1. Общие положения
1.1. Настоящее Положение о защите персональных данных ООО «ПЛАНЕТА РЕГИОНОВ» (далее – «Оператор») составлен в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО «ПЛАНЕТА РЕГИОНОВ».
1.2. Положение о защите персональных данных ООО «Планета Регионов» разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), Трудового Кодекса Российской Федерации (далее– ТК РФ). Во всем, что не урегулировано настоящим Положением, Оператор руководствуется вышеуказанными нормативными правовыми актами.
1.3. В том случае, если законодательством РФ приняты изменения, противоречащие настоящей Политике, до момента внесения изменений в настоящую Политику Оператор при осуществлении действий с персональными данными руководствуется принятыми законодательством РФ изменениями как имеющими высшую юридическую силу.
1.4. Цель настоящего Положения – защита персональных данных обрабатываемые ООО «Планета Регионов» от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.5. В целях настоящего Положения:
- под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;
- под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
- под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.
2. Защита персональных данных
2.1. Оператором определено, что на информацию, содержащую персональные данные, распространяется режим конфиденциальности.
2.2. Безопасность персональных данных при их использовании и обработке обеспечивается с помощью системы защиты Конфиденциальной информации, разработанной самим Оператором (далее – система защиты). При разработке системы защиты учитывалась обязанность Общества обеспечивать защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе принимать меры, установленные статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных».
2.3 Система защиты реализуется путем проведения нескольких взаимосвязанных процессов. К ним относятся:
2.3.1. определение актуальных угроз безопасности персональных данных.
Порядок определения актуальных угроз безопасности персональных данных, и ответственный за проведение процедуры определения актуальных угроз безопасности, определяется приказом руководителя Общества. Результатом проведения процедуры определения актуальных угроз безопасности персональных данных, является составление акта определения актуальных угроз безопасности;
2.3.2. определение необходимых правовых, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в информационных системах, исполнение которых обеспечивает необходимый уровень защищенности;
Необходимый уровень защищенности персональных данных при обработке в информационных системах определяется Оператором при выявлении актуальных угроз безопасности и фиксируется в акте определения актуальных угроз безопасности.
2.3.3. надлежащее применение определенных правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, а также применение прошедших в установленном порядке процедуру оценки соответствия средств защиты персональных данных;
2.3.4. проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных с установленной в настоящем Положении периодичностью;
2.3.5. обеспечение контроля надлежащей реализации мер по обеспечению безопасности персональных данных.
2.4. Защите подлежат все персональные данные, определенные п. 1.5 настоящего Положения, в том числе:
- персональные данные субъекта, содержащиеся в копиях документов;
- персональные данные субъекта, содержащиеся в документах, созданных Оператором;
- персональные данные субъекта, занесенные в учетные формы;
- записи, содержащие персональные данные субъекта;
- персональные данные субъекта, содержащиеся на электронных носителях;
- персональные данные субъекта, обрабатываемые в информационных системах персональных данных;
- персональные данные субъекта, разрешенные субъектом для распространения.
3. Меры защиты персональных данных
3.1. Оператор принимает следующие меры по защите ПД:
3.1.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД.
3.1.2. Разработка политики Конфиденциальности в отношении обработки ПД.
3.1.3. Установление правил доступа к ПД, обеспечение регистрации и учета всех действий, совершаемых с ПД.
3.1.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
3.1.5. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
3.1.6. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
3.1.7. Обнаружение фактов несанкционированного доступа к ПД.
3.1.8. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
3.1.9. Обучение работников, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки персональных данных.
3.1.10. Осуществление внутреннего контроля и аудита.
3.1.11. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах.
3.2. Угрозы защищенности персональных данных.
3.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
3.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
3.2.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
3.3. Уровни защищенности персональных данных.
3.3.1. Первый уровень защищенности. Если Оператор отнес информационную систему к первому типу угрозы или если тип угрозы второй, но Оператор обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.
3.3.2. Второй уровень защищенности. Если тип угрозы второй и Оператор обрабатывает специальные категории ПД вне зависимости от их количества или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
3.3.3. Третий уровень защищенности. Если при втором типе угрозы Оператор обрабатывает общие ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает специальные категории ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Оператор обрабатывает биометрические ПД, или при третьем типе угрозы Оператор обрабатывает общие ПД более чем 100 тыс. физических лиц.
3.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы Оператор обрабатывает только общие ПД работников или менее чем 100 тыс. физических лиц, при четвертом уровне защищенности персональных данных Оператор:
- обеспечивает режим безопасности помещений, в которых размещаете информационную систему;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до ПД;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
3.4. При третьем уровне защищенности ПД дополнительно к мерам, перечисленным в пункте 3.3.4 настоящего Положения, Оператор назначает ответственного за обеспечение безопасности ПД в информационной системе.
3.5. При втором уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 3.3.4, 3.4 настоящего Положения, Оператор ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
3.6. При первом уровне защищенности ПД дополнительно к мерам, перечисленным в пунктах 3.3.4—3.5 настоящего Положения, Оператор:
- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;
3.7. В целях защиты ПД на бумажных носителях Оператор:
- приказом назначает ответственного за обработку ПД;
- ограничивает допуск в помещения, где хранятся документы, которые содержат ПД работников;
- хранит документы, содержащие ПД работников в шкафах, запирающихся на ключ;
- хранит трудовые книжки работников в сейфе в отделе кадров.
3.8. В целях обеспечения конфиденциальности документы, содержащие ПД работников, оформляются, ведутся и хранятся только работниками отдела кадров, бухгалтерии и службы охраны труда работодателя.
3.9. Работники отдела кадров, бухгалтерии и службы охраны труда работодателя, допущенные к ПД работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки ПД работников не допускаются.
3.10. Допуск к документам, содержащим ПД работников, внутри организации осуществляется на основании Регламента допуска работников к обработке персональных данных.
3.11. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
3.12. Передача информации, содержащей сведения о ПД работников, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
4. Гарантии конфиденциальности персональных данных
4.1. Все работники организации, осуществляющие обработку ПД, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с Положением, требованиями законодательства РФ.
4.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
4.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
