ПОЛИТИКА ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТСН«ОСТАНКИНО-2»

Оглавление

1. Общие положения по политике защиты персональных данных

2. Термины и определения

3. Принципы защиты персональных данных, принятые в ТСН

4. Обязанности Компании при сборе и обработке персональных данных

5. Организация и контроль обеспечения защиты персональных данных

6. Права субъектов персональных данных

7. Система локальных нормативных актов по защите персональных данных ТСН

1. Общие положения по политике защиты персональных данных

1.1. Целью данной политики по защите персональных данных (далее – Политика) является:

  • определение порядка обработки и защиты персональных данных Собственников ТСН «Останкино-2» и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий компании;
  • обеспечение защиты прав и свобод человека и гражданина,
  • защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.2. Данное Положение разработано в соответствии:

  • Конституцией РФ,
  • Федеральным законом от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»,
  • Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»,
  • Гражданским Кодексом РФ,
  • Трудовым Кодексом РФ,
  • Налоговым Кодексом РФ,
  • Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
  • Федеральным законом Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»,
  • Указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»,
  • Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
  • Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
  • Постановлением Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
  • Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных»,
  • Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
  • и другими нормативными правовыми актами, действующими на момент разработки данной Политики.

1.3. Политика подлежит опубликованию на сайте ТСН «Останкино-2» для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

1.4. Субъекты персональных данных, чьи данные обрабатываются ТСН «Останкино-2» должны ознакомиться самостоятельно с данной Политикой, размещенной на сайте ТСН.

1.5. Ответственность за создание системы по соблюдению законодательства по защите персональных данных несет Председатель ТСН. Ответственность за соблюдение требований законодательства, данной Политики и иных локальных актов ТСН, регулирующих порядок обработки персональных данных несут должностные лица ТСН в пределах своих полномочий по обработке персональных данных.

1.6. Данная Политика вступает в действие с даты ее утверждения Председателем ТСН и действует до его отмены.

2. Термины и определения

2.1. В целях настоящего Положения используются следующие основные понятия:

  • Товарищество Собственников Недвижимости «Останкино-2» (далее – ТСН) – Общество с ограниченной ответственностью «……………..», действующее на основании Устава с соблюдением требований действующего российского законодательства;
  • оператор (далее – Оператор) — ТСН «Останкино-2», самостоятельно или совместно с другими юридическими и физическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные (далее – ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает Оператор;
  • собственник (далее – собственник, Собственник) – физическое лицо, являющееся собственником недвижимости, расположенной на территории ТСН «Останкино-2»;
  • член ТСН (далее – член ТСН) – физическое лицо, являющееся собственником недвижимости, вступившее в члены ТСН;
  • деловой партнер – физическое лицо, индивидуальный предприниматель или юридическое лицо, которое заключает с ТСН любой гражданско-правовой договор (т. е. совершает сделку). ТСН в данной сделке может выступать как Заказчик или как Исполнитель, это не меняет отнесения данного лица к категории Деловой партнер.

К ним отнесены, в частности:

  • дистрибьюторы
  • организаторы мероприятий с участием специалистов
  • профессиональные ассоциации специалистов
  • получатели пожертвований и спонсорских взносов
  • государственные учреждения
  • иные физические лица, индивидуальные предприниматели или юридические лица, заключившие гражданско-правовой договор с ТСН.
  • должностные лица – представители ТСН, уполномоченные осуществлять обработку ПД субъектов персональных данных и несущие все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности ПД;
  • локальные нормативные акты (далее – ЛНА) – акты ТСН, содержащие нормы права, в пределах своей компетенции в соответствии с законодательством и иными нормативными правовыми актами, содержащими правовые нормы, соглашениями;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
  • сбор,
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение,
  • использование,
  • передачу (распространение, предоставление, доступ),
  • обезличивание,
  • блокирование,
  • удаление,
  • уничтожение персональных данных;
  • общедоступные источники персональных данных — источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и должностных лиц ТСН. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных;
  • биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются ТСН для установления личности субъекта персональных данных, к ним относится, в частности, фото, видеоизображение субъекта персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • угроза безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
  • уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • технические средства, позволяющие осуществлять обработку персональных данных – специальное оборудование, к которому относятся:
  • средства вычислительной техники,
  • информационно-вычислительные комплексы и сети,
  • средства и системы передачи, приема и обработки ПД (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие средства обработки речевой, графической и буквенно-цифровой информации),
  • программные средства (операционные системы, системы управления базами данных и прочее),
  • средства защиты информации, применяемые в информационных системах.

3. Принципы защиты персональных данных, принятые в ТСН

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Цели обработки ПД отражаются в ЛНА по ПД, с которыми субъект ПД знакомится до предоставления своих ПД, а также в письменных согласиях субъектов ПД (оформляемых в случае требований законодательства).

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в ТСН применяются различные информационные системы, позволяющие разделить допуск должностных лиц к тем или иным ПД, а также процедуры допуска к ПД субъектов, необходимых должностным лицам, для осуществления своих трудовых функций.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. ПД, которые ТСН имеет право обрабатывать, отражаются в ЛНА по ПД, с которыми субъект ПД знакомится до предоставления своих ПД, а также в письменных согласиях субъектов ПД (оформляемых в случае требований законодательства).

3.5. Содержание и объем обрабатываемых персональных данных собирается должностными лицами ТСН в соответствии с заявленными целями обработки ПД. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом ПД ТСН имеет право:

  • отказать в их принятии,
  • уничтожить в присутствии субъекта ПД,
  • использовать свои типовые формы по сбору ПД для исключения сбора избыточных ПД.

3.6. При обработке персональных данных ТСН обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ТСН предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

3.7. Хранение ПД осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

3.8. Обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.9. ТСН для соблюдения требований архивного законодательства знакомит субъекта ПД со сроками, в течение которых персональные данные, предоставляемые, согласно законодательству, будут храниться в ТСН.

3.10. ТСН проводит регулярный анализ соответствия процессов обработки ПД в информационных системах ТСН в случае:

  • создания новых информационных систем;
  • внесения изменений в технологические процессы, существующие в информационных системах;
  • изменения нормативной базы, затрагивающей принципы и(или) процессы обработки ПД в информационных системах ТСН.

4. Обязанности ТСН при сборе и обработке персональных данных

4.1. При сборе персональных данных ТСН обязано предоставить субъекту персональных данных по его просьбе информацию, касающеюся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных ТСН;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые ТСН способы обработки персональных данных;
  • сведения о лицах (за исключением Собственников ТСН), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТСН или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные действующим законодательством.

4.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, ТСН обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

4.3. Если персональные данные получены не от субъекта персональных данных, ТСН, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законодательством права субъекта персональных данных;
  • источник получения персональных данных.

4.4. ТСН освобождается от обязанности предоставить субъекту персональных сведения, предусмотренные п.5.3. Политики, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных ТСН;
  • персональные данные получены ТСН на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • ТСН осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных сведений, нарушает права и законные интересы третьих лиц.

4.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», ТСН обязано обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством.

4.6. ТСН обязано при получении соответствующего запроса сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

4.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ТСН обязано внести в них необходимые изменения.

4.8. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ТСН обязано уничтожить такие персональные данные.

4.9. ТСН обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.10. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) с момента такого обращения или получения указанного запроса на период проверки.

4.11. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных ТСН обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

4.12. В случае подтверждения факта неточности персональных данных ТСН на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

4.13. В случае выявления неправомерной обработки персональных данных, осуществляемой ТСН или лицом, действующим по поручению ТСН, ТСН в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению ТСН.

4.14. В случае, если обеспечить правомерность обработки персональных данных невозможно, ТСН в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.

4.15. Об устранении допущенных нарушений или об уничтожении персональных данных ТСН обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4.16. В случае достижения цели обработки персональных данных ТСН обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между ТСН и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

4.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ТСН обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между ТСН и субъектом персональных данных либо если ТСН не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

4.18. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, ТСН осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ТСН) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством.

5. Организация и контроль обеспечения защиты персональных данных

5.1. ТСН предпринимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.

5.2. ТСН самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Для реализации мер защиты персональных данных Компания:

  • назначает ответственных за организацию обработки персональных данных;
  • издает локальные нормативные акты, определяющие политику ТСН в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  • осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям действующего законодательства, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании;
  • оценивает вред, который может быть причинен субъектам персональных данных в случае нарушения требований действующего законодательства, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
  • знакомит Должностных лиц ТСН, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику ТСН в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц.

5.3. Система защиты ПД является частью общей системы обеспечения информационной безопасности ТСН.

5.4. Ответственность за создание системы защиты персональных данных, обрабатываемых в ТСН, несет Председатель ТСН.

5.5. Лица, ответственные за функционирование информационной системы несут ответственность за необеспечение сохранности и защиты персональных данных, обрабатываемых в информационных системах.

5.6. Общий контроль за соблюдением законодательства и Политики осуществляет Председатель ТСН.

5.7. Должностные лица ТСН несут ответственность за соблюдение установленных в ТСН требований по защите персональных данных Собственников своего подразделения.

5.8. Должностные лица ТСН получают указания непосредственно от Председателя ТСН, и подотчетны по вопросам организации процесса обработки ПД общему собранию собственников ТСН.

5.9. Должностные лица ТСН, в частности, обязаны:

  • осуществлять внутренний контроль за соблюдением работниками структурного подразделения законодательства Российской Федерации о персональных данных, локальных нормативных актов, включая данную Политику по вопросам защиты персональных данных;
  • доводить до сведения Собственников ТСН положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

5.10. Должностные лица ТСН, допущенные к обработке персональных данных, несут персональную ответственность за соблюдение требований локальных нормативных актов ТСН по работе с персональными данными лиц, к обработке которых допущено данное должностное лицо.

5.11. Принципы и требования по обеспечению безопасности ПД распространяются на все возможные формы существования информации, такие как:

  • физические поля (электрические, акустические, электромагнитные, оптические и т. п.);
  • носители (электронные – магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флэш-накопители, бумажные носители);
  • на все возможные форматы представления ПД такие как:
  • документы;
  • голос;
  • изображения;
  • файлы;
  • почтовые сообщения;
  • базы данных;
  • записи базы данных;
  • другие информационные массивы.

5.12. Целью создания системы защиты ПД является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД, а также иных неправомерных действий, путем обеспечения:

  • конфиденциальности;
  • целостности;
  • доступности;
  • невозможности отказа от авторства;
  • учета;
  • аутентичности;
  • адекватности.

5.13. Предотвращение несанкционированного (в том числе и случайного) и незаконного доступа к информационным системам, технологиям и информационным ресурсам, результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование ПД требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием сертифицированных средств защиты информации.

5.14. К основным задачам в области обеспечения безопасности ПД относится:

  • определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах;
  • применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные законодательством уровни защищенности ПД;
  • применение процедур оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;
  • учет машинных носителей ПД;
  • обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
  • обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер;
  • разработка (актуализация) документации на систему защиты ПД;
  • сертификация применяемых средств защиты информации;
  • выбор и внедрение необходимых и достаточных мер и средств защиты ПД;
  • эксплуатация системы защиты ПД в соответствии с документацией на нее;
  • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
  • восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к ПД, обрабатываемым в информационной системе Компании, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе;
  • контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем;
  • сбор согласий на обработку ПД с субъектов ПД в случаях, установленных законодательством;
  • разработка и актуализация Перечня персональных данных обрабатываемых в Компанией;
  • контроль целей обработки ПД, соответствия обрабатываемых ПД целям обработки;
  • уничтожение ПД в установленном порядке;
  • оптимизация информационных и бизнес-процессов обработки ПД;
  • управление взаимодействиями с внешними контрагентами по вопросам обработки ПД;
  • взаимодействие с субъектами ПД по вопросам обработки их ПД;
  • контроль уровня защищенности ПД;
  • обучение персонала по вопросам защиты ПД;
  • учет лиц, допущенных к обработке ПД;
  • взаимодействие с регулирующими органами по вопросам защиты ПД;
  • реагирование на нештатные ситуации, расследование нештатных ситуаций возникающих при обработке ПД;
  • получение, при необходимости, лицензий ФСТЭК России и ФСБ России на деятельность в области защиты ПД.

5.15. Запрещается вынос (вывоз) документов, электронных или иных носителей ПД, а также их передача лицам, не допущенным к обработке ПД, без согласования с ответственным за обеспечение безопасности ПД ТСН.

5.16. При выносе устройств, хранящих ПД, за пределы контролируемой зоны для ремонта, замены и т. п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.

5.17. Копирование и составление выписок из документов, содержащих ПД разрешается исключительно в служебных целях с письменного разрешения Председателя ТСН.

5.18. Обслуживание помещения (уборка или различный ремонт помещения, инженерно-технического оборудования) проводится обслуживающим персоналом только в присутствии и под присмотром хотя бы одного из Должностных лиц ТСН, имеющего право самостоятельно находиться в помещении. В случае если возможность присмотра отсутствует, то носители информации персональных данных должны быть защищены от несанкционированного доступа (например, путем организации видеонаблюдения в помещении, размещения носителей только в запираемых шкафах и др. способами, обеспечивающими несанкционированный доступ или контроль за рисками такого доступа).

5.19. Должностные лица ТСН, обеспечивающие контроль действий обслуживающего персонала в помещении, обязаны не допускать несанкционированных действий в отношении информационной системы, бумажных и магнитных носителей информации, компонентов инженерных систем и т. п., содержащих ПД.

5.20. Капитальный и/или иной ремонт, продолжительный по времени и требующий высвобождения рабочей площади помещения, может проводиться и без присмотра, однако при этом в обязательном порядке:

  • носители информации должны быть вынесены из ремонтируемого помещения в другое контролируемое помещение;
  • по окончанию ремонта должны быть сменены ключи и коды доступа в помещение.

5.21. Для сохранения целостности и доступности ПД, а также для обеспечения непрерывности бизнес-процессов связанных с обработкой ПД, ТСН организовывает мероприятия по резервному копированию ПД.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право:

  • на доступ к его персональным данным;
  • на получение информации, касающейся обработки его персональных данных;
  • на обжалование действий или бездействий ТСН.

6.2. Субъект персональных данных вправе требовать от ТСН уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Субъект ПД имеет право отправить председателю ТСН запрос на предоставление необходимых субъекту ПД сведений, содержащих информацию об обработке его ПД. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ТСН (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ТСН, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных ТСН;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые ТСН способы обработки персональных данных;
  • сведения о лицах (за исключением Собственников ТСН), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТСН или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные действующим законодательством.

6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.

6.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

6.8. Если субъект персональных данных считает, что ТСН осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Система локальных нормативных актов по защите персональных данных ТСН

7.1. Система локальных нормативных актов — совокупность локальных нормативных актов ТСН, описывающих порядок обработки персональных данных должностными лицами ТСН.

7.2. Система ЛНА состоит из следующих актов:

  • Данная Политика,
  • Положение по защите ПД Собственников и лиц, чьи данные обрабатываются в связи с отношениями с ТСН,
  • Положение по защите ПД субъектов, чьи данные обрабатываются в связи с деловыми бизнес-отношениями с ТСН.

7.3. ТСН может в рамках своих полномочий издавать и иные локальные нормативные акты, положения, инструкции, которые будут регулировать отдельные вопросы обработки персональных данных, обязанности и права Собственников и должностных лиц ТСН.

7.4. Ответственные должностные лица за работу с ПД определяются в отдельных ЛНА, указанных в п.5.2. данной Политики, а также в иных локальных актах и распорядительных документах ТСН.

7.5. Субъекты ПД, перечень ПД, которые имеет право обрабатывать Компания, действия, которые осуществляются с ПД, определяются:

  • законодательством РФ,
  • ЛНА, входящими в систему ЛНА по ПД,
  • письменными согласиями субъектов ПД.

7.6. При изменении законодательства локальные нормативные акты, составляющие систему ЛНА по ПД Компании применяются в нормах, не противоречащих законодательству. Положения ЛНА, противоречащие законодательству, в том числе, в случае его изменения, не могут быть основанием для предъявления претензий со стороны субъектов ПД. ТСН несет ответственность только в случае осуществления незаконных действий, ущемляющих права субъекта ПД.

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля
Не копируйте текст!