Найти дилера
Тест-драйв

Модели

Служба клиентской поддержки

8 800 200 02 89

Социальные сети

KNEWSTAR 001

от 3 299 990₽*

Покупателям

Служба клиентской поддержки

8 800 200 02 89

Социальные сети

ВЫБОР И ПОКУПКА
ФИНАНСЫ И УСЛУГИ

Владельцам

Служба клиентской поддержки

8 800 200 02 89

Социальные сети

СЕРВИС
ПОДДЕРЖКА

KNEWSTAR

Служба клиентской поддержки

8 800 200 02 89

Социальные сети

О КОМПАНИИ
KNEWSTAR В РОССИИ
МЕДИА
Найти дилераТест-драйв
Главная Политика персональных данных

Политика конфиденциальности персональных данных

Содержание
  • Преамбула
  • Общие положения
  • Принципы обработки персональных данных
  • Процессы обработки персональных данных
  • Условия обработки персональных данных
  • Общие правила обработки персональных данных
  • Особенности осуществления отдельных действий (операций) с персональными данными
  • Особенности обработки персональных данных в неавтоматизированной форме
  • Особенности обработки персональных данных с использованием средств автоматизации
  • Защита персональных данных
  • Меры, направленные на выполнение обязанностей оператора в области обработки персональных данных
  • Права субъектов персональных данных
  • Ответственность за нарушение правил обработки и защиты персональных данных
  • Приложение
Преамбула

Настоящая Политика конфиденциальности персональных данных (далее – «Политика конфиденциальности») действует в отношении всей информации, размещенной на сайте ООО «Слава Моторс Рус» в сети Интернет по адресу: www.knewstar.ru (далее – «Сайт»), которую Пользователь вправе предоставить ООО «Слава Моторс Рус» во время использования Сайта или Дилерской платформы, а также их сервисов, программ и продуктов.


Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов Сайта.


01 Общие положения

1.1. Настоящее Положение (далее — «Положение») определяет политику и порядок обработки в Обществе с ограниченной ответственностью «Слава Моторс Рус», ОГРН 1235000153464 (далее — «Оператор») персональных данных, предоставленных Оператору в рамках трудовых, гражданско-правовых и иных отношений, а также полученных Оператором иным образом.


1.2. Настоящее Положение является:


- основным документом, определяющим политику Оператора в отношении обработки персональных данных;
- локальным актом по вопросам обработки персональных данных, регулирующим, в частности, обязанности, предусмотренные ст. 18.1 и ст. 19 Федерального закона Российской Федерации № 152-ФЗ от 27.07.2006 «О персональных данных» (далее — «Закон о персональных данных»);
- локальным актом, устанавливающим процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений по смыслу п. 2 ч. 1 ст. 18.1 Закона о персональных данных, а также
- документом работодателя, устанавливающим порядок обработки персональных данных работников, а также документом о правах и обязанностях работников в этой области по смыслу п. 8 ст. 86 Трудового кодекса Российской Федерации.


1.3. Целью настоящего Положения является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения.


1.4. Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами (с изменениями и дополнениями, действующими по состоянию на дату утверждения настоящего Положения):


- Трудовой кодекс Российской Федерации № 197-ФЗ от 30.12.2001;
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006;
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
- Постановление Правительства Российской Федерации № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012;
- Постановление Правительства Российской Федерации № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008.


1.5. Если в Положении отсутствует прямое упоминание какой-либо обязанности Оператора, которая предусмотрена законодательством Российской Федерации, это не может быть истолковано как неисполнение Оператором такой обязанности, и она применяется к Оператору в силу общих принципов действия правовых норм.


1.6. Требования настоящего Положения обязательны для исполнения работниками всех подразделений Оператора. Все работники Оператора должны быть ознакомлены с настоящим Положением и любыми изменениями (дополнениями) к нему под роспись в листе ознакомления, акте ознакомления или иным способом, позволяющим подтвердить ознакомление работника с настоящим Положением.


1.7. Термины, используемые в настоящем Положении и не определенные в нём, имеют значение, которое придается им законодательством Российской Федерации.


02 Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется Оператором на основе принципов:


­- законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

- соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки персональных данных;

­- точности и актуальности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

­- недопустимости объединения баз данных, содержащих персональные данные, которые созданы для несовместимых между собой целей.


2.2. При принятии решения об обработке персональных данных и определении порядка такой обработки, работники Оператора обязуются соблюдать принципы обработки персональных данных, указанные в п. 2.1 Положения.

03 Процессы обработки персональных данных

3.1. Для целей выполнения п. 2 ч. 1 ст. 18.1 Закона о персональных данных Оператором формируется и поддерживается в актуальном состоянии реестр процессов обработки персональных данных (далее – «Реестр»), который утверждается единоличным исполнительным органом Оператора или иным уполномоченным лицом. В Реестре для каждой цели обработки персональных данных определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которые обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.


3.2. Обработка персональных данных должна осуществляться в соответствии с Реестром. Актуальная версия Реестра доступна на внутреннем корпоративном ресурсе для возможности оперативного ознакомления с нею всеми работниками Оператора и приложена к настоящему Положению.


3.3. Лицо, ответственное за организацию обработки персональных данных, вправе привлекать работников к заполнению / изменению сведений о процессах обработки персональных данных.


3.4. В тех случаях, когда Оператор осуществляет обработку персональных данных на основании поручений третьих лиц, обработка персональных данных должна осуществляться исключительно в целях, предусмотренных соответствующими поручениями третьих лиц. При обработке соответствующих данных дополнительно к требованиям Реестра необходимо руководствоваться соответствующими поручениями третьих лиц.

04 Условия обработки персональных данных

4.1. В отношении персональных данных вводится режим конфиденциальности. Работники Оператора не вправе использовать персональные данные в целях, не связанных с исполнением своих должностных обязанностей.


4.2. Обработка персональных данных допускается только при наличии оснований, предусмотренных законодательством о персональных данных. Основания обработки персональных данных, актуальные для процессов обработки персональных данных Оператора, определены в Реестре.


4.3. Если работник выявил необходимость обработки персональных данных в случае, не предусмотренном Реестром, он обязан сообщить об этом лицу, ответственному за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, обязано проконтролировать наличие условий и оснований для обработки персональных данных для соответствующего случая, а также обеспечить обновление Реестра (при необходимости).


4.4. Формы согласий на обработку персональных данных, необходимые для использования в деятельности Оператора, разрабатываются лицом, ответственным за организацию обработки персональных данных, на основании запроса работника Оператора, выявившего ситуацию, для которой не утверждена необходимая форма согласия. Формы согласий, разработанные лицом, ответственным за организацию обработки персональных данных, обязательны к использованию в деятельности соответствующих подразделений Оператора.


4.5. В случае получения согласия от законного представителя субъекта персональных данных законный представитель обязан предоставить документы, подтверждающие его полномочия. Работник, осуществляющий сбор согласий на обработку персональных данных, должен проконтролировать наличие соответствующей доверенности или иного документа, который подтверждает полномочия представителя.


4.6. Оператором организовано хранение полученных согласий на обработку персональных данных, а также документов, которые подтверждают наличие иных оснований для обработки персональных данных, в течение сроков, установленных законодательством и иными локальными нормативными актами Оператора. Места и сроки хранения указанных документов утверждены единоличным исполнительным органом Оператора или иным уполномоченным лицом. Контроль сохранности соответствующих согласий и документов обеспечивает лицо, ответственное за организацию обработки персональных данных.


4.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления обращения в адрес Оператора, если иной порядок не указан в соответствующей форме согласия или не определен соглашением с субъектом персональных данных. При получении отзыва согласия от субъекта персональных данных работники должны руководствоваться условиями Положения о порядке рассмотрения обращений субъектов персональных данных и уполномоченного органа в обществе с ограниченной ответственностью «Слава Моторс Рус» и/или иного локального нормативного акта Оператора, регулирующего порядок рассмотрения обращений субъектов персональных данных.


4.8. Обработка персональных данных подлежит прекращению по достижении целей обработки соответствующих данных, а также в случае отпадения необходимости в достижении соответствующих целей.

05 Общие правила обработки персональных данных

5.1. При обработке персональных данных, которые станут известны соответствующим работникам в ходе исполнения их служебных обязанностей, работники Оператора обязаны:


- не передавать персональные данные третьим лицам в случаях, не предусмотренных Реестром;

- не передавать персональные данные другим работникам, не имеющим права доступа к соответствующим сведениям;

- использовать персональные данные только в целях исполнения должностных обязанностей и целях, для которых они были сообщены;

- соблюдать требования приказов и инструкций, других локальных нормативных актов Оператора, регулирующих порядок обработки персональных данных;

- незамедлительно сообщать лицу, ответственному за организацию обработки персональных данных, о попытках неуполномоченных лиц получить сведения, относящиеся к персональным данным;

- незамедлительно сообщать лицу, ответственному за организацию обработки персональных данных, об утрате или недостаче носителей персональных данных, удостоверений, пропусков, ключей от запираемых помещений, хранилищ, сейфов (металлических шкафов), раскрытии паролей, кодов или логинов, необходимых для доступа в информационные системы, используемые Оператором, а также о любых других фактах, которые могут свидетельствовать о признаках неправомерной или случайной передачи (разглашения) персональных данных;

- в случае прекращения трудовых отношений с Оператором передать непосредственному руководителю все носители персональных данных, находящиеся в распоряжении работника в связи с выполнением им должностных обязанностей, а также уничтожить их копии, оставшиеся в распоряжении работника.


5.2. Работники Оператора допускаются к обработке персональных данных только при условии подписания ими обязательства о соблюдении конфиденциальности в отношении персональных данных по утвержденной Оператором форме, а также документов, подтверждающих их ознакомление с требованиями законодательства о персональных данных и локальными нормативными актами Оператора в указанной сфере.


5.3. Работники получают права доступа к персональным данным в том объеме, который необходим для выполнения их должностных обязанностей или функций, предусмотренных заключенным с ними договором, в целях выполнения данных обязанностей и функций, а также на период указанной необходимости. Перечень должностей работников и/или подразделений, допущенных к работе с персональными данными, утверждается единоличным исполнительным органом Оператора или иным уполномоченным лицом.

06 Особенности осуществления отдельных действий (операций) с персональными данными

6.1. Общие положения о действиях (операциях) с персональными данными


6.1.1. Объем возможных действий (операций) с персональными данными определяется в зависимости от целей обработки персональных данных с учетом законодательства и локальных нормативных актов Оператора, а в случаях если обработка персональных данных осуществляется на основании согласия субъекта персональных данных – дополнительно с учетом объема возможных действий (операций) с персональными данными, предусмотренных таким согласием.


6.1.2. В пп. 6.2 – 6.6 Положения определяются особенности осуществления отдельных действий (операций) с персональными данными. Иные действия (операции) с персональными данными должны осуществляться на общих основаниях и с учетом общих правил, установленных законодательством Российской Федерации.


6.2. Сбор персональных данных


6.2.1. Оператор применяет следующие способы получения персональных данных:


1) сбор персональных данных непосредственно от субъекта персональных данных посредством заполнения соответствующих форм субъектом, его законным представителем либо работником Оператора с их слов или посредством получения документов, предоставляемых субъектом персональных данных или его законным представителем; и

2) получение персональных данных от третьих лиц.


6.2.2. При сборе персональных данных работник Оператора обязан предоставить субъекту персональных данных по его просьбе следующую информацию, которая касается обработки его персональных данных Оператором:


- правовые основания и цели обработки персональных данных;

- применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (кроме работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством о персональных данных;

- информацию о трансграничной передаче данных;

- наименования или фамилии, имена, отчества и адреса лиц, осуществляющих обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена таким лицам;

- информацию о способах реализации Оператором мер, направленных на обеспечение выполнения Оператором обязанностей оператора персональных данных.


Указанная информация доводится до сведения субъекта в доступной форме. При необходимости субъекту необходимо предоставить ссылку на публичную политику Оператора в отношении обработки персональных данных или её экземпляр.


6.2.3. Если предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными в соответствии с федеральным законом, работник Оператора обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.


6.2.4. Если Оператор получает персональные данные от третьего лица, получивший такие данные работник Оператора должен предоставить субъекту персональных данных следующую информацию до начала обработки его персональных данных:


- наименование и адрес Оператора;

- цель обработки персональных данных и правовое основание обработки;

- перечень обрабатываемых персональных данных;

- сведения о предполагаемых пользователях персональных данных;

- сведения о правах субъекта персональных данных;

- источник получения персональных данных.


6.2.5. Работник освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п. 6.2.4 в следующих случаях:


- на момент предоставления данных Оператору субъект уже уведомлен о возможности обработки таких данных Оператором (в том числе, когда лицо, предоставляющее данные, получило согласие субъекта на такое предоставление данных Оператору);

- персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;

- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной и иной творческой деятельности, и при этом не нарушаются права и законные интересы субъекта персональных данных;

- Оператор осуществляет обработку персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, установленных Законом о персональных данных;

- предоставление субъекту персональных данных указанных сведений нарушает права и законные интересы третьих лиц.


6.2.6. Работники вправе получать персональные данные от третьих лиц (в том числе в составе резюме соискателей или иных документов) только при условии наличия предусмотренных законом оснований для такого получения или предоставления соответствующими третьими лицами гарантий получения согласия субъекта персональных данных на обработку его персональных данных Оператором. 


6.2.7. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Соблюдение указанного требования контролирует лицо, ответственное за организацию обработки персональных данных.


6.2.8. Персональные данные работников должны собираться посредством их получения непосредственно от работников, в том числе при предоставлении ими документов, содержащих персональные данные. Исключение составляют случаи, когда получение данных возможно только у третьих лиц.


6.2.9. Работник, которому для исполнения его должностных обязанностей необходимо получение персональных данных работника у третьего лица, должен сообщить об этом лицу, ответственному за организацию обработки персональных данных. В таком случае работник должен быть предварительно уведомлен лицом, ответственным за организацию обработки персональных данных, о следующих обстоятельствах:


- цели получения персональных данных;

- предполагаемые источники и способы получения персональных данных;

- характер подлежащих получению персональных данных;

- последствия отказа дать письменное согласие на получение персональных данных.


6.2.10. У соответствующего работника должно быть получено письменное согласие на получение его персональных данных от третьих лиц. Ответственность за получение такого согласия несет лицо, ответственное за организацию обработки персональных данных.


6.3. Использование персональных данных


6.3.1. Работники должны использовать персональные данные исключительно в соответствии с установленными Оператором целями обработки таких персональных данных, которые утверждены в Реестре.


6.3.2. Оператор не использует исключительно автоматизированную обработку персональных данных для принятия юридически значимых решений, затрагивающих интересы субъектов персональных данных.


6.4. Передача персональных данных


6.4.1. Передача персональных данных третьим лицам в любой форме допускается только лицам, которые состоят в договорных отношениях с Оператором. Исключение составляют случаи передачи персональных данных уполномоченным государственным органам или самим субъектам персональных данных.


6.4.2. Передача персональных данных третьим лицам осуществляется при условии наличия согласия субъекта персональных данных на такую передачу, а также в случаях если передача необходима в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или если передача необходима для исполнения требований законодательства Российской Федерации.


6.4.3. При передаче персональных данных третьим лицам необходимо уведомить указанных третьих лиц об обязанности сохранения конфиденциальности персональных данных и использования их лишь в тех целях, для которых они передаются.


6.4.4. В соглашении с лицом, которое обрабатывает персональные данные по поручению (в интересах) Оператора, должны быть установлены (предусмотрены):


- перечень передаваемых персональных данных;

- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;

- допустимые цели обработки данных таким лицом;

- обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;

- конкретные требования к защите обрабатываемых персональных данных (с учетом ст. 19 Закона о персональных данных, а также, если применимо, Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации № 687 от 15.09.2008);

- обязанность такого лица осуществлять обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;

- обязанность такого лица принимать меры, направленные на обеспечение выполнения обязанностей, возложенных на оператора законодательством о персональных данных;

- обязанность такого лица предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований в соответствии с законодательством о персональных данных и поручением Оператора;

- обязанность такого лица уведомлять Оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона о персональных данных в сроки, позволяющие Оператору направить уведомление уполномоченному органу по защите прав субъектов персональных данных.


Форму поручения на обработку персональных данных, необходимую для использования в деятельности Оператора, разрабатывает лицо, ответственное за организацию обработки персональных данных. Работники обязаны использовать указанную форму поручения в своей деятельности. Использование иных форм поручения на обработку персональных данных допускается по согласованию с лицом, ответственным за организацию обработки персональных данных.


6.4.5. Если в деятельности подразделения возникает новый бизнес-процесс, который предполагает передачу персональных данных третьему лицу и (или) трансграничную передачу персональных данных, то руководитель соответствующего подразделения обязан проинформировать о таком процессе лицо, ответственное за организацию обработки персональных данных, и предоставить ему необходимую информацию о параметрах предполагаемой передачи данных.


6.4.6. Лицо, ответственное за организацию обработки персональных данных, несет ответственность за реализацию мероприятий, необходимых для правомерной передачи персональных данных третьему лицу (в том числе сбор и анализ информации о получателе персональных данных, оценку эффективности реализованных в его юрисдикции мер по защите прав субъектов персональных данных, подачу уведомлений, предусмотренных действующим законодательством, оценку выполнения требования локализации при передаче персональных данных и др.).


6.4.7. Передача персональных данных третьему лицу и (или) трансграничная передача не допускается до получения согласования лица, ответственного за организацию обработки персональных данных, а также до подачи уведомлений, предусмотренных законодательством Российской Федерации.


6.4.8. Работники должны контролировать, чтобы при передаче персональных данных передавались только те данные, которые обусловлены целью передачи. Если документ или набор данных содержит больший объем персональных данных, чем необходимо для передачи, необходимо создать новый документ или набор данных, который будет включать только те данные, которые предназначены для адресата и обусловлены целью передачи данных.


6.4.9. Если работнику необходимо передать персональные данные отдельно от другой информации, которая содержится в документе, то работник должен создавать выписку из такого документа либо сделать частичную копию документа, содержащую только необходимую для передачи информацию.


6.5. Хранение персональных данных


6.5.1. Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации, локальными нормативными актами Оператора и согласиями субъектов персональных данных.


6.5.2. При хранении материальных носителей персональных данных работники должны соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.


6.5.3. Хранение персональных данных разрешено осуществлять в специально отведенных местах и на специально отведенных носителях информации. Перечень мест, в которых осуществляется хранение и обработка персональных данных, перечень лиц, имеющих доступ к персональным данным, а также правила доступа утверждаются единоличным исполнительным органом Оператора или иным уполномоченным лицом.


6.6. Уничтожение персональных данных


6.6.1. Прекращение обработки персональных данных, регулируемой нормами Закона о персональных данных, происходит: путем блокирования персональных данных; путем уничтожения персональных данных; в случаях, предусмотренных законодательством об архивном деле в Российской Федерации.


6.6.2. Уничтожение персональных данных производится способом, исключающим возможность восстановления этих персональных данных.


6.6.3. Если персональных данных невозможно уничтожить без такого повреждения их материального носителя персональных данных, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и персональных данных, и их материальный носитель.


6.6.4. Подтверждение факта уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов.


6.6.5. В своей деятельности работники должны руководствоваться основаниями, правилами и процедурами уничтожения персональных данных, которые разработаны с учетом требований, предусмотренных нормативными актами уполномоченного органа в области защиты прав субъектов персональных данных и утверждены единоличным исполнительным органом Оператора.

07 Особенности обработки персональных данных в неавтоматизированной форме

7.1. Обработка персональных данных без использования средств автоматизации осуществляется Оператором с помощью документов на бумажных носителях и механических носителях (фотографии, пленки и др.).


7.2. При использовании типовых форм документов, характер которых предполагает или допускает включение в них персональных данных, работники должны соблюдать следующие условия:


- сама форма или документы, связанные с типовой формой (инструкция по ее заполнению или иные), должны содержать сведения о цели обработки данных, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, и общее описание способов обработки персональных данных Оператором;

- если необходимо получить письменное согласие на обработку персональных данных, то типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых несовместимы.


7.3. В ходе работы с бумажными документами, содержащими персональные данные, работники обязаны:


- не фиксировать в документах персональные данные, цели обработки которых заведомо несовместимы;

- обособлять персональные данные от иной информации, в частности, путем фиксации их в отдельных документах, в специальных разделах или на полях форм (бланков);

- в случае изготовления документов с персональными данными путем печати на принтерах незамедлительно извлекать напечатанные документы из выходных лотков печатающих устройств;

- обрабатывать бумажные копии документов, содержащих персональные данные, так же, как и оригиналы;

- в случае присутствия в служебном помещении лиц, не допущенных к обработке персональных данных, принимать необходимые меры, чтобы обеспечить конфиденциальность обрабатываемых данных.


7.4. Лицо, ответственное за организацию обработки персональных данных, должно обеспечить информирование работников Оператора и третьих лиц, обрабатывающих персональные данные без использования средств автоматизации, о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами и локальными актами Оператора.

08 Особенности обработки персональных данных с использованием средств автоматизации

8.1. Персональные данные в автоматизированной форме могут обрабатываться как с использованием собственных информационных систем персональных данных и (или) иных средств автоматизации, так и с использованием сторонней инфраструктуры обработки персональных данных. При использовании информационных систем персональных данных третьих лиц и (или) поручении Оператором обработки третьему лицу, которое использует информационную систему для такой обработки, Оператор обеспечивает принятие указанных в п. 9.1 Положения мер посредством включения соответствующих обязанностей в договор с третьим лицом.


8.2. Обработка персональных данных в отдельных информационных системах персональных данных Оператора может регламентироваться соответствующими инструкциями пользователей.


8.3. Обработка персональных данных в информационных системах персональных данных Оператора осуществляется при условии выполнения требований, указанных в разделе 9 Положения.

09 Защита персональных данных

9.1. При обработке персональных данных Оператор принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19 Закона о персональных данных.


Исчерпывающий перечень мер, необходимых для обеспечения таких условий, определяется с учетом актуальных уровней защищенности информационных систем персональных данных. Среди прочего, указанные меры включают:


- оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных, соотнесение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (в тех случаях, когда это необходимо для нейтрализации актуальных угроз);

- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

- учет и обеспечение сохранности машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в таких системах;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.


9.2. Оператор обеспечивает контроль доступа в помещения, используемые для обработки персональных данных.


9.3. Работникам запрещено хранить документы, содержащие персональные данные, и серверные средства их обработки вне специально отведенных для этого мест, оставлять их без присмотра, передавать лицам, не допущенным Оператором к обработке персональных данных. Работникам запрещено обрабатывать персональные данные на съемных машинных носителях (дисках, флэш-накопителях и иных подобных носителях), кроме случаев, прямо предусмотренных локальными нормативными актами Оператора.


9.4. Работники Оператора вправе выступать с предложениями относительно совершенствования мер защиты персональных данных. Соответствующие предложения необходимо направлять лицу, ответственному за организацию обработки персональных данных.


9.5. С целью обеспечения безопасности работников и имущества Оператора, а также с целью противодействия совершению преступлений и иных правонарушений Оператор может устанавливать в помещениях Оператора системы видеоконтроля, видеонаблюдения, аудио- и видеозаписи.


9.6. Корпоративный компьютер, корпоративная электронная почта, локальные диски и папки, информационные системы Оператора, корпоративные носители информации, а также иные элементы компьютерной инфраструктуры, используемые Оператором и предоставляемые в пользование работнику для выполнения его должностных обязанностей, являются собственностью Оператора. Работникам запрещено использовать в личных целях любые части компьютерной инфраструктуры Оператора, и в том числе обрабатывать и передавать с её помощью информацию, которая относится к частной жизни работника.


9.7. Работники Оператора обязаны соблюдать порядок действий, определенный в Законе о персональных данных и локальных нормативных актах Оператора, в случае установления факта компьютерного инцидента (неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных);


9.8. Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационных системах.

10 Меры, направленные на выполнение обязанностей оператора в области обработки персональных данных

10.1. Оператор принимает меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, в соответствии со ст. 18.1 Закона о персональных данных. Оператором определен следующий состав и перечень необходимых и достаточных мер для обеспечения выполнения обязанностей Оператора, предусмотренных законодательством:


­- назначение лица, ответственного за организацию обработки персональных данных, Оператором с определением его прав и обязанностей;  

­- издание Оператором Положения, иных локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также иных локальных актов по вопросам обработки персональных данных;

-­ применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных согласно Разделу 9 Положения;

-­ осуществление внутреннего контроля соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора в форме текущего, планового и внепланового внутреннего контроля;

-­ проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, с фиксацией ее результатов;

­- ознакомление работников Оператора с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных с фиксацией факта ознакомления.


10.2. Исполнение обязанности, предусмотренной для Оператора ч. 2 ст. 18.1 Закона о персональных данных, в части опубликования или иным образом предоставления неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, предполагает опубликование или предоставление неограниченного доступа к настоящему Положению. Выполнение данной обязанности обеспечивается путем размещения Положения на информационных стендах в офисах Оператора, в его обособленных подразделениях, а также на внутренних информационных ресурсах Оператора.


10.3. Доступ к документам, определяющим политику Оператора в отношении процессов обработки персональных данных, подразумевающих сбор персональных данных с использованием сети «Интернет», обеспечивается Оператором путем публикации таких документов на соответствующих информационных ресурсах Оператора (сайтах, приложениях), включая конкретные страницы таких ресурсов, с использованием которых осуществляется сбор персональных данных.

11 Права субъектов персональных данных

11.1. Субъекты персональных данных вправе:


­- получать доступ к информации, касающейся обработки их персональных данных;

­- требовать от Оператора уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

­- обжаловать в суд любые неправомерные действия или бездействия Оператора при обработке и защите персональных данных, а также принимать иные предусмотренные законом меры по защите своих прав.


11.2. Работники Оператора обладают следующими дополнительными правами:


-­ заявить в письменной форме о своем несогласии с содержанием хранящихся у Оператора персональных данных и представить обоснование такого несогласия при отказе Оператора исключить или исправить персональные данные работника;

­- дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения работника по соответствующему вопросу;

­- требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.


11.3. Указанный выше перечень прав субъекта в отношении его персональных данных не ограничивает его право на реализацию любых иных правомочий, предусмотренных законодательством и локальными нормативными актами Оператора.

12 Ответственность за нарушение правил обработки и защиты персональных данных

12.1. Работники, имеющие доступ к персональным данным, несут персональную ответственность за несанкционированное распространение персональных данных, а также за несоблюдение установленного Оператором порядка обеспечения безопасности в отношении персональных данных (включая сохранность вверенных работникам носителей персональных данных).


12.2. Нарушение требований настоящего Положения может повлечь применение к нарушителям мер дисциплинарной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации, а также условиями соглашений, заключенных Оператором с его работниками.

13 Приложение

Приложение к Политике доступно по ссылке