Различия

Показаны различия между двумя версиями страницы.

--- pd:politika_v_otnoshenii_obrabotki_pd [2018/12/10 09:04] – [7. Условия и сроки прекращения обработки персональных данных] Алексей Пьянов
+++ pd:politika_v_otnoshenii_obrabotki_pd [2018/12/11 07:39] (текущий) – Добавлено краткое содержание Алексей Пьянов
@@ Строка 1: / Строка 1: @@
 [[ПД:Документы по защите персональных данных]] / [[ПД:Нормы]]
-Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД]]
+Приложение 1 к [[ПД:Приказ об утверждении политики в отношении обработки ПД|Приказу об утверждении политики в отношении обработки ПД]]
 ====== Политика в отношении обработки персональных данных в ООО «Активное обучение» ======
+===== Краткое содержание =====
+ООО "Активное обучение" осуществляет обработку ПД следующих категорий субъектов ПД:
+  * работники;
+  * клиенты;
+  * сотрудники клиентов;
+  * посетители сайтов.
+Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрических данных не осуществляется.
+ПД не обрабатываются просто так, а для достижения конкретных целей. ПД, не требующиеся для конкретных целей, уничтожаются. Лишние ПД не собираются.
+ПД обрабатываются исключительно для соблюдения законодательства, предоставления услуг клиентам и обеспечения работы с кадрами (только ПД сотрудников).
+Обеспечивается безопасность ПД:
+  * есть ответственные лица;
+  * до сотрудников доводятся сведения по безопасности;
+  * используются средства защиты информации, ПО для обеспечения безопасности;
+  * предусматриваются угрозы и защита от них;
+  * ограничивается доступ в информационные системы и помещения.
+Субъекты ПД имеют право узнать, кто и как обрабатывает их данные, какие данные обрабатываются и для каких целей. Он может уточнять и уничтожать свои данные по запросу.
 ===== 1. Основные термины и определения =====
@@ Строка 125: / Строка 149: @@
 .3. Оператор предпринимает следующие организационно-технические меры:
-* назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * назначение должностных лиц, ответственных за организацию обработки и обеспечении безопасности ПДн;
+  * ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
-* ограничение и регламентация состава работников Оператора, имеющих доступ к ПДн;
+  * ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
-* ознакомление работников Оператора с требованиями федерального законодательства и локальных нормативных актов по обработке и защите ПДн;
+  * определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
-* обеспечение учёта и хранения материальных носителей ПДн и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
+  * проверка готовности и эффективности использования средств защиты информации;
+  * реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
-* определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн), формирование на их основе моделей угроз;
+  * регистрация и учёт действий пользователей ИСПДн;
+  * парольная защита доступа пользователей к ИСПДн;
-* разработка на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности ПДн при их обработке в ИСПДн;
+  * применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
+  * осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* проверка готовности и эффективности использования средств защиты информации;
+  * применение в необходимых случаях средств межсетевого экранирования;
+  * применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* реализация разрешительной системы доступа пользователей ИСПДн к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
+  * обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
+  * учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* регистрация и учёт действий пользователей ИСПДн;
+  * использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
+  * проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* парольная защита доступа пользователей к ИСПДн;
+  * размещение технических средств обработки ПДн, в пределах охраняемой территории;
+  * поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
-* применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности ПДн при передаче по открытым каналам связи и хранении на съемных машинных носителях ПДн;
-* осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-* применение в необходимых случаях средств межсетевого экранирования;
-* применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
-* обучение работников Оператора, использующих средства защиты информации, применяемые в ИСПДн, правилам работы с ними;
-* учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-* использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
-* проведение мониторинга действий пользователей ИСПДн, проведение разбирательств по фактам нарушения требований безопасности ПДн;
-* размещение технических средств обработки ПДн, в пределах охраняемой территории;
-* поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
 ===== 9. Права субъектов персональных данных =====
@@ Строка 169: / Строка 174: @@
 .1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
-* подтверждение факта обработки ПДн Оператором;
+  * подтверждение факта обработки ПДн Оператором;
+  * правовые основания и цели обработки ПДн;
-* правовые основания и цели обработки ПДн;
+  * цели и применяемые Оператором способы обработки ПДн;
+  * наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
-* цели и применяемые Оператором способы обработки ПДн;
+  * обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * сроки обработки ПДн, в том числе сроки их хранения;
-* наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
+  * порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
+  * информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
+  * наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
+  * иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
-* сроки обработки ПДн, в том числе сроки их хранения;
-* порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
-* информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
-* наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
-* иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
 .2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.