Положение о порядке обработки и обеспечении безопасности персональных данных

Обществом с ограниченной ответственностью «Корпорация развлечений»

1. Термины и Определения

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Неавтоматизированная обработка персональных данных — обработка персональных данных в случае, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;‍

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу/кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;

2. Общие положения

2.1. Настоящий документ устанавливает порядок организации и проведения работ по обеспечению безопасности ПДн, обрабатываемых Обществом с ограниченной ответственностью «Корпорация развлечений» (далее – «Оператор»), а также цели, сроки хранения, порядок уточнения и уничтожения при их обработке в информационных системах Оператора.

2.2. Положение разработано с целью обеспечения защиты прав и свобод граждан при обработке их ПДн Оператором, а также с целью установления ответственности работников Оператора, имеющих доступ к персональным данным, за невыполнение требований по обработке и защите ПДн.

3. Особые условия обработкт ПДн

3.1. Автоматизированная, равно как и неавтоматизированная обработка ПДн должна осуществляться на основании принципов, определенных законодательством РФ, а именно:

  • законности целей и способов обработки ПДн;
  • соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
  • соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
  • достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн;
  • уничтожения ПДн после достижения целей обработки или в случае утраты необходимости в их достижении;
  • личной ответственности работников Оператора ПДн за сохранность и конфиденциальность ПДн, а также носителей этой информации;
  • наличия четкой разрешительной системы доступа работников к документам и базам данных, содержащим персональные данные.

3.2. Оператор не имеет права получать и обрабатывать персональные данные субъектов, содержащие сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, кроме как с письменного согласия субъекта ПДн, кроме случаев, когда обработка таких ПДн возложена на Оператора законодательством РФ.

3.3. Процедура оформления доступа к ПДн включает в себя:

  • ознакомление работников под подпись с настоящим Положением, а также иными документами, регулирующими обработку и защиту ПДн.
  • истребование с работников письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки.

3.4. Доступ к персональным данным имеют должностные лица, непосредственно использующие их в служебных целях, в пределах своей компетенции. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Оператора, доступ к персональным данным может быть предоставлен иному работнику, должность которого не включена в Перечень должностей работников, имеющих доступ ПДн.

3.5. Передача (обмен и т.д.) ПДн осуществляется только между работниками, имеющими доступ к ПДн, а также на основании письменного согласия субъекта ПДн в организации-Контрагенты, с которыми заключено соглашение о сотрудничестве.

3.6. Передача ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.7. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.

3.8. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача ПДн без согласия субъекта допускается действующим законодательством РФ.

3.9. Ответственность за соблюдение вышеуказанного порядка предоставления ПДн несет работник, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.

3.10. Приказом Оператора назначается работник, ответственный за организацию обработки и защиту ПДн, обрабатываемых Оператором, и утверждается перечень должностей, доступ которых к обработке ПДн необходим для выполнения ими должностных обязанностей.

3.11. Лица, по вине которых было допущено нарушение норм, регулирующих обработку ПДн, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

3.12. С согласия субъекта ПДн персональные данные также могут передаваться третьим лицам для хранения и иных действий по обработке ПДн, связанных с их хранением, в связи с технической необходимостью.

3.13. С согласия субъекта ПДН персональные данные также могут передаваться третьим лицам, заключившим с Оператором лицензионный договор на использование сайта и программного обеспечения Оператора («Лицензиаты»), для целей оказания Лицензиатами услуг субъектам ПДН.

3.14. Оператор вправе публиковать в сети Интернет персональные данные субъектов ПДН, переданные Оператору субъектами ПДН в целях размещения отзывов об Операторе и оказываемых Лицензиатами услугах.

Регистрируясь, вы даете согласие на обработку ваших персональных данных

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

4. Категории Субъектов ПДн, данные которых обрабатываются

4.1. Контрагенты (физические лица), включая пользователей сайта Оператора

4.1.1. Обработка ПДн контрагентов осуществляется в целях заключения и выполнения гражданско-правовых договоров, при использовании физическими лицами сайта и программного обеспечения Оператора.

4.1.2. Источник получения ПДн: субъект ПДн.

4.1.3. Основание для обработки ПДн: ч.1 п.5 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем).

4.1.4. Сроки обработки: до момента минования надобности.

4.1.5. Способ обработки: автоматизированный и неавтоматизированный.

4.1.6. Состав обрабатываемых ПДн: фамилия, имя, отчество, дата рождения, пол, адрес места жительства, реквизиты документа, удостоверяющего личность, контактные номера телефонов и адреса электронной почты, изображение пользователя, сведения об аккаунтах в социальных сетях, сведения об образовании и квалификации, профессии, доходах, сведения об электронных устройствах и программном обеспечении, используемых для доступа к сайту, банковские реквизиты и реквизиты электронных платежных средств.

4.2. Работники

4.2.1. Обработка ПДн работников Оператора осуществляется в целях исполнения трудовых договоров.

4.2.2. Источник получения ПДн: субъект ПДн.

4.2.3. Основание для обработки ПДн: ч. 5, 7 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (договор, стороной которого является Субъект ПДн)

4.2.4. Сроки обработки: В соответствии с требованиями действующего трудового законодательства РФ, законодательства РФ об архивном делопроизводстве. Личное дело Работника после прекращения трудового договора с работником передается в архив, и хранится 75 лет. Личные дела руководителей Оператора хранятся постоянно.

4.2.5. Способ обработки: автоматизированный и неавтоматизированный.

4.2.6. Состав обрабатываемых ПДн: фамилия, имя, отчество, дата рождения, место рождения, адрес ,семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, национальная принадлежность, состояние здоровья; тип, серия, номер и дата выдачи документа, удостоверяющего личность, и выдавшем его органе; номер контактного телефона; адрес электронной почты; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; данные о страховых взносах; временная нетрудоспособность; должность; трудовой стаж; ученая степень; звание; научно-педагогический стаж; сведения о воинском учете; сведения о пребывании за границей; данные о социальных льготах; данные полисов обязательного и добровольного медицинского страхования; сведения о приобретенных товарах и оказанных услугах; банковские реквизиты; иные сведения, на основании которых возможна безошибочная идентификация субъекта ПДн.

4.3. Контрагенты (физические лица), выполняющие работы по договорам подряда

4.3.1. Обработка ПДн контрагентов Оператора осуществляется в целях исполнения гражданско-правовых договоров, стороной которых являются Субъекты ПДн.

4.3.2. Источник получения ПДн: Субъект ПДн.

4.3.3. Основание для обработки ПДн: ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (договор, стороной которого является Субъект ПДн).

4.3.4. Сроки обработки: В соответствии с требованиями действующего законодательства РФ но не менее, чем до истечения трёх лет с момента окончания срока действия гражданско-правового договора.

4.3.5. Способ обработки: автоматизированный и неавтоматизированный.

4.3.6. Состав обрабатываемых ПДн: фамилия, имя, отчество; дата рождения; место рождения; гражданство; паспортные данные; адрес места жительства (по паспорту и фактический), дата; адрес регистрации по указанному месту жительства, номер телефона; сведения о вознаграждении согласно условий гражданско-правового договора; сведения о платежных (банковских) реквизитах; адрес электронной почты; иные сведения, на основании которых возможна безошибочная идентификация субъекта ПДн.

4.4. Представители контрагентов

4.4.1. Обработка ПДн представителей контрагентов Оператора осуществляется в целях реализации прав и законных интересов Оператора ПДн.

4.4.2. Источник получения ПДн: субъект ПДн (представитель контрагента) либо контрагент.

4.4.3. Основание для обработки ПДн: ч. 7 п.1 ст. 6 ФЗ № 152-ФЗ «О персональных данных» (при этом сторона, выписавшая доверенность несёт ответственность перед Субъектом ПДн за наличие оснований обработки ПДн и передачи ПДн Субъекта Оператору).

4.4.4. Сроки обработки: в течение сроков исковой давности, вытекающих из соответствующих обязательств, в рамках исполнения которых выписана доверенность, но не ранее истечения срока действия, указанного в доверенности.

4.4.5. Способ обработки: автоматизированный и неавтоматизированный.

4.4.6. Состав обрабатываемых ПДн: фамилия, имя, отчество; реквизиты документа, удостоверяющего личность; иные сведения, указанные в доверенности.

4.5. Соискатели

4.5.1. Обработка ПДн соискателей осуществляется в целях дальнейшего заключения трудового договора.

4.5.2. Источник получения ПДн: субъект ПДн (соискатель, при заполнении анкеты).

4.5.3. Основание для обработки ПДн: ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие Субъекта ПДн).

4.5.4. Сроки обработки: до момента заключения трудового договора с соискателем либо принятия решения об отказе в заключении такого договора, если иной срок не указан в согласии соискателя на обработку его ПДн Оператором. Обработка ПДн должна быть прекращена Оператором при отзыве соискателем своего согласия на обработку ПДн.

4.5.5. Способ обработки: автоматизированный и неавтоматизированный.

4.5.6. Состав обрабатываемых ПДн: фамилия, имя, отчество; данные об образовании; сведения о предыдущей трудовой деятельности; номер контактного телефона; адрес электронной почты.

5. Организация защиты ПДн

5.1 Защита ПДн представляет собой совокупность организационных и технических мер, предупреждающих нарушение установленного режима доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивающая безопасность информации в процессе обработки ПДн Оператором.

5.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

5.3. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.4. Оператором должна быть обеспечена защита персональных данных от неправомерного их использования или утраты.

5.5. Для обеспечения защиты персональных данных необходимо соблюдать ряд мер (включая, но не ограничиваясь):

  • рациональное размещение рабочих мест работников, при котором исключалось бы несанкционированное использование конфиденциальной информации;
  • ознакомление работников Оператора с требованиями нормативно – методических документов по защите персональных данных;
  • наличие необходимых условий для работы с конфиденциальными документами и базами данных;
  • определение и регламентация состава работников, имеющих право доступа к персональным данным;
  • определение порядка хранения информации, содержащей персональные данные;
  • своевременное выявление нарушения требований законодательства о защите конфиденциальной информации работниками Оператора;
  • иные меры, требуемые в соответствии с законодательством по обеспечению безопасности персональных данных.

5.6. Меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. Оператор вправе применять методы технической защиты и иные методы, предусмотренные для защиты персональных данных, не противоречащие законодательству Российской Федерации.

5.7. Объектами защиты являются:

  • документы, содержащие персональные данные;
  • персональные данные, а также технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации в составе информационных систем ПДн, в которых осуществляется обработка ПДн.

5.8. Работники, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:

  • обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
  • при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом Оператора будет возложено исполнение его трудовых обязанностей.
  • защита сведений, хранящихся в электронных базах данных от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа.

7. Заключительные положения

7.1. Настоящее Положение вступает в силу с момента утверждения и вводится в действие приказом Оператора.

7.2 Требования настоящего Положения распространяются на всех работников Оператора, имеющих доступ к персональным данным;

7.3 Оператор вправе вносить изменения и дополнения в настоящее Положение. Работники должны быть поставлены в известность о вносимых изменениях и дополнениях посредством издания работодателем приказа и ознакомления с ним всех работников.