1 Введение

1.1 Назначение и область действия

Настоящее Положение по обработке персональных данных (далее – Положение) разработано в соответствии со следующими основными законодательными актами Российской Федерации о персональных данных (далее – ПДн), нормативно-методическими документами исполнительных органов государственной власти и внутренними документами по информационной безопасности ООО «Химки Бизнес Парк» (далее – Компания):

• Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152);
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Трудовой кодекс Российской Федерации;
• Правила информационной безопасности пользователей.

Цель Положения – определение порядка обработки и обеспечения защищенности ПДн работников и клиентов Компании.

Положение предназначено для обязательного ознакомления и исполнения всеми работниками Компании. Каждый работник Компании, подписывая заявление о согласии на передачу и обработку своих ПДн Компании удостоверяет, в том числе, и то, что он прочитал и понял настоящее Положение.

1.2 Термины и определения

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – действия (операции) с ПДн, включающие сбор, хранение, обновление, изменение, распространение, обезличивание и уничтожение ПДн.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность ПДн конкретному физическому лицу.

Информационная система персональных данных (далее – ИСПДн) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн.

Конфиденциальные данные - информация высокой степени важности для бизнеса, разглашение которой может привести к ощутимым финансовым потерям, ущербу имиджу Компании и/или юридическим санкциям против Компании.

Владелец группы персональных данных – работник Компании, руководящий рабочими процессами, в которых используется эта группа ПДн, и, поэтому, уполномоченный решать вопросы по изменению перечня данных группы, процессов обработки и порядка доступа к этим данным.

Ответственный за организацию обработки ПДн – назначенное лицо, ответственное за организацию обработки и защиты ПДн в Компании, руководитель службы информационной безопасности и защиты данных.

2 Организация обработки персональных данных

2.1 Основные принципы

Обработка персональных данных в Компании должна осуществляться на основе следующих принципов:

• ПДн должны быть обработаны справедливо и законно, и собраны для конкретных, явных и законных целей;
• Содержание, объем, сроки хранения ПДн должны соответствовать целям обработки ПДн, должны быть обеспечены точность и актуальность ПДн;
• У каждой группы ПДн есть свой владелец из числа руководителей рабочего процесса, в рамках которого происходит обработка этой группы ПДн. Владелец группы ПДн контролирует и несет полную ответственность за процесс обработки этих данных;
• Обеспечение защищенности ПДн и режима доступа к ИСПДн в соответствии с правилами информационной безопасности Группы Ingka и Компании;
• Третьи лица могут получить доступ к ПДн только с согласия субъекта ПДн, а также по основаниям, указанным в федеральном законе, либо определенным в договоре с Компанией, при этом договор обязательно должен содержать положение о соблюдении конфиденциальности и обеспечении защиты ПДн.

2.2 Цели обработки персональных данных

Компания декларирует следующие цели обработки ПДн:

• обеспечение соответствия требованиям Трудового кодекса РФ и других законодательных актов Российской Федерации;
• принятия решения о трудоустройстве кандидатов, выполнение обязательств работодателя по трудовым договорам и по договорам гражданско-правового характера;
• предоставление социальных льгот, обеспечения медицинского страхования и отдыха работников Компании;
• эффективное взаимодействие с посетителями, арендаторами, потенциальными арендаторами, клиентами Многофункционального комплекса «Химки Бизнес Парк», Коворкинга ПО2РТ, Конференц-центра Химки Бизнес Парк, и пользователями электронных сервисов Компании;
• взаимодействие с клиентами и представителями партнеров в рамках договоров.

Обработка ПДн уполномоченными работниками Компании может производиться исключительно в перечисленных выше целях.

2.3 Согласие на обработку персональных данных

Обработка определенной категории ПДн может проводиться только с согласия субъекта ПДн или без согласия, если обработка этой категории ПДн Компанией обусловлена требованием законодательства Российской Федерации.

При получении согласия субъекты ПДн должны быть ознакомлены с целями обработки ПДн, с перечнем собираемых сведений и перечнем действий с ПДн, на обработку которых дается согласие. Должен быть обозначен срок действия согласия и способ его отзыва.

Форма согласия субъекта на обработку его ПДн разрабатывается в соответствующем подразделении Компании, производящем обработку этих ПДн, согласовывается с работником, ответственным за организацию обработки ПДн в Компании (см. главу 4.4) и утверждается владельцем соответствующей категории ПДн.

Форма согласия на обработку ПДн специфична для каждого бизнес процесса, в рамках которого производится обработка ПДн, поэтому разработка шаблона такой формы должно производиться совместно с Работником, ответственным за организацию обработки ПДн в Компании.

2.4 Порядок и условия обработки персональных данных

При сборе персональных данных граждан Российской Федерации, их запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение должно осуществляться с использованием баз данных, находящихся на территории Российской Федерации.

Все ПДн, как на бумажных носителях, так и в электронной форме, могут быть получены только от самого субъекта ПДн, за исключением случаев получения ПДн из общедоступных источников (в том числе справочников, адресных книг). В случае получения ПДн у третьей стороны, субъект ПнДн должен быть уведомлен, от кого ПДн получены и с какой целью это делается.

Запрещено запрашивать, получать и обрабатывать ПДн касательно расовой, национальной принадлежности, политических взглядов, религиозных и иных убеждениях. Обработка ПДн о состоянии здоровья допускается только в случаях, установленных законом/ действующим законодательством РФ.

Владельцы групп ПДн контролируют корректную обработку ПДн в течение всего цикла их использования в соответствии с логикой своих бизнес процессов, включая процесс уничтожения (обезличивания) ПДн, после того, как цели обработки этих данных были достигнуты.

Доступ к ПДн работниками Компании осуществляется на основании рабочей необходимости. Все исключения из этого правила должны быть подтверждены Владельцем соответствующей группы ПДн.

В случае, если Компания на основании договора поручает обработку ПДн третьему лицу, существенным условием такого договора является указание целей передачи и перечня категорий ПДн, передаваемых на обработку, а также обязанность обеспечения третьим лицом конфиденциальности ПДн и безопасности ПДн при их обработке.

При организации нового, внесение изменений в существующий процесс обработки ПДн, передачи ПДн на обработку третьму лицу Владелец соответствующей группы ПДн или назанченный проектный менеджер должен проконсультироваться у Ответственного за организацию обработки ПДн.

3 Безопасность персональных данных

3.1 Обеспечение конфиденциальности

Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Это достигается применением организационных мер и средств технической защиты информации (например, шифровальных средств, средств авторизации доступа, предотвращения утечки информации), обеспечивающих доступность, целостность и конфиденциальность ПДн.

Согласно утвержденной в Компании системе классификации информации, все ПДн, за исключением ПДн, находящихся в общем доступе, и, в некоторых случаях, обезличенных ПДн, относятся к классу конфиденциальной информации, и к ним применяются все меры защиты, обозначенные в документах по информационной безопасности для данной категории данных.

ПДн и результаты обработки ПДн могут храниться только в базах данных авторизованных ИСПДн, на защищенных шифрованием внешних электронных носителях, а также в бумажном виде, хранимых в местах, закрытых для общего доступа.

Работникам Компании, обладающим, в рамках выполнения должностных обязанностей, правом доступа к ПДн, запрещается распространять, раскрывать ПДн третьим лицам без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.

Компания передает ПДн на обработку третьим лицам (принимающей стороне), только с согласия субъекта ПДн, и только если это необходимо для достижения целей обработки ПДн, причем необходимым условием договора с третьей стороной является обязанность последней обеспечить надежную защиту переданных ПДн.

3.2 Авторизация доступа

Базовые правила обеспечения доступа к ПДн следующие:

• Только уполномоченный работник Компании может получить доступ к ПДн, и только к той части ПДн, обработка которой обусловлена его должностными обязанностями. Руководитель структурного подразделения Компании несет ответственность за контроль обработки ПДн своими работниками, а также за своевременный отзыв доступа к ПДн у работника, в случае нарушения последним положений настоящим Положением;
• Допускается только индивидуальный парольный доступ к ПДн посредством стандартных ИТ сервисов Компании, настроенный в строгом соответствии с принципом служебной необходимости. Работнику запрещается предоставлять свой доступ другим лицам, а также использовать чужой доступ для работы с ПДн;
• Рабочие места работников Компании, занятых обработкой ПДн, должны быть организованы и обеспечены всем необходимым для того, чтобы исключить любой посторонний доступ к электронным и бумажным документам, содержащим ПДн, включая возможность простого подсматривания.

3.3 Правила работы с персональными данными

Основные правила обработки ПДн работником Компании:

• делать минимально необходимое количество копий электронных и бумажных документов с ПДн, своевременно уничтожать ненужные копии документов;
• при возможности производить обезличивание ПДн перед их обработкой;
• следовать политике «чистого стола и чистого экрана» при работе с ПДн;
• ПДн, передаваемые через открытые средства связи, включая интернет, или ПДн на внешних носителях данных, должны быть зашифрованы стандартными корпоративными средствами шифрования;
• запрещено устно или письменно сообщать, предоставлять ПДн другим работникам или сторонним лицам, которые не уполномочены иметь доступ к этим ПДн.

4 Ответственность и права

4.1 Права субъекта персональных данных

При обработке ПДн обеспечиваются следующие права субъекта по отношению к своим ПДн, гарантированные ему законодательством Российской Федерации:

• Право на получение информации о составе, целях, способах, сроках и правовом основании обработки своих ПнДн;
• Право на получение сведений о лицах, которые могут получить доступ к ПДн или осуществляющих обработку ПДн по поручению Компании, об осуществляемой или предполагаемой трансграничной передаче ПДн;
• Право на уточнение своих ПДн, а также блокировку или удаление ПДн, являющихся недостоверными, незаконно полученными или не являющихся необходимыми для заявленной цели.

4.2 Ответственный за организацию обработки

Для разработки и осуществления мероприятий по обеспечению безопасности ПДн при обработке в ИСПДн Компании настоящим Положением определяется должностное лицо - Ответственный за организацию обработки ПДн. Указанное должностное лицо, в частности, обязано:

• Осуществлять внутренний контроль соблюдения работниками Компании законодательства РФ о персональных данных и настоящеим Положением;
• Доводить до сведения работников Компании положения законодательства РФ о ПДн и требования настоящего Положения;
• Организовывать, контролировать прием и обработку обращений и запросов субъектов ПДн;
• Проводить проверку состояния защищенности ПДн, обрабатываемых в ИСПДн, включая проверку доступов пользователей к ПДн, выполнение требований по безопасности каждой ИСПДн, корректности работы системы защиты ПДн и т. д.

4.3 Ответственность Компании

В соответствии с требованиями ФЗ-152 Компания:

• предоставляет субъекту ПДн по его запросу, информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставляет отказ в течение тридцати дней с даты получения письменного запроса субъекта ПДн или его представителя;
• уточняет обрабатываемые ПДн по письменному требованию субъекта ПДн, блокирует или удаляет, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;
• в 30-дневный срок уничтожает (или обезличивает) ПДн если:
  • цель обработки ПДн достигнута;
  • в случае утраты необходимости в достижении целей обработки ПДн;
  • в случае отзыва субъектом ПДн согласия на обработку своих ПДн.
• В случае получения запроса или обращения уполномоченного органа по защите прав субъектов ПДн (РосКомНадзор) о недостоверности ПДн или неправомерных действиях с ними выявленные нарушения подлежат исправлению. Компания сообщает в указанный орган об устранении нарушений либо об уничтожении ПДн в случае невозможности устранения нарушений в срок, в течение десяти рабочих дней.

Процесс уничтожения ПДн при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует владелец группы ПДн. В остальных случаях уничтожение ПДн инициирует Ответственный за организацию обработки ПДн.

Лицо, выполняющее уничтожение ПДн, оформляет и подписывает акт об уничтожении ПД, который он направляет Ответственному за организацию обработки ПДн.

4.4 Ответственность работника

Работники Компании несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением. Работник Компании может быть привлечен к ответственности в случаях:

• умышленного или неосторожного раскрытия ПДн;
• утраты материальных носителей, содержащих ПДн;
• нарушения требований настоящего Положения.

В случае несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Компании, ее работникам или клиентам материального, или иного ущерба, виновные лица несут предусмотренную законодательством Российской Федерации ответственность.