Положение об обработке и защите персональных данных (выписка)

Общие положения

1.1. Положение об обработке и защите персональных данных (далее — Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на их защиту, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных (далее — ПДн) в Обществе с ограниченной ответственностью «ИРЗ-Локомотив» (далее — Предприятие, ООО «ИРЗ-Локомотив»).

1.2. Настоящее Положение определяет политику ООО «ИРЗ-Локомотив» как оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.

1.3. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации (далее — ТК РФ), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 02.10.2007 № 229-ФЗ «Об исполнительном производстве», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.4. В Положении используются  следующие термины:

работник — физическое лицо, состоящее в  трудовых отношениях с ООО «ИРЗ-Локомотив»;

соискатель — претендент на замещение должности (профессии);

структурное подразделение — организационная часть предприятия, осуществляющая в пределах своей компетенции часть его административной, хозяйственной и иной деятельности; при этом структурным подразделением являются, как правило, отделы;

руководитель подразделения — руководитель структурного подразделения (его заместитель или лицо, исполняющее его обязанности), в штате которого состоит работник.

1.5. Обработка ПДн на предприятии осуществляется с соблюдением принципов и условий, предусмотренных законодательством РФ в области ПДн и настоящим Положением.

1.6. Лица, виновные в нарушении положений законодательства РФ в области ПДн при обработке ПДн, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

II. Общие условия и порядок обработки ПДн

2.1. Обработка ПДн физических лиц (субъектов ПДн) осуществляется при условии получения согласия указанных лиц в следующих случаях:

2.1.1. при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим законодательством РФ;

2.1.2. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

2.2. В случаях, предусмотренных 2.1. настоящего Положения, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено ФЗ № 152-ФЗ.

2.3. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем:

2.3.1. получения оригиналов необходимых документов;

2.3.2. копирования оригиналов документов;

2.3.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

2.3.4. формирования ПДн в ходе работы;

2.3.5. внесения ПДн в информационные системы предприятия, используемые структурными подразделениями.

2.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов ПДн.

2.5. В случае возникновения необходимости получения ПДн у третьей стороны, следует известить об этом субъекта ПДн заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения ПДн.

2.6. При сборе ПДн работник предприятия, осуществляющий сбор (получение) ПДн непосредственно от субъектов ПДн, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.

2.7. Структурные подразделения предприятия, не указанные в настоящем Положении, имеют право хранить материальные носители, содержащие ПДн, только в том объеме, который необходим для осуществления поставленных перед подразделением задач.

2.8. Документы, являющиеся носителями ПДн, хранятся обособленно от других документов, в условиях, исключающих возможность доступа к ним посторонних лиц.

2.9. Руководитель структурного подразделения, в котором обрабатываются ПДн, обязан ознакомить под роспись подчиненных работников, которым предоставлен допуск к ПДн, с:

— положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн;

— документами, определяющими политику оператора (ООО «ИРЗ-Локомотив») в отношении обработки ПДн;

— локальными актами по вопросам обработки ПДн, в т.ч. категориями обрабатываемых ПДн.

2.10. Обязанности соблюдения конфиденциальности при обработке ПДн, полномочия получения допуска к ПДн и ответственность за нарушение конфиденциальности и положений законодательства РФ в области персональных данных закреплены в должностных инструкциях указанных работников.

III. Условия и порядок обработки ПДн работников, соискателей

3.1. ПДн работников, соискателей обрабатываются в целях обеспечения кадровой работы, в том числе в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2. В целях, указанных в пункте 3.1 настоящего Положения, обрабатываются категории ПДн согласно Приложению 1 к настоящему Положению.

3.3. Обработка ПДн и биометрических ПДн осуществляется без согласия субъектов ПДн в рамках целей, определенных пунктом 3.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 ФЗ №152-ФЗ, ТК РФ.

3.4. Обработка специальных категорий ПДн осуществляется без согласия субъектов ПДн в рамках целей, определенных пунктом 3.1 настоящего Положения, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 ФЗ № 152-ФЗ и положениями ТК РФ, за исключением случаев получения ПДн работника у третьей стороны (в соответствии с пунктом 3 статьи 86 ТК РФ требуется письменное согласие соискателей).

IV. Условия и порядок обработки ПДн физических лиц, являющихся стороной гражданско-правовых договоров

4.1. ПДн физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых предприятием, обрабатываются в целях обеспечения соблюдения законов и иных нормативных правовых актов при заключении и исполнении указанных договоров.

4.2. В целях, указанных в пункте 4.1 настоящего Положения, обрабатываются категории ПДн согласно Приложению 1 к настоящему Положению.

4.3. Обработка ПДн осуществляется без согласия субъектов ПДн в рамках целей, определенных пунктом 4.1 настоящего Положения, в соответствии с пунктами 2, 5 части 1 статьи 6 ФЗ № 152-ФЗ, Гражданским кодексом РФ.

V. Условия и порядок обработки ПДн физических лиц в связи с исполнительным производством

5.1. ПДн физических лиц, являющихся должниками, взыскателями, обрабатываются в целях исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

5.2. В целях, указанных в пункте 5.1 настоящего Положения, обрабатываются категории ПДн согласно Приложению 1 к настоящему Положению.

5.3. Обработка ПДн осуществляется без согласия субъектов ПДн в рамках целей, определенных пунктом 5.1 настоящего Положения, в соответствии с пунктом 3 части 1 статьи 6 ФЗ № 152-ФЗ, Федеральным законом от 02.10.2007 № 229-ФЗ «Об исполнительном производстве».

5.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения ПДн от судебных приставов-исполнителей структурных подразделений Федеральной службы судебных приставов и ее территориальных органов.

VI. Условия и порядок обработки ПДн при осуществлении пропускного режима на территорию предприятия

6.1. При осуществлении пропускного режима ПДн физических лиц обрабатываются в целях обеспечения на территории предприятия безопасных условий для работы, личной безопасности субъектов, сохранности имущества и иных активов предприятия, ограничения доступа к защищаемым объектам предприятия в соответствии с действующим законодательством.

6.2. В целях, указанных в пункте 6.1 настоящего Положения, обрабатываются категории ПДн согласно Приложению 1 к настоящему Положению.

6.3. Обработка ПДн и биометрических ПДн осуществляется без согласия субъектов ПДн в рамках целей, определенных пунктом 6.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 ФЗ № 152-ФЗ.

VII. Условия и порядок обработки ПДн в связи с организацией приема граждан, рассмотрением устных и письменных обращений граждан

7.1. При организации приема граждан, рассмотрении устных и письменных обращений граждан на предприятии обработка ПДн осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан должностными лицами в соответствии с их компетенцией.

7.2. ПДн граждан, обратившихся лично, а также направивших индивидуальные или коллективные письменные обращения или обращения посредством почтовой связи, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

7.3. В рамках рассмотрения обращений граждан обрабатываются категории ПДн субъектов согласно Приложению 1 к настоящему Положению.

7.4. Обращение гражданина является согласием субъекта ПДн на обработку его ПДн.

7.5. Обработка ПДн, необходимых в связи с организацией приема граждан, рассмотрением устных и письменных обращений граждан на предприятии, осуществляется структурными подразделениями предприятия в соответствии с поставленными перед ними задачами и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

VIII. Порядок обработки ПДн в автоматизированных информационных системах

8.3. Работникам предприятия, которым в соответствии с должностными обязанностями предоставляется право доступа к ПДн работников предприятия, организуется доступ к ПДн при прохождении авторизации и аутентификации пользователя.

8.4. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн предприятия, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, а также принятия следующих мер по обеспечению безопасности:

8.4.1. определение угроз безопасности ПДн при их обработке в ИСПДн предприятия;

8.4.2. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн предприятия, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

8.4.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

8.4.4. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

8.4.5. учет машинных носителей ПДн;

8.4.6. обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

8.4.7. восстановление ПДн, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

8.4.8. установление правил доступа к ПДн, обрабатываемым в ИСПДн предприятия, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн предприятия;

8.4.9. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.

8.5. Структурное подразделение предприятия, ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей ПДн.

8.6. Структурное подразделение предприятия, ответственное за обеспечение безопасности ПДн при их обработке в ИСПДн предприятия, должно обеспечить:

8.6.1. своевременное обнаружение фактов несанкционированного доступа к ПДни немедленное доведение этой информации до ответственного за организацию обработки ПДн на предприятии;

8.6.2. недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

8.6.3. возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.6.4. постоянный контроль за обеспечением уровня защищенности ПДн;

8.6.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

8.6.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

8.6.7. при обнаружении нарушений порядка предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям ИСПДн до выявления причин нарушений и устранения этих причин;

8.6.8. проведения внутреннего расследования и составление заключений по фактам несоблюдения условий хранения материальных носителей ПДн, использования средств защиты информации, которые могут привести к нарушению целостности, доступности и конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

8.7. Структурное подразделение предприятия, ответственное за обеспечение функционирования ИСПДн, принимает все необходимые меры по восстановлению ПДн, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

8.8. Обмен ПДн при их обработке в ИСПДн предприятия осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

8.9. Доступ работников предприятия к ПДн, находящимся в ИСПДн предприятия, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

8.10. В случае выявления нарушений порядка обработки ПДн в ИСПДн предприятия уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

IХ. Сроки обработки и хранения ПДн

9.1. Сроки обработки и хранения ПДн субъектов определяются в соответствии с законодательством РФ, сводной номенклатурой дел ООО «ИРЗ-Локомотив». С учетом положений законодательства РФ устанавливаются следующие сроки обработки и хранения ПДн:

9.1.4. ПДн, содержащиеся в документах соискателей, хранятся в отделе 510 в течение одного года со дня получения, после чего подлежат уничтожению.

9.2. ПДн граждан, обратившихся на предприятие лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение 5 лет либо постоянно в зависимости от содержания обращения.

9.3. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

9.4. Необходимо обеспечивать раздельное хранение ПДн на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

9.5. Контроль за хранением и использованием материальных носителей ПДн, не допускающий несанкционированное использование, уточнение, распространение и уничтожение ПДн, находящихся на этих носителях, осуществляют руководители структурных подразделений предприятия.

9.6. Срок хранения ПДн, внесенных в ИСПДн предприятия, должен соответствовать сроку хранения бумажных оригиналов.

X. Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований

10.1. Структурными подразделениями предприятия осуществляется систематический контроль и выделение документов, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.

10.2. Вопрос об уничтожении выделенных документов, содержащих ПДн, рассматривается на заседании экспертной комиссии (далее — ЭК), состав которой утверждается приказом руководителя структурного подразделения.

10.3. Уничтожение носителей ПДн осуществляется на территории предприятия или подрядной организацией, имеющей необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Представитель предприятия сопровождает документы, содержащие ПДн, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание, механическое или химическое уничтожение).

Факт уничтожения отражается в Акте о выделении документов, не подлежащих хранению, к уничтожению, представителями подрядчика и предприятия

10.4. Уничтожение по окончании срока обработки ПДн на электронных съемных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Факт уничтожения отражается в Акте об уничтожении информации на съемных носителях информации.

XI. Рассмотрение запросов субъектов ПДн или их представителей

11.1. Категории лиц, указанных в настоящем положении, ПДн которых обрабатываются на предприятии, имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:

11.1.1. подтверждение факта обработки ПДн на предприятии;

11.1.2. правовые основания и цели обработки ПДн;

11.1.3. применяемые на предприятии способы обработки ПДн;

11.1.4. наименование и место нахождения предприятия, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;

11.1.5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

11.1.6. сроки обработки ПДн, в том числе сроки их хранения на предприятии;

11.1.7. порядок осуществления субъектом ПДн прав, предусмотренных законодательством РФ в области ПДн;

11.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;

11.1.9. иные сведения, предусмотренные законодательством РФ в области ПДн.

11.2. Лица, указанные в пункте 11.1 настоящего Положения (субъекты ПДн), вправе требовать от предприятия уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.3. Сведения, указанные в подпунктах 11.1.1—11.1.9 пункта 11.1 настоящего Положения, должны быть предоставлены субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

11.4. Сведения, указанные в подпунктах 11.1.1—11.1.9 пункта 11.1 настоящего Положения, предоставляются субъекту ПДн или его представителю уполномоченным должностным лицом структурного подразделения предприятия, осуществляющего обработку соответствующих ПДн при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать:

11.4.1. номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

11.4.2. сведения, подтверждающие участие субъекта ПДн в правоотношениях с предприятием (оператором), либо сведения, иным образом подтверждающие факт обработки ПДн на предприятии, подпись субъекта ПДн или его представителя.

11.5. В случае, если сведения, указанные в подпунктах 11.1.1—11.1.9 пункта 11.1 настоящего Положения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно на предприятие или направить повторный запрос в целях получения указанных сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

11.6. Субъект ПДн вправе обратиться повторно на предприятие или направить повторный запрос в целях получения сведений, указанных в подпунктах 11.1.1—11.1.9 пункта 11.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 11.5 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 11.4 настоящего Положения, должен содержать обоснование направления повторного запроса.

11.7. Предприятие (уполномоченное должностное лицо предприятия) вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 11.5 и 11.6 настоящего Положения. Такой отказ должен быть мотивированным.

11.8. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

XII. Лицо, ответственное за организацию обработки ПДн на предприятии

12.1. Ответственный за организацию обработки ПДн (ответственные по своим направлениям) на предприятии (далее — Ответственный) назначается генеральным директором из числа лиц руководящего состава в соответствии с распределением обязанностей.

12.2. Ответственный в своей работе руководствуется законодательством РФ в области ПДн и настоящим Положением.

12.3. Ответственный обязан:

12.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПДн, обрабатываемых на предприятии от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

12.3.2. осуществлять внутренний контроль за соблюдением работниками предприятия  требований законодательства РФ в области ПДн, в том числе требований к защите ПДн;

12.3.3. доводить до сведения работников предприятия  положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;

12.3.4. организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов на предприятии;

12.3.5. в случае нарушения на предприятии требований к защите ПДн принимать необходимые меры по восстановлению нарушенных прав субъектов ПДн.

12.4. Ответственный вправе:

12.4.1. иметь доступ к информации, касающейся обработки ПДн на предприятии и включающей:

12.4.1.1. цели обработки ПДн;

12.4.1.2. категории обрабатываемых ПДн;

12.4.1.3. категории субъектов, ПДн которых обрабатываются;

12.4.1.4. правовые основания обработки ПДн;

12.4.1.5. перечень действий с ПДн, общее описание используемых на предприятии способов обработки ПДн;

12.4.1.6. описание мер, предусмотренных статьями 18.1 и 19 ФЗ № 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

12.4.1.7. дату начала обработки ПДн;

12.4.1.8. срок или условия прекращения обработки ПДн;

12.4.1.9. сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;

12.4.1.10. сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ;

12.4.2. привлекать к реализации мер, направленных на обеспечение безопасности ПДн, обрабатываемых на предприятии, других работников предприятия с возложением на них соответствующих обязанностей и закреплением ответственности.

12.5. Ответственный несет ответственность за надлежащее выполнение возложенных функций по организации обработки ПДн на предприятии в соответствии с положениями законодательства РФ в области ПДн.