Различия

Показаны различия между двумя версиями страницы.

--- pd:politika_v_otnoshenii_obrabotki_pd [2018/12/10 08:57] – [4. Категории субъектов ПДн и обрабатываемых ПДн] Алексей Пьянов
+++ pd:politika_v_otnoshenii_obrabotki_pd [2018/12/11 07:39] (текущий) – Добавлено краткое содержание Алексей Пьянов
@@ Строка 1: / Строка 1: @@
 [[ПД:Документы по защите персональных данных]] / [[ПД:Нормы]]
-Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД]]
+Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД|Приказу об утверждении политики в отношении обработки ПД]]
 ====== Политика в отношении обработки персональных данных в ООО «Активное обучение» ======
-===== 1. Основные термины и определения =====
+===== Краткое содержание =====
+ООО "Активное обучение" осуществляет обработку ПД следующих категорий субъектов ПД:
-Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
+  * работники;
+  * клиенты;
+  * сотрудники клиентов;
+  * посетители сайтов.
-Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
+Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрических данных не осуществляется.
-Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
+ПД не обрабатываются просто так, а для достижения конкретных целей. ПД, не требующиеся для конкретных целей, уничтожаются. Лишние ПД не собираются.
-Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
+ПД обрабатываются исключительно для соблюдения законодательства, предоставления услуг клиентам и обеспечения работы с кадрами (только ПД сотрудников).
-Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
+Обеспечивается безопасность ПД:
-Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
+  * есть ответственные лица;
+  * до сотрудников доводятся сведения по безопасности;
+  * используются средства защиты информации, ПО для обеспечения безопасности;
+  * предусматриваются угрозы и защита от них;
+  * ограничивается доступ в информационные системы и помещения.
-Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
+Субъекты ПД имеют право узнать, кто и как обрабатывает их данные, какие данные обрабатываются и для каких целей. Он может уточнять и уничтожать свои данные по запросу.
-Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
+===== 1. Основные термины и определения =====
-Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
+**Автоматизированная обработка персональных данных** – обработка персональных данных с помощью средств вычислительной техники.
-Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
+**Блокирование персональных данных** – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
-===== 2. Общие положения =====
+**Информационная система персональных данных** – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
+**Обезличивание персональных данных** - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
-.1. Настоящая Политика в отношении обработки персональных данных в ООО «Активное обучение» (далее – Политика) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных (далее – ПДн), а также сведения о реализуемых мерах защиты ПДн.
+**Обработка персональных данных** – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-.2. Настоящая Политика распространяется на всех работников ООО «Активное обучение» (далее – Оператор), а также на работников сторонних организаций, взаимодействующих с Оператором на основании соответствующих договоров, нормативных, правовых и организационно-распорядительных документов.
+**Оператор персональных данных (оператор)** – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
-.3. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.
+**Персональные данные** – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
-===== 3. Правовые основания обработки персональных данных =====
+**Предоставление персональных данных** – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
-.1. Оператор обрабатывает ПДн в соответствии со следующими нормативными и правовыми актами:
+**Распространение персональных данных** – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
-* ст. 23-24 Конституции Российской Федерации;
+**Уничтожение персональных данных** – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
-* ст. 86-90 Трудовым кодексом Российской Федерации;
+===== 2. Общие положения =====
-* Налоговым кодексом Российской Федерации;
-* Гражданским кодексом Российской Федерации;
+.1. Настоящая Политика в отношении обработки персональных данных в ООО «Активное обучение» (далее – Политика) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных (далее – ПДн), а также сведения о реализуемых мерах защиты ПДн.
-* Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
+.2. Настоящая Политика распространяется на всех работников ООО «Активное обучение» (далее – Оператор), а также на работников сторонних организаций, взаимодействующих с Оператором на основании соответствующих договоров, нормативных, правовых и организационно-распорядительных документов.
-* Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
+.3. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.
-* Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
+===== 3. Правовые основания обработки персональных данных =====
-* Указом Президента Российской Федерации от 17.04.2017 № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»;
+.1. Оператор обрабатывает ПДн в соответствии со следующими нормативными и правовыми актами:
-* Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
+  * ст. 23-24 Конституции Российской Федерации;
+  * ст. 86-90 Трудового кодекса Российской Федерации;
-* ст. 8 Федерального закона от 31.05.1996 № 61-ФЗ «Об обороне»;
+  * Налоговым кодексом Российской Федерации;
+  * Гражданским кодексом Российской Федерации;
-* ст. 9 Федерального закона от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
+  * Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
+  * Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
-* Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
+  * Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
+  * Указом Президента Российской Федерации от 17.04.2017 № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»;
-* Уставом Оператора.
+  * Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
+  * ст. 8 Федерального закона от 31.05.1996 № 61-ФЗ «Об обороне»;
+  * ст. 9 Федерального закона от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
+  * Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
+  * Уставом Оператора.
 ===== 4. Категории субъектов ПДн и обрабатываемых ПДн =====
@@ Строка 101: / Строка 113: @@
 .1. Оператор обрабатывает ПДн исключительно в следующих целях:
-* исполнения требований Трудового кодекса Российской Федерации;
+  * исполнения требований Трудового кодекса Российской Федерации;
+  * исполнения требований налогового законодательства Российской Федерации, в том числе в связи с исчислением и уплатой налога на доходы физических лиц, иных налогов, сборов, страховых взносов, а также в связи с предоставлением налоговых вычетов;
-* исполнения требований налогового законодательства Российской Федерации, в том числе в связи с исчислением и уплатой налога на доходы физических лиц, иных налогов, сборов, страховых взносов, а также в связи с предоставлением налоговых вычетов;
+  * исполнения требований законодательства Российской Федерации об обязательном пенсионном страховании, о социальном страховании, о формировании и представлении данных индивидуального (персонифицированного) учета о каждом застрахованном лице;
+  * обеспечение деятельности в соответствии с Уставом ООО «Активное обучение»;
-* исполнения требований законодательства Российской Федерации об обязательном пенсионном страховании, о социальном страховании, о формировании и представлении данных индивидуального (персонифицированного) учета о каждом застрахованном лице;
+  * обеспечение кадрового резерва, содействие в трудоустройстве, содействие в выборе подходящей должности;
+  * повышения эффективности сотрудников клиентов;
-* обеспечение деятельности в соответствии с Уставом ООО «Активное обучение»;
+  * дистанционного обучения сотрудников клиентов;
+  * технической поддержки сотрудников клиентов;
-* обеспечение кадрового резерва, содействие в трудоустройстве, содействие в выборе подходящей должности;
+  * оказания коммерческих услуг;
+  * исполнения требований иных нормативных правовых актов.
-* повышения эффективности сотрудников клиентов;
-* дистанционного обучения сотрудников клиентов;
-* технической поддержки сотрудников клиентов;
-* оказания коммерческих услуг;
-* исполнения требований иных нормативных правовых актов.
 ===== 7. Условия и сроки прекращения обработки персональных данных =====
@@ Строка 125: / Строка 128: @@
 .1. Оператор прекращает обработку ПДн в следующих случаях:
-* достижение целей обработки ПДн или максимальных сроков хранения – в течение 30 дней;
+  * достижение целей обработки ПДн или максимальных сроков хранения – в течение 30 дней;
+  * утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
-* утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
+  * предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
+  * невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
-* предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
+  * отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в течение 30 дней;
+  * истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
-* невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
-* отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в течение 30 дней;
-* истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
 .2. В соответствии со статьей 21, частью 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор не прекращает обработку персональных данных Субъекта и не уничтожает их в следующих случаях:
-* иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
+  * иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
+  * Оператор вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
-* Оператор вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
+  * не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
-* не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
 ===== 8. Меры обеспечения безопасности персональных данных =====
@@ Строка 153: / Строка 149: @@
 .3. Оператор предпринимает следующие организационно-технические меры:
-* назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
-* ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
+  * ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
-* ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
-* обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
+  * проверка готовности и эффективности использования средств защиты информации;
+  * реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
-* определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * регистрация и учёт действий пользователей ИСПДн;
+  * парольная защита доступа пользователей к ИСПДн;
-* разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
+  * применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
+  * осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* проверка готовности и эффективности использования средств защиты информации;
+  * применение в необходимых случаях средств межсетевого экранирования;
+  * применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
+  * обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
+  * учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* регистрация и учёт действий пользователей ИСПДн;
+  * использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
+  * проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* парольная защита доступа пользователей к ИСПДн;
+  * размещение технических средств обработки ПДн, в пределах охраняемой территории;
+  * поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
-* применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
-* осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* применение в необходимых случаях средств межсетевого экранирования;
-* применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
-* учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
-* проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* размещение технических средств обработки ПДн, в пределах охраняемой территории;
-* поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
 ===== 9. Права субъектов персональных данных =====
@@ Строка 197: / Строка 174: @@
 .1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
-* подтверждение факта обработки ПДн Оператором;
+  * подтверждение факта обработки ПДн Оператором;
+  * правовые основания и цели обработки ПДн;
-* правовые основания и цели обработки ПДн;
+  * цели и применяемые Оператором способы обработки ПДн;
+  * наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
-* цели и применяемые Оператором способы обработки ПДн;
+  * обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * сроки обработки ПДн, в том числе сроки их хранения;
-* наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
+  * порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
+  * информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
+  * иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
-* сроки обработки ПДн, в том числе сроки их хранения;
-* порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
-* информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
-* иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
 .2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.