Образец Политики обработки персональных данных для организации. В конце статьи выложен образец в формате MS Word для скачивания.

С примерным перечнем документов по можете ознакомиться в данной статье

УТВЕРЖДАЮ
Директор ООО «________»

А. А. Иванов
«____»______________2017г.

ПОЛИТИКА обработки персональных данных ООО «____________»

1. Общие положения.

1.1. Настоящая Политика обработки персональных данных (далее - Политика обработки ПДн) ООО «________» (далее – Оператор), ИНН _________, расположенного по адресу: __________________, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «_______» вопросы обработки персональных данных работников ООО «______» и других субъектов персональных данных.

2. Цели обработки персональных данных.

Персональные данные обрабатываются Оператором в следующих целях:
1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
— выполнение требований законодательства в сфере труда и налогообложения;
— ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
— выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами ООО «________» (далее – субъекты персональных данных).
2) осуществления прав и законных интересов ООО «_____» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «______», или третьих лиц либо достижения общественно значимых целей;
3) в иных законных целях.

3. Правовое основание обработки персональных данных.

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
4) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
7) приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
8) приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9) приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
10) Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
11) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Перечень действий с персональными данным.

При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Состав обрабатываемых персональных данных.

5.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:
— сотрудники Оператора;
— клиенты Оператора;
— контрагенты Оператора;
— физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.
5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «_______» не осуществляется.

6. Обработка персональных данных.
6.1. Обработка персональных данных в ООО «__________» осуществляется следующими способами:
не автоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

7. Обеспечение защиты персональных данных при их обработке Оператором.
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Право субъекта персональных данных на доступ к его персональным данным.
8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

• 1. Общие положения
  • 1.1. Политика в отношении обработки персональных данных (далее - Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Общество с ограниченной ответственностью «СИТИЛИНК» (далее - Оператор).
  • 1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»).
  • 1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.
• 2. Сведения об операторе
  • 2.1. Оператор ведет свою деятельность по адресу 107207, г.Москва, Щелковское шоссе, д.77, стр.1, каб. 139
• 3. Сведения об обработке персональных данных
  • 3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.
  • 3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.
  • 3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
  • 3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
• 4. Обработка персональных данных клиентов
  • 4.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее - клиентов).
  • 4.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью:
    • - информировать о новых товарах, специальных акциях и предложениях;
    • - заключение и исполнение условий договора.
  • 4.3. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого клиентами и/или их законными представителями путем совершения конклюдентных действий на настоящем интернет-сайте, в том числе, но не ограничиваясь, оформлением заказа, регистрацией в личном кабинете, подпиской на рассылку, в соответствии с настоящей Политикой.
  • 4.4. Оператор обрабатывает персональные данные клиентов не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства РФ.
  • 4.5. Оператор обрабатывает следующие персональные данные клиентов:
    • - Фамилия, имя, отчество;
    • - Дата рождения;
    • - Адрес;
    • - Номер контактного телефона;
    • - Адрес электронной почты.
• 5. Сведения об обеспечении безопасности персональных данных
  • 5.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • 5.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
    • - обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
    • - во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее - Положение) и иные локальные акты;
    • - производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
    • - осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
    • - устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
    • - производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
    • - производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
    • - применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
    • - осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • - производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
    • - осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
• 6. Права субъектов персональных данных
  • 6.1. Субъект персональных данных имеет право:
    • - на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
    • - на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • - на отзыв данного им согласия на обработку персональных данных;
    • - на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
    • - на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  • 6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Обращаем ваше внимание, что с «01» октября 2018 года юридический адрес ООО «Ситилинк» изменен на: 107497, г. Москва, ул. Амурская, д. 7, стр. 1, пом. II, эт. 1, ком. 21

УТВЕРЖДЕНА приказом ЗАО «ПФ «СКБ Контур» от 29.12.2012 № 299

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ЗАО «ПФ «СКБ Контур» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
• Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
• Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
• Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
• Устав ЗАО «ПФ «СКБ Контур»;
• Регламент Удостоверяющего центра ЗАО «ПФ «СКБ Контур».

• заключение трудовых отношений с физическими лицами;
• выполнение договорных обязательств Оператора;
• выполнение функций удостоверяющего центра;
• соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

• физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
• физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
• кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
• утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
• невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• ликвидация (реорганизация) Оператора.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

• цели, условия, сроки обработки персональных данных;
• обязательства сторон, в том числе меры по обеспечению конфиденциальности;
• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий

договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

2.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 09-0066830. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
• обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;
• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу . Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

Любое лицо, собирающее и обрабатывающее ПДн граждан (клиентов), должно составить Политику защиты персональных данных для обеспечения прав и свобод гражданина на всех этапах работы с конфиденциальными сведениями.

Политика учитывает то, обработка ПДн с любой целью не должна нарушать права на неприкосновенность частной, личной и семейной тайны. Роскомнадзор обязывает юридических лиц и частных предпринимателей информировать граждан о всех изменениях в политике и давать возможность ознакомиться с полным текстом документа всем желающим потенциальным и действующим клиентам.

• Законодательные акты, на основе которых составлен документ.
• Сфера действия документа.
• Особенности сбора.
• Цели обработки.
• Передача ПДн (если предусмотрена).
• Принципы и условия обработки персональной информации.
• Хранение ПДн у оператора.
• Проверка и изменение сведений персонального характера.
• Права субъекта.
• Обеспечение безопасности конфиденциальных данных.

Пошаговая инструкция по написанию документа

Для сайта

1. Сделать выборку законодательных актов на основе которых, будет составлен документ.
   • указ Президента РФ от 06 марта 1997 «Об утверждении Перечня сведений конфиденциального характера» ;
   • приказ Роскомнадзора от 05 сентября 2013 года «Об утверждении требований и методов по обезличиванию персональных данных» ;
   • нормативные акты, предъявляющие требования по безопасности и функционированию автоматизированных систем ПДн.
2. Определить сферу действия документа.

   Интернет-ресурс, собирающий ПДн в режиме онлайн, обязуется выполнять положения персональных данных в отношении информации, являющейся персональной на всех этапах обработки, включая установки сроков хранения и уничтожения данных.

3. Указать условия сбора ПДн пользователей.

   Оператор должен в обязательном порядке отобразить предупреждение о том, что на следующей странице потребуется указать о себе персональную информацию, дав клиенту возможность отказаться или принять данное требование.

   На этом же этапе предусмотрена возможность для пользователя ознакомиться с документом «Политика защиты ПДн».

4. Определить цели обработки ПДн.

   Обрабатывать информацию позволяется только с законными целями. Сайт интернет-магазина имеет возможность собирать данные о пользователях для выполнения предусмотренных его статусом функций (оформление заказов), формирования статистики продаж, составления аналитических отчетов, заключения договоров.

5. Указать, возможность или невозможность передачи ПДн.

   Если в процессе обработки оператор нуждается в необходимости передать их третьему лицу (например, заказав аналитическое исследование успешности интернет-магазина в разных регионах у специализированной компании), в документе укажите, что данная передача будет произведена на принципах конфиденциальности, указанных в законе «О персональных данных», или перед передачей планируется провести обезличивание сведений.

6. Описать принципы и условия обработки информации.
7. Определить условия хранение ПДн у оператора.

   Хранение должно осуществляться только на территории Российской Федерации.

   Оператор обязуется выполнять весь комплекс мер для защиты информации, своевременно реагировать на потенциальные угрозы, обеспечивать ограниченный доступ к конфиденциальным сведениям.

8. Указать порядок проверки и изменений сведений персонального характера.

   Оператор в лице интернет-портала обязуется своевременно актуализировать и менять ПДн, если возникнет необходимость, в сроки, необходимые для выполнения целей сборы сведений.

9. Описать права субъекта ПДн:
   • Получить копию документа, содержащего ПДн субъекта.
   • В любой момент отозвать разрешение на обработку информации.
   • Уточнить и актуализировать ПДн.
10. Обеспечение безопасности конфиденциальных данных.

    
    Оператор обязуется осуществлять технические и организационные меры, по предотвращению несанкционированного доступа в систему, где хранятся конфиденциальные сведения.

    • Назначить должностных лиц, ответственных за обработку.
    • Ограничить доступ к системы обработки сведений.
    • Организовать учет всех носителей с ПДн.
    • Определить модель потенциальных угроз и принять меры для их предотвращения.
    • Использовать средства защиты информации.
    • Проверять готовность и эффективность средств защиты.

Как видите, документ включает в себя все особенности обработки ПДн, поэтому подойти к его составлению советуем крайне внимательно. В зависимости от профиля компании, в политику могут быть включены дополнительные пункты, но обязательными пунктами являются указанные в материале.

Грамотно составить документ под силу оператору, не привлекая к делу юристов. Главное, опираться на действующие законодательные акты, и все получится.

Политика персональных данных (ППД) организации в отношении обработки и сохранения конфиденциальности сведений – это документ, в который структурно входит несколько разделов. В этих разделах прописывается информация о субъекте, проводящем обработку собранной информации , также о третьих лицах, принимающих участие в текущем процессе, процедура защиты информации, ссылки на правовую составляющую, права носителей личных сведений.

ППД дает возможность реализовать принципы законности, конфиденциальности и безопасности информации.

СПРАВКА! Существует ряд обязательных к пониманию и изучению понятий, связанных с действием политики.

К таким понятиям относят:

1. Персональные данные – любые сведения, относящиеся прямо или косвенно к физическому лицу.
2. Оператор – государственный, муниципальный орган, юр. или физ. лицо, организующее обработку и сбор ПД, формирующее цели и состав обрабатываемых данных, а также совершающее действия в отношении персональных сведений.
3. Обработка персональных данных – любые манипуляции, производящиеся при помощи автоматизированных систем или без них, с личными сведениями пользователей.

Кто утверждает?

Политика в отношении обработки персональных сведений утверждается лицом, находящимся в статусе руководителя той или иной организации: директор, председатель и т.п.

Для обработки

Для защиты

1. Контролирующие и обрабатывающие лица.
2. Сбор.
3. Использование.
4. Предоставление личной информации пользователей компанией.
5. Куки-файлы (касается веб-сайтов).
6. Защита учетных записей.
7. Доступ и изменение ПД пользователей.
8. Безопасность.
9. Третьи лица.
10. Изменения ППД относительно защиты.
11. Контакты.

Пошаговая инструкция по составлению для компании

Как было сказано ранее, каждой компании согласно законодательству необходимо иметь собственную политику о ПД .

Для того чтобы составить документ такого типа, следует пользоваться типовой схемой создания этого вида документа. В самом начале должна находиться титульная страница, в шапке которой присутствуют должность, ФИО и подпись руководителя, печать организации и гриф утверждения. Это обязательные составляющие политики о персональных сведениях.

Пункты документа, которые следует указать :

1. Определение терминов. В каждом документе такого типа требуется вначале указать перечень терминов и определений, используемых в тексте.
2. Общие положения. К примеру, для какой компании применяется документ, информация о согласии на обработку и достоверности данных.
3. Предмет политики конфиденциальности.

   ВНИМАНИЕ! В структуре этого пункта прописываются условия предоставления безопасности для личных данных пользователей, и помимо этого фиксируются опции, связанные с неразглашением информации.

4. Цели сбора информации. Здесь определяются цели политики о персональных данных организации.
5. Способы и сроки обработки данных.
6. Права и обязанности сторон.
7. Ответственность сторон.
8. Разрешение споров.
9. Дополнительные условия. На примере ООО «МПК» (Многопрофильная процессинговая компания), это могут быть параметры изменения политики без уведомления клиента, вопросы, касающиеся тех. поддержки; адрес, где размещается действующий документ.

Подготовка документа для сайта

Документ «Политика в отношении обработки персональных данных» интернет-сайта необходимо публиковать в открытом доступе. В тексте документа в обязательном порядке стоит упомянуть следующее :

Следует помнить о том, что важно подписать документ на согласие для обработки личных сведений на сайте с компаниями, которые сотрудничают с вашей организацией (доставщик, банк, хостер, поставщик услуг и т.д.), а также позаботиться о безопасности данных с помощью специального пункта в соглашении.

• период хранения информации и меры, предпринимаемые для обеспечения ее безопасности;
• меры предосторожности в обращении с персональной информацией;
• сведения о контактных лицах администрации сайта, возможные корректурные опции, вносимые в ППД.

СПРАВКА! В завершение документа указывается рабочий e-mail, куда пользователь имеет возможность обратиться для внесения изменений в сведения, их блокировки или удаления.

Администраторам сайт важно периодически проверять почтовый ящик, во избежание пропуска клиентского отклика . Стоит сказать, что для политики для сайта, важно помнить о ссылке на документ ППД, которая должна быть размещена на главной странице ресурса.

Данный факт необходим, для того чтобы каждый посетитель сайта или ревизирующий орган мог видеть, что информация находится в открытом доступе, и поиск ее не занимает много времени. Зачастую достаточно оформить общую ссылку в нижней части страницы. Неотъемлемой составляющей интернет-сайта является дисклеймер. Дисклеймер представляет собой всплывающее предупреждение о сборе статистики на портале.

Речь идет о cookie-файлах и геолокационных данных. Конкретных указаний и рекомендаций на присутствие дисклеймера нигде не прописано, но большинство специалистов советуют его устанавливать. Для зрительной безопасности пользователей сайта дисклеймер не должен резко бросаться в глаза , наилучший выход – его незаметность.

Демонстрация всплывающего окна должна быть настроена для новых клиентов, повторный показ должен быть скрыт. При формировании политики о персональных данных для сайта на территории России следует придерживаться ФЗ-152 .

Важный пункт данного закона, который обязателен для исполнения: физическое расположение хостинга ресурса. Эта информация доступна в отделе технической поддержки портала. По последним параметрам, хостинг обязан находиться в пределах территории Российской Федерации , для хранения данных в компетенции российских служб. В ситуации, когда хостинг расположен за границей, нужно осуществить переход на другой хостинг.

ВАЖНО! Владельцу ресурса необходима регистрация в качестве оператора в структурном подразделении Роскомнадзора.

Данная процедура доступна на официальном портале организации, в специальной форме уведомления. Процедура требует составления определенного пакета документов.

Важно помнить о биометрических параметрах особых категорий пользователей. При условии, что деятельность сайта предполагает работу с информацией такого типа. Согласие пользователя ресурса фиксируется только в письменной форме .

Заключение

В процессе работы в компании или организации важно понимать, что вся деятельность должна быть в рамках законодательства. Одним из параметров закона для компаний является наличие собственной политики в отношении обработки персональных данных. Необходимо иметь собственный документ такого типа, составленный со всеми рекомендациями и пунктами. Работа с клиентами благодаря наличию ППД будет более продуктивной в соответствии с правовыми нормами.