Рекламодателям

Политика обработки персональных данных ООО «Радио Макс»

Общество с ограниченной ответственностью

«Радио Макс»

Юридический и фактический адрес:  354000, Краснодарский край, гор. Сочи, ул. Северная д. 12 к. 2

4 этаж, тел.8-862-264-00-45, corp@maksmedia.ru

ИНН 2320166986  КПП 232001001

ФИЛИАЛ «ЦЕНТРАЛЬНЫЙ» БАНКА ВТБ (ПАО), г.Москва

к/с 30101810145250000411 р/с 40702810206420002077  БИК 044525411 ОГРН 1082366002179

 

УТВЕРЖДАЮ
Директор
ООО «Радио Макс»

М.М. Микшис

24.04.2025

 

ЧАСТНАЯ ПОЛИТИКА

обработки персональных данных ООО «Радио Макс»

  1. Общие положения

1.1. Назначение политики
Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в обществе с ограниченной ответственностью «Радио Макс», являющегося  оператором персональных данных (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся прямо или косвенно к определённому, или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.

доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

Конфиденциальность информации – правовой и технический режим, обеспечивающий защиту ПДн от несанкционированного доступа, распространения или иного незаконного использования;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных,

носители персональных данных – как электронные (дискеты, компакт-диски, ленты, флеш-накопители, SSD-диски, серверы и др.), так и неэлектронные (бумажные) носители персональных данных.

1.3. Основные права Оператора
Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ        «О персональных данных» (далее – Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.
Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных (далее – ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В случае выявления ошибочных или неполных ПДн, Оператор имеет право прекратить все отношения с субъектом ПДн.
В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
Оператором могут быть получены ПДн от лица, не являющегося субъектом ПДн, при условии предоставления Оператором подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
Оператор вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора),. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ. В поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьёй 18.1 Федерального закона № 152-ФЗ, обязанность по запросу  Оператора в течение срока действия поручения Оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператором требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьёй 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.
Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
В случаях, когда Оператор поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несёт ответственность перед Оператором.

1.4. Основные обязанности Оператора
Оператор не собирает, не обрабатывает и не передаёт ПДн субъектов ПДн третьим лицам, без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
В случае выявления неправомерной обработки ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн, Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
В случае подтверждения факта неточности ПДн, Оператор на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора.
В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, осуществляет уничтожение таких ПДн или обеспечивает их уничтожение. Решение о неправомерности обработки ПДн и необходимости уничтожения ПДн принимает ответственный за организацию обработки ПДн Оператора, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом, также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта(-ов) ПДн, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
1) в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
2) в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
В случае достижения цели обработки ПДн, Оператор прекращает обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
В случае отзыва субъектом ПДн согласия на обработку его ПДн, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
В случае обращения субъекта ПДн к Оператору  с требованием о прекращении обработки ПДн, Оператор в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.
В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие ПДн. При этом Оператор уведомляет субъекта ПДн или его представителя о внесённых изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
В случае отсутствия возможности уничтожения ПДн в течение срока, указанные выше по тексту, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок, не более, чем 6 месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения ПДн осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

1.5. Основные права субъекта ПДн
Субъект ПДн принимает решение о предоставлении своих ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В целях обеспечения своих законных интересов, субъекты ПДн или его представители имеют право:
1) получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ;
3) требовать уточнение своих ПДн, их блокирование или уничтожение, в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект ПДн при отказе Оператора исключить или исправить, блокировать или уничтожить его ПДн, имеет право заявить в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие;
4) требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки ПДн субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;
5) обжаловать в суде или в уполномоченном органе по защите прав субъектов ПДн любые неправомерные действия или бездействие Оператора при обработке и защите ПДн субъекта, если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Оператором;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Оператором способы обработки ПДн;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения Оператором обязанностей, установленных статьёй 18.1 Федерального закона № 152-ФЗ;
11) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
В случае, если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Оператор или направить ему повторный запрос в целях получения сведений, и ознакомления с ПДн не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
Субъект ПДн вправе обратиться повторно или направить ему повторный запрос до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:
1) обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
4) доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5) обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

  1. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
При обработке ПДн Оператор обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
Целями обработки ПДн у Оператора являются:
1) Реализация функций работодателя

2) подготовка, заключение и исполнение гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) предоставление доступа пользователям к сервисам, информации и/или материалам, содержащимся на Сайте https://maks-fm.ru/;

4)  Проведение статистических и аналитических исследований.

 

  1. Правовые основания обработки персональных данных

Обработка персональных данных в Оператора осуществляется на следующих основаниях:
1)       Договоры с контрагентами, клиентами;
2)       Налоговый кодекс Российской Федерации;
3)       Трудовой кодекс

4)       Федеральный закон от 16 июля 1999 г. N 165-ФЗ «Об основах обязательного социального страхования»

5)       Федеральный закон от 6 декабря 2011 г. N 402-ФЗ «О бухгалтерском учете»

6)      Договоры с образовательными учреждениями  об организации практической подготовки обучающихся

 

 

  1. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

Оператор осуществляет на законной и справедливой основе обработку ПДн следующих физических лиц (субъектов ПДн):
Цель «реализация функций работодателя» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:
1) Работники:
Категории ПДн: Фамилия, имя, отчество, пол, адрес проживания, адрес регистрации, банковские реквизиты, гражданство, данные военного билета, образование, данные листка нетрудоспособности, данные полиса ОМС, данные трудовой книжки, дата рождения, доходы, занимаемая должность, звание и чины, знание иностранных языков, ИНН, квалификация, контактные сведения (номер телефона, электронная почта), место работы, место рождения, награды, паспортные данные, прежние фамилия, имя и отчество, профессия, сведения о переподготовке и повышении квалификации, сведения документов об образовании, сведения о воинском учете, сведения о трудовой деятельности, семейное положение, СНИЛС, социальное положение, состав семьи, данные водительского удостоверения, социальные льготы, специальность.

2) уволенные (уволившиеся) работники:
Категории ПДн: фамилия, имя, отчество, пол, адрес проживания, адрес регистрации, банковские реквизиты, гражданство, данные военного билета, образование, данные листка нетрудоспособности, данные полиса ОМС, данные трудовой книжки, дата рождения, доходы, занимаемая должность, звание и чины, знание иностранных языков, ИНН, квалификация, контактные сведения (номер телефона, электронная почта), место работы, место рождения, награды, паспортные данные, прежние фамилия, имя и отчество, профессия, сведения о переподготовке и повышении квалификации, сведения документов об образовании, сведения о воинском учете, сведения о трудовой деятельности, семейное положение, СНИЛС, социальное положение, состав семьи, данные водительского удостоверения, социальные льготы, специальность.

3) учащиеся, студенты:

Категории ПДн: фамилия, имя, отчество, пол, адрес проживания, адрес регистрации, гражданство, данные военного билета, образование, данные листка нетрудоспособности, данные полиса ОМС, данные трудовой книжки, дата рождения, доходы, знание иностранных языков, ИНН, квалификация, контактные сведения (номер телефона, электронная почта), место рождения, паспортные данные, прежние фамилия, имя и отчество, профессия, сведения о переподготовке и повышении квалификации, сведения документов об образовании, сведения о воинском учете, сведения о трудовой деятельности, семейное положение, СНИЛС, социальное положение, состав семьи, данные водительского удостоверения, социальные льготы, специальность.

Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.
Срок обработки ПДн: до достижения целей обработки, срок хранения ПДн: до достижения целей обработки.

Цель «подготовка, заключение и исполнение гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:
1) контрагенты, клиенты:
Иные категории ПДн: фамилия, имя, отчество, банковские реквизиты, ИНН, ОГРНИП, адрес регистрации, паспортные данные, контактные сведения (номер телефона, электронная почта).
Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.
Срок обработки ПДн: до достижения целей обработки, срок хранения ПДн: до достижения целей обработки.

Цель «предоставление доступа пользователям к сервисам, информации и/или материалам, содержащимся на Сайте https:// maks-fm.ru» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:
1) пользователи сайта:
Категории ПДн:. IP-адрес устройств пользователя, информация из cookies, информация о браузере и адресе страницы (или иной программе, которая осуществляет доступ к показу сайта), время доступа Пользователя к Сайту и историю всех действий Пользователя на Сайте, реферер (адрес предыдущей страницы).
Способ обработки персональных данных: автоматизированная обработка персональных данных со следующими действиями с персональными данными: запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.
Срок обработки ПДн: 10 лет с даты предоставления Пользователем своих ПДн

Цель «Проведение статистических и аналитических исследований» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:
1) пользователи сайта:

Категории ПДн:.Обезличенные cookie-файлы, история посещений.

Способ обработки персональных данных: автоматизированная обработка персональных данных со следующими действиями с персональными данными: запись; извлечение; использование; накопление; передача (доступ); передача (предоставление); сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.
Срок обработки ПДн: до достижения целей обработки, срок хранения ПДн: до достижения целей обработки.

2) контрагенты, клиенты:

Категории ПДн:.Обезличенная статистика по заявкам, заказам.

Способ обработки персональных данных: смешанный тип обработки персональных данных со следующими действиями с персональными данными: запись; извлечение; использование; накопление; передача (доступ); передача (предоставление);сбор; систематизация; удаление; уничтожение; уточнение (обновление, изменение); хранение.

Срок обработки ПДн: до достижения целей обработки, срок хранения ПДн: до достижения целей обработки.

  1. Порядок и условия обработки персональных данных

5.1. Перечень действий с ПДн субъектов, осуществляемых Оператором осуществляются следующие действия с ПДн:
1) в рамках цели обработки «Реализация функций работодателя»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
2) в рамках цели обработки «Подготовка, заключение и исполнение гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение;
3) в рамках цели обработки «Предоставление доступа пользователям к сервисам, информации и/или материалам, содержащимся на Сайте https:// maks-fm.ru»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), уничтожение, использование, удаление, извлечение.

4) в рамках цели обработки «Проведение статистических и аналитических исследований» Оператор может использовать обезличенные данные, которые не позволяют идентифицировать субъекта ПДн. Такая обработка осуществляется без дополнительного согласия в соответствии с п. 9. ст. 6 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

5.2. Способы обработки ПДн
Оператором  применяются следующие способы обработки ПДн:
1) в рамках цели обработки «Реализация функций работодателя» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
2) в рамках цели обработки «Подготовка, заключение и исполнение гражданско-правового договора,, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;
3) в рамках цели обработки «Предоставление доступа пользователям к сервисам, информации и/или материалам, содержащимся на Сайте https:// maks-fm.ru » осуществляется автоматизированная обработка персональных данных с передачей по внутренней сети и сети интернет;

4) в рамках цели обработки «Проведение статистических и аналитических исследований» осуществляется смешанный способ обработки ПДн с передачей агрегированных данных в системы бизнес-аналитики в обезличенном виде по внутренней сети и сети интернет.

5.3. Передача ПДн третьим лицам
В случае поручения обработки ПДн третьему лицу, ему предъявляются требования принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн, в том числе: определение угроз безопасности ПДн при их обработке в информационных системах; учёт машинных носителей ПДн; обнаружение фактов несанкционированного доступа к ПДн и принятием мер по их недопущению в дальнейшем; контроль принимаемых мер по обеспечению безопасности ПДн и уровня (класса) защищённости информационных систем с ПДн.
Кроме того, Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.4. Меры по обеспечению безопасности ПДн при их обработке
Оператор, при обработке ПДн, принимает необходимые правовые, организационные и технические меры, и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается Оператором, в частности, следующими мерами:
1) оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных»;
2) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;
3) ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
4) издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5) учёт машинных носителей персональных данных;
6) назначение ответственного за организацию обработки персональных данных;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
9) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
10) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
11) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
12) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
14) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных.

15) Доступ к информационным системам, содержащим персональные данные, предоставляется исключительно уполномоченным сотрудникам на основании приказа руководителя организации. К работе с персональными данными допускаются только те лица, чьи должностные обязанности непосредственно связаны с обработкой персональных данных и которые ознакомлены с требованиями законодательства о защите персональных данных. Объем доступа каждого сотрудника к персональным данным ограничивается строго в соответствии с его служебными обязанностями

5.5. Базы хранения ПДн  Оператора не находятся за пределами территории Российской Федерации.

5.6. Сроки обработки ПДн
Персональные данные субъектов, обрабатываемые Оператором, подлежат уничтожению либо обезличиванию в случае:
1) достижения целей обработки ПДн или утраты необходимости в достижении этих целей;
2) отзыва субъектом ПДн согласия на обработку его ПДн;
3) истечение срока действия согласия субъекта ПДн на обработку его ПДн;
4) отсутствия возможности обеспечить правомерность обработки ПДн;
5) прекращения деятельности Оператора.

5.7. Условия обработки ПДн без использования средств автоматизации
При обработке ПДн, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при такой их обработке обособляются от иной информации, в частности, путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

5.8. Оценка эффективности принимаемых мер защиты персональных данных

Оператор регулярно оценивает эффективность принимаемых мер защиты персональных данных при их обработке в информационных системах персональных данных (далее – оценка эффективности)

Оценка эффективности направлена на выявление уязвимостей, предотвращение нарушений и соответствие требованиям Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказ ФСБ от 10 июля 2014 г. N 378, приказ ФСТЭК от 18 февраля 2013 г. N 21

Цели и задачи оценки эффективности:

  • Оценка рисков и определение угроз безопасности

– первичное определение  и актуализация угроз;

– разработка методов выявления угроз (анализ процессов обработки ПДн, сценарии нарушений, изучение инцидентов);

– анализ источников данных о рисках (результаты внутреннего контроля, отчеты ИБ-службы, актуальные киберугрозы).

  • Оценка соответствия мер защиты выявленным угрозам:

– проверка технических и организационных мер.

– анализ уязвимостей.

  • Рекомендации по корректировке мер защиты ПДн

Периодичность оценки эффективности принимаемых мер по обеспечению безопасности персональных данных:

1) обязательная оценка проводится до ввода информационной системы персональных данных в эксплуатацию;

2) плановая оценка проводится не реже одного раза в 3 года;

3) внеплановая оценка может проводиться по мере необходимости в случаях:

– изменения условий обработки персональных данных;

– выявления нарушений требований к защите персональных данных;

– изменений в информационной системе, влияющих на безопасность обработки;

– по предписанию уполномоченного органа по защите прав субъектов персональных данных

Оценка эффективности включает:

  • определение и актуализация угроз безопасности;
  • аудит технических мер защиты (Системы защиты ПДн, антивирусы, разграничение доступа);
  • проверку организационных мер (соблюдение регламентов сотрудниками);
  • анализ инцидентов (утечки, несанкционированный доступ);
  • тестирование устойчивости ИС (пентесты, анализ журналов событий).

Ответственность за оценку эффективности возлагается:

  • на ответственного за организацию обработки ПДн – общий контроль;
  • на ответственного за обеспечение безопасности ПДн в информационной системе – технические проверки.

Результаты оценки оформляются в виде Отчета, который включает:

  • выявленные уязвимости и риски (угрозы);
  • план мероприятий по устранению нарушений;
  • сроки исполнения и ответственных лиц.
  • отчет утверждается руководителем организации и хранится не менее 3 лет.

О всех существенных нарушениях (утечки, несанкционированный доступ) уведомляется:

  • руководство компании;
  • уполномоченный орган по защите прав субъектов персональных данных;

При оценке эффективности принимаемых мер защиты персональных данных учитываются типы угроз безопасности, определенные в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,  результаты оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», а также данные внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.

Типовая форма Отчета приведена в Приложении № 1 к настоящей Политике

 

5.9. Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных» (далее – оценка степени вреда)

Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:

– Высокую в случаях:

обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации 3;

обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Закона о персональных данных 4;

поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

– Среднюю в случаях:

распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети «Интернет» оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;

обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой 5.

– Низкую в случаях:

ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных 6;

назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Оценка степени вреда субъекту персональных данных осуществляется ответственным за

организацию обработки персональных данных.

Этапы проведения оценки степени вреда:

  • Фиксацию инцидента (дата, время, тип нарушения);
  • Анализ обрабатываемых ПДн;
  • Определение круга пострадавших субъектов ПДн;
  • Оценку потенциальных рисков;
  • Подготовку Акта с указанием степени вреда и мер по устранению последствий (далее – Акт).

Акт может быть оформлен на бумажном носителе, подписанном собственноручно

лицом (лицами), производившими оценку, либо в виде электронного документа, подписанного в соответствии электронной подписью.

Типовая форма Акта приведена в Приложении № 2 к настоящей Политике

Оценка степени вреда подлежит пересмотру  не реже одного раза в 2 года

 

5.10 Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам.

 

Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативными правовыми актами, касающимися обработки персональных данных (далее – внутренний контроль соответствия обработки персональных данных, внутренний контроль)

Цель  внутреннего контроля соответствия обработки персональных данных: проверка соответствия установленных процедур обработки ПДн требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Оператора

Форма и содержание внутреннего контроля соответствия обработки персональных данных:

– регулярные проверки соблюдения политик и инструкций.

– контроль прав доступа сотрудников.

– мониторинг журналов обработки ПДн.

– аудит выполнения требований нормативно-правовых актов, касающихися обработки персональных данных.

Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.

Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных, руководителями направлений деятельности и структурных подразделений Оператора в ходе мероприятий по обработке персональных данных.

Ответственный за организацию обработки персональных данных Оператора имеет право:

  • запрашивать у сотрудников Оператора информацию, необходимую для реализации полномочий;
  • требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства РФ;
  • вносить руководителю оператора  предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства РФ в отношении обработки персональных данных.

Комиссионный внутренний контроль осуществляется комиссией, образуемой приказом руководителя Оператора  из числа сотрудников Оператора. Периодичность проверки – не реже одного раза в год.

Комиссионные проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного руководителем Оператора плана осуществления комиссионного внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии, или на основании поступившего Оператору письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

Внеплановые проверки организуются в течение трех рабочих дней с момента поступления соответствующего заявления.

В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.

При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должно быть полностью, объективно и всесторонне установлено соответствие по следующим положениям:

  • наличие, учет, порядок хранения и обезличивания персональных данных;
  • порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
  • порядок и условия применения средств защиты информации;
  • эффективность принимаемых мер по обеспечению безопасности персональных данных;
  • состояние учета машинных носителей персональных данных;
  • соблюдение правил доступа к персональным данным;
  • наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
  • мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • осуществление мероприятий по обеспечению целостности персональных данных.

В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки персональных данных в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

Срок проведения проверки комиссией не может составлять более 20 дней со дня принятия решения о ее проведении.

Результаты проверки оформляются в виде акта  проведения внутренней проверки. Типовая форма Акта приведена в Приложении № 3 к настоящей Политике

При выявлении в ходе проверки нарушений ответственным за организацию обработки персональных данных либо председателем комиссии в акте делается запись о мероприятиях по устранению нарушений и сроках исполнения.

Акты хранятся у ответственного за организацию обработки персональных данных в течение текущего года. Уничтожение актов проводится ответственным за организацию обработки персональных данных самостоятельно в январе года, следующего за проверочным годом.

О результатах проверки и мерах, необходимых для устранения нарушений, руководителю Оператора  докладывает ответственный за организацию обработки персональных данных либо председатель комиссии.

 

 

  1. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При устном обращении либо письменном запросе субъекта ПДн или его представителя на доступ к ПДн субъекта, Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.
Сведения о наличии и обработке ПДн предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса от субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором  (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором , подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Доступ субъекта ПДн или его представителя к ПДн субъекта Оператор предоставляет только под контролем ответственного за организацию обработки ПДн (далее – Ответственный) Оператора .
Ответственный Оператора принимает решение о предоставлении доступа субъекту ПДн или его представителю к ПДн указанного субъекта.
В случае, если данные, предоставленные субъектом ПДн или его представителем не достаточны для установления его личности или предоставление ПДн нарушают конституционные права и свободы других лиц, Ответственный Оператора подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо от даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Для предоставления доступа субъекту ПДн или его представителя к ПДн субъекта, Ответственный Оператора привлекает сотрудников структурного подразделения (отдела), обрабатывающих ПДн субъекта, по согласованию с руководителем этого структурного подразделения (отдела).
Оператор предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящиеся к этому субъекту ПДн.
Сведения о наличии ПДн Оператор предоставляет субъекту ПДн или его представителю в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Контроль предоставления сведений субъекту ПДн или его представителю осуществляет Ответственный Оператора.
Сведения о наличии ПДн должны быть предоставлены субъекту ПДн или его представителю при ответе на запрос или при обращении в течение 10 рабочих дней от даты получения запроса (обращения) субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае отказа  Оператора в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Оператор предоставляет в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:
1) обработка ПДн, включая ПДн, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
4) доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5) обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

  1. Регламент реагирования, в случае запроса уполномоченного органа по защите прав субъектов персональных данных

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ, Оператор сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 10 дней с даты получения такого запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет Ответственный Оператора, при необходимости с привлечением сотрудников Оператора.
В течение установленного срока, Ответственный Оператора  подготавливает и направляет в уполномоченный орган по защите прав субъектов ПДн мотивированный ответ и другие необходимые документы.

 

  1. Порядок хранения и уничтожения персональных данных

 

Целью установления настоящего Порядка является обеспечение защиты прав и свобод субъектов ПДн при обработке их персональных данных.

Хранение носителей, содержащих ПДн

Компьютеры, содержащие ПДН, компоненты информационных систем персональных данных располагаются в помещениях, исключающих неконтролируемое проникновение или пребывания в этих помещениях посторонних лиц.

Хранение бумажных документов, содержащих ПДН, осуществляется в шкафах, оборудованных запирающим устройством.

Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении.

Правила уничтожения носителей, содержащих персональные данные

Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:

  • быть конфиденциальным, исключая возможность последующего восстановления;
  • оформляться юридически, в частности, актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных Оператора;
  • уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

Порядок уничтожения носителей, содержащих персональные данные

Носители, содержащие персональные данные субъектов персональных данных, уничтожаются в специально отведенном для этих целей помещении комиссией по уничтожению персональных данных, утвержденной приказом руководителя Оператора (далее – Комиссия).

Носители, содержащие персональные данные субъектов персональных данных, уничтожаются Комиссией в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных либо утраты необходимости в их достижении, а также в случае, если истек срок их хранения.

Комиссия производит отбор бумажных носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.

На все отобранные к уничтожению документы составляется акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению.

В актах о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению исправления не допускаются.

Комиссия проверяет наличие всех документов, включенных в акт о выделении носителей, содержащих персональные данные субъектов персональных данных, к уничтожению.

По окончании сверки акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению подписывается всеми членами Комиссии и утверждается проректором по направлению.

Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится после утверждения акта в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

  • уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
  • уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  • подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  • в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

Порядок сдачи макулатуры

Документы по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении подлежат уничтожению путем сдачи организациям, собирающим вторсырье (пункты приема макулатуры).

Выделенные документы по акту о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению передаются к уничтожению в упакованном виде.

Документы, подлежащие вывозу, не должны содержать бумагу и картон, не пригодные для переработки; бумагу и картон, покрытые полиэтиленом и другими полимерными пленками; материал, выделяющий ядовитые и токсичные вещества.

Документы, подлежащие вывозу, не должны содержать:

  • тряпье, веревку, шпагат из лубяных волокон и полимеров;
  • металлические и деревянные изделия, кусочки стекла и керамики, камень, уголь, слюду, целлофан, целлулоид, полимерные материалы в виде изделий (пленок, гранул), пенопласт, искусственную и натуральную кожу, клеенку, битум, парафин, остатки химических и минеральных веществ и красок;
  • влажность документов, подлежащая вывозу, должна быть не более 10 процентов.

Сдача оформляется приемо-сдаточными накладными, данные которых (дата сдачи, номер накладной, вес сданной макулатуры).

Отобранные к уничтожению документы перед сдачей на переработку в качестве макулатуры должны в обязательном порядке измельчаться до степени, исключающей возможность прочтения текста.

Порядок оформления документов об уничтожении персональных данных

Если обработка персональных данных осуществлялась без использования средств автоматизации, об уничтожении носителей, содержащих персональные данные, Комиссия составляет и подписывает акт об уничтожении персональных данных.

Если обработка персональных данных осуществлялась с использованием средств автоматизации, об уничтожении носителей, содержащих персональные данные, Комиссия составляет и подписывает акт об уничтожении персональных данных, а также осуществляет выгрузку из журнала регистрации событий в информационной системе персональных данных.

Если обработка персональных данных осуществлялась одновременно с использованием средств автоматизации и без использования средств автоматизации, об уничтожении носителей, содержащих персональные данные, Комиссия составляет и подписывает акт об уничтожении персональных данных, а также осуществляет выгрузку из журнала регистрации событий в информационной системе персональных данных.

Акт об уничтожении персональных данных составляется по установленной форме. Акт об уничтожении персональных данных может быть составлен как в бумажной, так и электронной форме.

 

В акте указываются:

  • наименование и адрес Оператора;
  • наименование организации, которая осуществляла обработку персональных данных по поручения Оператора;
  • Ф. И. О. сотрудников, чьи персональные данные были уничтожены;
  • Ф. И. О. и должности сотрудников, уничтоживших персональные данные, а также их подписи;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя – в случае обработки персональных данных без использования средств автоматизации;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные – в случае обработки персональных данных с использованием средств автоматизации;
  • способ уничтожения персональных данных;
  • причина уничтожения персональных данных;
  • дата уничтожения персональных данных.

Выгрузка из журнала регистрации событий в информационной системе персональных данных Оператора содержит:

  • Ф. И. О. сотрудников, чьи персональные данные были уничтожены;
  • перечень категорий уничтоженных персональных данных;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
  • причину уничтожения персональных данных;
  • дату уничтожения персональных данных.

Факт уничтожения носителей, содержащих персональные данные субъектов персональных данных, фиксируется в журнале учета документов, переданных на уничтожение. Данный документ является документом конфиденциального характера и вместе с актом об уничтожении персональных данных и выгрузкой из журнала хранится в помещении отдела кадров в течение трех лет. По истечении срока хранения акт об уничтожении персональных данных и выгрузка из журнала, передаются в архив Оператора на хранение.

 

 

 

Приложение № 1 Типовая форма отчета оценки эффективности мер  защиты персональных данных

Бланк организации

 

УТВЕРЖДАЮ

«Должность»

«Название организации»

___________/____________

«_______»__________20___г.

 

г. Сочи                                                                                                  «___»_____________20_____

ОТЧЕТ №__

оценки  эффективности мер  защиты персональных данных

 

Дата проведения оценки:_____

Основание: Политика обработки персональных данных _________________________, ст. 18.1. Федерального закона № 152-ФЗ, Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказ ФСБ от 10 июля 2014 г. N 378, приказ ФСТЭК от 18 февраля 2013 г. N 21

Период оценки:_____________

 

Персональные данные субъектов персональных данных обрабатываются в следующих информационных системах:

  • Сайт https:// maks-fm.ru
  • Кадрово-бухгалтерская система «1С»
  • CRM «1С-Битрикс24»

 

Мера защитыСоответствие требованиям (Соответствует/Не соответствует)
Криптографическая защита информации 
Разграничение доступа 
идентификация и аутентификация субъектов доступа и объектов доступа 
Защищенный удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети 
Антивирусная защита 
Организация режима обеспечения безопасности помещений, в которых размещена информационная система 
Обеспечение сохранности носителей персональных данных 
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей 
 Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 
назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе. 

 

Выводы и рекомендации: Соответствие/Несоответствие  Федеральному закону № 152-ФЗ

Типы угроз безопасности: угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе (2 тип угроз по модели ФСТЭК/РКН)

Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются следующие:

– угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;

– утечка данных (несанкционированный доступ к ПДн);

– угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;

– модификация данных (изменение целостности информации, в том числе путем воздействия вредоносного кода);

–  уничтожение данных (потеря целостности ПДн);

– блокирование доступа  (отказ в обслуживании, DDoS-атаки).

 

Меры по повышению эффективности (устранению фактов нарушений):_________________

 

Ответственный за организацию обработки персональных данных ________________ Ф.И.О.

(подпись)

 

Ответственный за обеспечение безопасности

персональных данных в информационной системе ___________________________ Ф.И.О.

(подпись)

 

 

 

Приложение № 2 Типовая форма акта оценки вреда субъекту персональных данных

Бланк организации

 

АКТ №__

оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»

г. Сочи                                                                                                 «___»_____________20_____

 

  1. Ответственным за организацию обработки персональных данных с целью оценки вреда субъекту персональных данных проведена «___»_______20__г. оценка вреда субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» и установлено следующее:
  2. Персональные данные субъектов персональных данных обрабатываются в следующих информационных системах:
  • Сайт https:// maks-fm.ru
  • Кадрово-бухгалтерская система «1С»
  • CRM «1С-Битрикс24»
  1. Оператор осуществляет обработку персональных данных в дополнительных целях, отличных от первоначальной.
  2. Степень вреда, который может быть причинен субъектам персональных данных:___________ (Низкая/Средняя/Высокая)
  3. Защищенность информации в информационных системах ООО «__________» соответствует требованиям, установленным Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

 

 

Ответственный за организацию обработки персональных данных     _______________ Ф.И.О.

(Подпись)

 

 

 

 

 

 

 

 

 

 

 

 

Приложение № 3 Типовая форма акта внутреннего контроля соответствия обработки персональных данных

 

Акт №__

внутреннего контроля соответствия обработки персональных данных

 

г. Сочи                                                                                                  «___»_____________20_____

 

 

  1. Результаты рассмотрения вопросов по предметам контроля:

 

Предмет контроляРезультат

рассмотрения

Примечание
Документы, определяющие основания обработки персональных данныхДокументы, регулирующие вопросы обработки персональных данных имеются— Политика обработки персональных данных

– Перечень персональных данных, обрабатываемых у Оператора

Утвержденные списки работников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими трудовых обязанностейУтвержденный список должностных лиц имеетсяПеречень лиц, допущенных к работе с персональными данными
Утвержденные перечни информационных систем персональных данных, эксплуатируемых у ОператораПеречень информацион-ных систем персональных данных утвержден 
Своевременность мероприятий по уничтожению либо обезличиванию персональных данных, обрабатываемых у Оператора, в связи с достижением целей обработки или утраты необходимости в достижении этих целейМероприятия проводятся регулярно, сведения заносятся в Журнал уничтожения персональных данных 
Условия хранения и состояние учета машинных носителей персональных данныхХранение машинных носителей персональных данных соответствует предъявляемым требованиям 
Порядок и условия применения средств защиты информации при наличии таковыхТребования антивирусной защиты соблюдаются. Проводится проверка корректности расположения мониторов АРМ, исключающее несанкционированный просмотр экранов. Проводится выборочная проверка АРМ на предмет наличия возможных вредоносных программ и запрещенных информационных ресурсов.На АРМ установлен антивирус Kaspersky
Соблюдение требований к паролям доступаТребования к паролям доступа соблюдаются 
Отсутствие неправомерно размещенных персональных данных граждан разделах официального сайта ОператораНеправомерно размещенных персональных данных граждан на официальном сайте администрации сельского поселения не выявлено 

 

 

  1. Предложения комиссии: Нарушений в области сбора, хранения и обработки персональных данных не выявлено.