Политика обработки персональных данных ООО «Новые Инвестиции»

(Редакция 1)

УТВЕРЖДЕН Приказом от 30.03.2022 № 22.03/30.1-ОД
Вступает в силу с 30 апреля 2022 года
Москва 2022

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Область применения

1.1.1. Настоящая Политика определяет систему взглядов на обеспечение безопасности персональных данных в ООО «Новые Инвестиции» (далее – Общество) и представляет собой систематизированное изложение целей и задач защиты, основных принципов и способов обеспечения требуемого уровня безопасности информации, организационных и технологических аспектов обеспечения безопасности персональных данных в информационных системах персональных данных

1.1.2. Настоящая Политика определяет главные принципы, которыми руководствуется Общество при обработке персональных данных в процессе осуществления своей деятельности.

1.1.3. Настоящая Политика разработана в соответствии с положениями действующих нормативно-правовых актов Российской Федерации, приведенных в п. 7.

1.1.4. Целью настоящей Политики является формирование и проведение единой политики в области обеспечения безопасности персональных данных.

1.1.5. Действие настоящей Политики распространяется на все процессы Общества, связанные с обработкой персональных данных, и обязательна для применения всеми работниками Общества.

1.1.6. Внутренние документы Общества, затрагивающие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учётом положений настоящей Политики и не противоречить им.

1.1.7. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Общество включено в реестр операторов, осуществляющих обработку персональных данных.

1.1.8. Настоящая Политика размещена в открытом неограниченном доступе на Интернет-сайте Общества(https://vision-invest.ru/privacy-policy/).

1.1.9. Ответственным за актуализацию документа является отдел информационной безопасности Общества.

1.2. Термины и определения

Ниже приводится список терминов и определений, принятых в рамках данного документа:

Термин	Определение
Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн)	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн)	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Территориальное подразделение (ТП)	Территориальная административно-структурная единица филиальной сети Общества. В качестве Территориальных подразделений могут выступать базовый филиал, филиал, дополнительный офис.
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Сокращения

В данном документе используются следующие сокращения:

Сокращение	Расшифровка сокращения
Общество	ООО «Новые Инвестиции»
ПДн	Персональные данные
ИСПДн	Информационная система персональных данных
Политика	Политика обработки персональных данных в ООО «Новые Инвестиции» – настоящий документ
Роскомнадзор	Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, уполномоченный орган по защите прав субъектов ПДн
ФЗ «О персональных данных»	Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»

2. ОСНОВНЫЕ ПОЛОЖЕНИЯ

2.1. Принципы обработки персональных данных

2.1.1. Обработка ПДн в Обществе осуществляется на основании следующих принципов:

- законности и справедливости целей и способов обработки ПДн;

- соответствия целей обработки ПДн законным целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества;

- соответствия объёма и содержания обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

- точности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн,избыточных по отношению к целям, заявленным при сборе ПДн;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;

- хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, или устанавливающий срок хранения федеральный закон, договор, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

- уничтожения или обезличивание ПДн по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПДн, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

- обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

2.2. Цели обработки персональных данных

2.2.1. Целями обработки ПДн являются:

- выполнение работ, услуг, функций, полномочий и обязанностей, определенных Уставом, лицензиями и внутренними документами Общества, договорных обязательств Общества перед клиентами, предоставления возможности работникам контрагентов Общества выполнения обязанностей, предусмотренных договорами между Обществом и его контрагентами;

- осуществление возложенных на Общество законодательством Российской Федерации функций (в том числе по передаче сведений третьим лицам) в соответствии с законодательством РФ об исполнительном производстве, Налоговым кодексом Российской Федерации, федеральными законами, в том числе: «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», «О несостоятельности (банкротстве)»;

- организация учёта работников Общества для обеспечения соблюдения законов и иных нормативных правовых актов, содействие субъектам ПДн в трудоустройстве, обучении, изменения должности, очерёдности предоставления отпусков, расчёта размера заработной платы, использования различных форм страхования, обеспечения пропускного режима Общества, обеспечения личной безопасности работников и сохранности имущества, контроля количества и качества выполняемой работы, пользовании различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, заключёнными с субъектами ПДн договорами, а также Уставом и внутренними документами Общества.

2.3. Субъекты персональных данных

2.3.1. Субъектами ПДн в Общества являются:

- соискатели вакантных должностей в Общества;

- действующие и уволенные работники Общества, а также члены их семей;

- физические лица, заключившие или планирующие заключить с Обществом гражданско-правовой договор¹;

- представители (работники) клиентов и контрагентов Общества, в том числе представители потенциальных клиентов и контрагентов;

- клиенты-физические лица Общества, в том числе потенциальные;

- аффилированные лица и инсайдеры Общества;

- иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка ПД которых необходима Обществу для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на Общество функций, полномочий и обязанностей.

2.4. Состав персональных данных

2.4.1. В процессе своей деятельности Общество осуществляет обработку следующих персональных данных:

- фамилия, имя, отчество (в том числе прежние);

- пол;

- дата и место рождения;

- паспортные данные, данные других документов, удостоверяющих личность (серия, номер, дата выдачи, код подразделения, наименование органа, выдавшего документ);

- гражданство;

- статус резидента;

- семейное положение;

- места жительства (адрес регистрации, адрес проживания);

- адрес электронной почты (e-mail);

- номера контактных телефонов;

- место работы и должность;

- идентификационный номер налогоплательщика;

- номер пенсионного удостоверения;

- информация об инвестиционных, индивидуальных инвестиционных счетах, счетах депо, включая информацию об остатках и операциях по ним;

- номера договоров;

- номера кредитных карт;

- иная информация необходимая Обществу для осуществления услуг, согласно заключенному договору.

¹ В том числе, физические лица – представители юридических лиц, заключивших или планирующих заключить с Обществом гражданско-правовой договор.

2.4.2. Для лиц, являющихся работниками Общества или проходящих процедуры оформления на работу с целью заключения трудового договора, Общество дополнительно осуществляет обработку следующих персональных данных:

- образование и профессия;

- сведения о воинском учёте;

- данные, содержащиеся в трудовой книжке;

- контактная информация о текущем и предыдущих местах работы;

- фотография;

- информация о составе семьи;

- фамилии, имена и отчества, даты и места рождения родственников;

- знание иностранных языков (каких и степень знания);

- другая информация, представленная соискателем в резюме (анкете).

2.4.3. Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

2.4.4. Общество осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн).

2.5. Согласие на обработку персональных данных

2.5.1. Получение и обработка ПДн осуществляется Обществом с письменного согласия субъекта ПДн.

2.5.2. Письменное согласие субъекта ПДн должно включать:

- фамилию, имя, отчество, адрес субъекта ПДн/представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование и адрес Общества;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка будет поручена такому лицу;

- цель обработки ПДн;

- перечень ПДн, на обработку которых дается согласие субъекта ПДн;

- перечень действий с ПДн, на совершение которых даётся согласие, общее описание используемых Обществом способов обработки ПДн;

- срок, в течение которого действует согласие, а также порядок его отзыва;

- подпись субъекта ПДн.

2.5.3. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в т.ч. факт подтверждения согласия путём установки соответствующих флагов/переключателей/нажатия кнопок на экранных веб-формах, подтверждающих согласие субъекта с условиями обработки ПДн при заполнении анкет на официальном сайте Общества в целях получения услуг, предоставляемых Обществом, расценивается Обществом как согласие на обработку ПДн субъектом, даваемое субъектом в письменном виде. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

2.5.4. Согласие на обработку ПДн может быть отозвано субъектом ПДн путём направления в Общество письменного заявления в свободной форме. В этом случае Общество обязуется прекратить обработку, а также уничтожить все имеющиеся в Общества ПДн в сроки, установленные ФЗ «О персональных данных». Общество вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн указанного согласия) при наличии оснований, указанных в ФЗ «О персональных данных».

2.6. Поручение на обработку персональных данных

2.6.1. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этой стороной договора (поручения на обработку ПДн). Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».

2.6.2. В поручении Общества должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии с ФЗ «О персональных данных».

2.7. Обязанности ответственных лиц Общества при обработке персональных данных

2.7.1. В целях обеспечения выполнения Обществом обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, в Обществе назначаются:

- должностное лицо, ответственное за организацию обработки ПДн;

- должностное лицо, ответственное за обеспечение безопасности ПДн;

- должностные лица, обслуживающие ИСПДн.

2.7.2. Лицо, ответственное за организацию обработки ПДн, осуществляет общую организацию обработки ПДн, в том числе:

- уведомление уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в соответствии с требованиями ФЗ «О персональных данных»;

- организацию приёма и обработки обращений и запросов субъектов ПДн (или их представителей), а также контролирующих органов и контроля за приемом и обработкой таких обращений и запросов;

- организацию процессов повышения уровня осведомлённости работников Общества в вопросах обработки ПДн.

2.7.3. Лицо, ответственное за обеспечение безопасности ПДн, осуществляет организацию работ по обеспечению безопасности ПДн и внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации в области ПДн.

2.7.4. В Обществе должен быть утверждён приказом Перечень обособленных подразделений, работники которых имеют доступ к ПДн.

2.8. Способы обработки

2.8.1. Обработка ПДн Обществом осуществляется путём сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления, уничтожения.

2.8.2. Общество осуществляет обработку персональных данных следующими способами:

- автоматизированная обработка (производится при помощи средств вычислительной техники);

- неавтоматизированная обработка (производителя без участия средств вычислительной техники);

- смешанная обработка (производится как при помощи средств вычислительной техники, так и без них).

2.8.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных настоящей Политикой и законами Российской Федерации.

2.8.4. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

2.8.5. В случае необходимости осуществления трансграничной передачи персональных данных Общество, перед совершением такой передачи, обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, а также отсутствии установленных законодательством запретов или ограничений на передачу персональных данных на территорию данного иностранного государства.

2.8.6. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться Обществом в случаях:

- наличия согласия в письменной форме субъекта персональных данных;

- исполнения договора, стороной которого является субъект персональных данных;

- в иных случаях, установленных законодательством Российской Федерации.

2.8.7. ПДн при их обработке, осуществляемой без использования средств автоматизации, ПДн обособляются от иной информации, в частности, путём фиксации их на отдельных носителях.

2.8.8. Обработка ПДн, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы обеспечивать раздельное хранение ПДн разных целей обработки.

2.8.9. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо несовместимы. Для обработки каждой категории ПДн используется отдельный бумажный носитель.

2.8.10. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, в Обществе соблюдаются следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации; имя (наименование) и адрес Общества; фамилию, имя, отчество и адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о выдаче указанного документе и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о выдаче указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя; перечень ПДн, на обработку которых дается согласие субъекта ПДн; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества; источник получения ПДн; сроки обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

- типовая форма предусматривает поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;

- типовая форма составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

- типовая форма исключает объединение полей, предназначенных для внесения ПДн, цели, обработки которых заведомо не совместимы.

2.8.11. Уточнение ПДн, обрабатываемых в Обществе осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.

2.8.12. Основанием для уничтожения ПДн, обрабатываемых в Обществе, является:

- достижение цели обработки ПДн;

- прекращение необходимости в достижении цели обработки ПДн;

- отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законодательством Российской Федерации или договором, либо обработка может осуществляться без согласия субъекта ПДн;

- выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;

- истечение срока хранения ПДн, установленного законодательством Российской Федерации и нормативными документами Общества;

- предписание уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор) или иного уполномоченного органа.

2.8.13. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае прекращения необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.8.14. Обезличивание ПДн должно осуществляться следующими методами:

- введения идентификаторов, путём замены части сведений идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;

- изменения состава или семантики данных путём их замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;

- декомпозиции, путём разделения множества (массива) данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;

- перемешивания, путём перестановки отдельных значений или групп значений атрибутов данных в массиве данных.

2.8.15. При обработке ПДн в ИСПДн с целью обеспечения безопасности ПДн при наличии технической возможности Общество стремится:

- исключать фиксацию на одном материальном носителе ПДн и иных видов информации, а также ПДн, цели, обработки которых заведомо несовместимы;

- для каждой категории ПДн использовать отдельный материальный носитель.

2.9. Период обработки и хранения персональных данных

2.9.1. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, сроком исковой давности, Приказом Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации.

2.9.2. Обработка ПДн начинается с момента поступления в Общество и прекращается:

- в случае выявления неправомерной обработки ПДн Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий десяти рабочих дней с даты такого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий десять рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество уведомляет субъекта ПДн или его представителя, а в случае, если обращение или запрос были направлены Роскомнадзором - также этот орган;

- в случае достижения цели обработки ПДн Общество незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации;

- в случае отзыва субъектом ПДн согласия на обработку своих ПДн Общество прекращает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении ПДн Общество уведомляет субъекта ПДн.

2.9.3. Уничтожение ПДн производится в случаях и в сроки, указанные выше, за исключением ПДн бухгалтерского и кадрового учёта, которые хранятся в соответствии с действующим законодательством Российской Федерации.

2.10. Места хранения ПДн (материальные носители)

2.10.1. Хранение персональных данных (материальных носителей) осуществляется в специально отведённых в Обществе и Территориальных подразделениях Общества местах хранения персональных данных (материальных носителей) в специальном помещении (специальных сейфах/шкафах), доступ к которому(-ым) ограничен.

3. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъект ПДн имеет право на получение информации, касающейся обработки Обществом его ПДн.

3.2. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами Российской Федерации, в том числе если:

3.3.1. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

3.3.2. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

3.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.

3.5. Общество принимает и обрабатывает запросы субъектов персональных данных и предоставляет сведения, подтверждающие факты обработки персональных данных, правовые основания, цели, сроки и способы обработки персональных данных, виды обрабатываемых персональных данных, наименование и местонахождение.

4. ОСНОВНЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН

4.1. В Общества принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных ФЗ «О персональных данных»:

- назначение ответственных за организацию обработки и защиты ПДн;

- издание Обществом документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

- применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

- осуществление внутреннего контроля и аудита соответствия обработки ПДн требованиям законодательства РФ, настоящей Политике, иным локальным актам Общества;

- оценка возможного вреда субъектам ПДн, причиненного в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;

- ознакомление работников, непосредственно осуществляющих обработку ПДн с положениями законодательства РФ о персональных данных, в том числе требованиями к защите ПДн, настоящей Политикой и иными локальными актами Общества по вопросам обработки персональных данных и (или) обучение указанных работников;

- обеспечение обработки ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в ФЗ «О персональных данных».

4.2. Обеспечение безопасности ПДн в Обществе достигается:

- определением угроз безопасности ПДн при их обработке в ИСПДн;

- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

- обеспечением учёта и сохранности носителей ПДн;

- своевременным уничтожением и обезличиванием ПДн;

- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к ПДн, обеспечением регистрации и учёта всех действий, совершаемых с ПДн в ИСПДн;

- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

4.3. Меры по обеспечению безопасности ПДн принимаются для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн и направлены на нейтрализацию актуальных угроз безопасности ПДн.

4.4. Состав и содержание организационных и технических мер безопасности ПДн устанавливается в соответствии с внутренними нормативными документами Общества.

5. ОТВЕТСТВЕННОСТЬ

Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПДн, установленных в Общества, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством Российской Федерации.

6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

В случае изменений законодательных и иных нормативных актов Российской Федерации, а также Устава Общества, настоящий документ, а также изменения к нему, применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу Общества.

7. ПЕРЕЧЕНЬ ДОКУМЕНТОВ, НА КОТОРЫЕ ДАЮТСЯ ССЫЛКИ

- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

- Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».