Различия

Показаны различия между двумя версиями страницы.

--- pd:politika_v_otnoshenii_obrabotki_pd [2018/12/10 08:57] – [3. Правовые основания обработки персональных данных] Алексей Пьянов
+++ pd:politika_v_otnoshenii_obrabotki_pd [2018/12/11 07:39] (текущий) – Добавлено краткое содержание Алексей Пьянов
@@ Строка 1: / Строка 1: @@
 [[ПД:Документы по защите персональных данных]] / [[ПД:Нормы]]
-Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД]]
+Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД|Приказу об утверждении политики в отношении обработки ПД]]
 ====== Политика в отношении обработки персональных данных в ООО «Активное обучение» ======
+===== Краткое содержание =====
+ООО "Активное обучение" осуществляет обработку ПД следующих категорий субъектов ПД:
+  * работники;
+  * клиенты;
+  * сотрудники клиентов;
+  * посетители сайтов.
+Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрических данных не осуществляется.
+ПД не обрабатываются просто так, а для достижения конкретных целей. ПД, не требующиеся для конкретных целей, уничтожаются. Лишние ПД не собираются.
+ПД обрабатываются исключительно для соблюдения законодательства, предоставления услуг клиентам и обеспечения работы с кадрами (только ПД сотрудников).
+Обеспечивается безопасность ПД:
+  * есть ответственные лица;
+  * до сотрудников доводятся сведения по безопасности;
+  * используются средства защиты информации, ПО для обеспечения безопасности;
+  * предусматриваются угрозы и защита от них;
+  * ограничивается доступ в информационные системы и помещения.
+Субъекты ПД имеют право узнать, кто и как обрабатывает их данные, какие данные обрабатываются и для каких целей. Он может уточнять и уничтожать свои данные по запросу.
 ===== 1. Основные термины и определения =====
-Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
+**Автоматизированная обработка персональных данных** – обработка персональных данных с помощью средств вычислительной техники.
-Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
+**Блокирование персональных данных** – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
-Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
+**Информационная система персональных данных** – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
-Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
+**Обезличивание персональных данных** - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
-Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
+**Обработка персональных данных** – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
+**Оператор персональных данных (оператор)** – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
-Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
+**Персональные данные** – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
-Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
+**Предоставление персональных данных** – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
-Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
+**Распространение персональных данных** – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
-Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
+**Уничтожение персональных данных** – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
 ===== 2. Общие положения =====
@@ Строка 41: / Строка 65: @@
   * ст. 23-24 Конституции Российской Федерации;
-  * ст. 86-90 Трудовым кодексом Российской Федерации;
+  * ст. 86-90 Трудового кодекса Российской Федерации;
   * Налоговым кодексом Российской Федерации;
   * Гражданским кодексом Российской Федерации;
   * Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
-  * Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
+  * Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
   * Федеральным законом от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
   * Указом Президента Российской Федерации от 17.04.2017 № 171 «О мониторинге и анализе результатов рассмотрения обращений граждан и организаций»;
@@ Строка 89: / Строка 113: @@
 .1. Оператор обрабатывает ПДн исключительно в следующих целях:
-* исполнения требований Трудового кодекса Российской Федерации;
+  * исполнения требований Трудового кодекса Российской Федерации;
+  * исполнения требований налогового законодательства Российской Федерации, в том числе в связи с исчислением и уплатой налога на доходы физических лиц, иных налогов, сборов, страховых взносов, а также в связи с предоставлением налоговых вычетов;
-* исполнения требований налогового законодательства Российской Федерации, в том числе в связи с исчислением и уплатой налога на доходы физических лиц, иных налогов, сборов, страховых взносов, а также в связи с предоставлением налоговых вычетов;
+  * исполнения требований законодательства Российской Федерации об обязательном пенсионном страховании, о социальном страховании, о формировании и представлении данных индивидуального (персонифицированного) учета о каждом застрахованном лице;
+  * обеспечение деятельности в соответствии с Уставом ООО «Активное обучение»;
-* исполнения требований законодательства Российской Федерации об обязательном пенсионном страховании, о социальном страховании, о формировании и представлении данных индивидуального (персонифицированного) учета о каждом застрахованном лице;
+  * обеспечение кадрового резерва, содействие в трудоустройстве, содействие в выборе подходящей должности;
+  * повышения эффективности сотрудников клиентов;
-* обеспечение деятельности в соответствии с Уставом ООО «Активное обучение»;
+  * дистанционного обучения сотрудников клиентов;
+  * технической поддержки сотрудников клиентов;
-* обеспечение кадрового резерва, содействие в трудоустройстве, содействие в выборе подходящей должности;
+  * оказания коммерческих услуг;
+  * исполнения требований иных нормативных правовых актов.
-* повышения эффективности сотрудников клиентов;
-* дистанционного обучения сотрудников клиентов;
-* технической поддержки сотрудников клиентов;
-* оказания коммерческих услуг;
-* исполнения требований иных нормативных правовых актов.
 ===== 7. Условия и сроки прекращения обработки персональных данных =====
@@ Строка 113: / Строка 128: @@
 .1. Оператор прекращает обработку ПДн в следующих случаях:
-* достижение целей обработки ПДн или максимальных сроков хранения – в течение 30 дней;
+  * достижение целей обработки ПДн или максимальных сроков хранения – в течение 30 дней;
+  * утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
-* утрата необходимости в достижении целей обработки ПДн – в течение 30 дней;
+  * предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
+  * невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
-* предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
+  * отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в течение 30 дней;
+  * истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
-* невозможность обеспечения правомерности обработки ПДн – в течение 10 дней;
-* отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в течение 30 дней;
-* истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
 .2. В соответствии со статьей 21, частью 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор не прекращает обработку персональных данных Субъекта и не уничтожает их в следующих случаях:
-* иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
+  * иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
+  * Оператор вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
-* Оператор вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
+  * не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
-* не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
 ===== 8. Меры обеспечения безопасности персональных данных =====
@@ Строка 141: / Строка 149: @@
 .3. Оператор предпринимает следующие организационно-технические меры:
-* назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
-* ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
+  * ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
-* ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
-* обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
+  * проверка готовности и эффективности использования средств защиты информации;
+  * реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
-* определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * регистрация и учёт действий пользователей ИСПДн;
+  * парольная защита доступа пользователей к ИСПДн;
-* разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
+  * применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
+  * осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* проверка готовности и эффективности использования средств защиты информации;
+  * применение в необходимых случаях средств межсетевого экранирования;
+  * применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
+  * обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
+  * учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* регистрация и учёт действий пользователей ИСПДн;
+  * использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
+  * проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* парольная защита доступа пользователей к ИСПДн;
+  * размещение технических средств обработки ПДн, в пределах охраняемой территории;
+  * поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
-* применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
-* осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* применение в необходимых случаях средств межсетевого экранирования;
-* применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
-* учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
-* проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* размещение технических средств обработки ПДн, в пределах охраняемой территории;
-* поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
 ===== 9. Права субъектов персональных данных =====
@@ Строка 185: / Строка 174: @@
 .1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
-* подтверждение факта обработки ПДн Оператором;
+  * подтверждение факта обработки ПДн Оператором;
+  * правовые основания и цели обработки ПДн;
-* правовые основания и цели обработки ПДн;
+  * цели и применяемые Оператором способы обработки ПДн;
+  * наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
-* цели и применяемые Оператором способы обработки ПДн;
+  * обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * сроки обработки ПДн, в том числе сроки их хранения;
-* наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
+  * порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
+  * информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
+  * иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
-* сроки обработки ПДн, в том числе сроки их хранения;
-* порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
-* информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
-* иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
 .2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.