.
Информационная система персональных данных (далее – ИСПДн) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн.
Конфиденциальные данные - информация высокой степени важности для бизнеса, разглашение которой может привести к ощутимым финансовым потерям, ущербу имиджу Компании и/или юридическим санкциям против Компании.
Владелец группы персональных данных – работник Компании, руководящий рабочими процессами, в которых используется эта группа ПДн, и, поэтому, уполномоченный решать вопросы по изменению перечня данных группы, процессов обработки и порядка доступа к этим данным.
Ответственный за организацию обработки ПДн – назначенное лицо, ответственное за организацию обработки и защиты ПДн в Компании, руководитель службы информационной безопасности и защиты данных.
Обработка персональных данных в Компании должна осуществляться на основе следующих принципов:
Компания декларирует следующие цели обработки ПДн:
Обработка ПДн уполномоченными работниками Компании может производиться исключительно в перечисленных выше целях.
Обработка определенной категории ПДн может проводиться только с согласия субъекта ПДн или без согласия, если обработка этой категории ПДн Компанией обусловлена требованием законодательства Российской Федерации.
При получении согласия субъекты ПДн должны быть ознакомлены с целями обработки ПДн, с перечнем собираемых сведений и перечнем действий с ПДн, на обработку которых дается согласие. Должен быть обозначен срок действия согласия и способ его отзыва.
Форма согласия субъекта на обработку его ПДн разрабатывается в соответствующем подразделении Компании, производящем обработку этих ПДн, согласовывается с работником, ответственным за организацию обработки ПДн в Компании (см. главу 4.4) и утверждается владельцем соответствующей категории ПДн.
Форма согласия на обработку ПДн специфична для каждого бизнес процесса, в рамках которого производится обработка ПДн, поэтому разработка шаблона такой формы должно производиться совместно с Работником, ответственным за организацию обработки ПДн в Компании.
При сборе персональных данных граждан Российской Федерации, их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение должно осуществляться с использованием баз данных, находящихся на территории Российской Федерации.
Все ПДн, как на бумажных носителях, так и в электронной форме, могут быть получены только от самого субъекта ПДн, за исключением случаев получения ПДн из общедоступных источников (в том числе справочников, адресных книг). В случае получения ПДн у третьей стороны, субъект ПнДн должен быть уведомлен, от кого ПДн получены и с какой целью это делается.
Запрещено запрашивать, получать и обрабатывать ПДн касательно расовой, национальной принадлежности, политических взглядов, религиозных и иных убеждениях. Обработка ПДн о состоянии здоровья допускается только в случаях, установленных законом/ действующим законодательством РФ.
Владельцы групп ПДн контролируют корректную обработку ПДн в течение всего цикла их использования в соответствии с логикой своих бизнес процессов, включая процесс уничтожения (обезличивания) ПДн, после того, как цели обработки этих данных были достигнуты.
Доступ к ПДн работниками Компании осуществляется на основании рабочей необходимости. Все исключения из этого правила должны быть подтверждены Владельцем соответствующей группы ПДн.
В случае, если Компания на основании договора поручает обработку ПДн третьему лицу, существенным условием такого договора является указание целей передачи и перечня категорий ПДн, передаваемых на обработку, а также обязанность обеспечения третьим лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
При организации нового, внесение изменений в существующий процесс обработки ПДн, передачи ПДн на обработку третьму лицу Владелец соответствующей группы ПДн или назанченный проектный менеджер должен проконсультироваться у Ответственного за организацию обработки ПДн.
Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Это достигается применением организационных мер и средств технической защиты информации (например, шифровальных средств, средств авторизации доступа, предотвращения утечки информации), обеспечивающих доступность, целостность и конфиденциальность ПДн.
Согласно утвержденной в Компании системе классификации информации, все ПДн, за исключением ПДн, находящихся в общем доступе, и, в некоторых случаях, обезличенных ПДн, относятся к классу конфиденциальной информации, и к ним применяются все меры защиты, обозначенные в документах по информационной безопасности для данной категории данных.
ПДн и результаты обработки ПДн могут храниться только в базах данных авторизованных ИСПДн, на защищенных шифрованием внешних электронных носителях, а также в бумажном виде, хранимых в местах, закрытых для общего доступа.
Работникам Компании, обладающим, в рамках выполнения должностных обязанностей, правом доступа к ПДн, запрещается распространять, раскрывать ПДн третьим лицам без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
Компания передает ПДн на обработку третьим лицам (принимающей стороне), только с согласия субъекта ПДн, и только если это необходимо для достижения целей обработки ПДн, причем необходимым условием договора с третьей стороной является обязанность последней обеспечить надежную защиту переданных ПДн.
Базовые правила обеспечения доступа к ПДн следующие:
Основные правила обработки ПДн работником Компании:
При обработке ПДн обеспечиваются следующие права субъекта по отношению к своим ПДн, гарантированные ему законодательством Российской Федерации:
Для разработки и осуществления мероприятий по обеспечению безопасности ПДн при обработке в ИСПДн Компании настоящим Положением определяется должностное лицо - Ответственный за организацию обработки ПДн. Указанное должностное лицо, в частности, обязано:
В соответствии с требованиями ФЗ-152 Компания:
Процесс уничтожения ПДн при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует владелец группы ПДн. В остальных случаях уничтожение ПДн инициирует Ответственный за организацию обработки ПДн.
Лицо, выполняющее уничтожение ПДн, оформляет и подписывает акт об уничтожении ПД, который он направляет Ответственному за организацию обработки ПДн.
Работники Компании несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением. Работник Компании может быть привлечен к ответственности в случаях:
В случае несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Компании, ее работникам или клиентам материального, или иного ущерба, виновные лица несут предусмотренную законодательством Российской Федерации ответственность.