Положение о порядке обработки и обеспечения безопасности персональных данных в СПАО «РЕСО-Гарантия»

1. Введение

1.1. В настоящем Положении приведены:

1.1.1. Характеристики процессов обработки персональных данных, осуществляемых СПАО «РЕСО-Гарантия» (далее – Компания), включая:

  • цели обработки персональных данных;
  • субъекты, персональные данные которых обрабатываются;
  • виды обрабатываемых персональных данных;
  • основания обработки персональных данных;
  • порядок, способы обезличивания персональных данных;
  • сроки обработки и хранения персональных данных;
  • основания и порядок уничтожения персональных данных.

1.1.2. Описание мероприятий, выполняемых Компанией в целях:

  • соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных;
  • обеспечения безопасности обрабатываемых персональных данных;
  • соблюдения законных прав субъектов персональных данных.

1.2. Положение разработано с учетом законодательных актов, приведенных в разделе «Нормативные ссылки».

1.3. Термины, сокращения и определения, используемые в данном Положении, приведены в разделе «Термины, определения и сокращения».

1.4. С настоящим Положением должны быть ознакомлены все сотрудники Компании, в состав должностных обязанностей которых входит обработка персональных данных.

1.5. Ответственным за актуализацию настоящего Положения является Ответственный за обеспечение безопасности персональных данных Компании.

2. Термины, определения и сокращения

2.1. Термины и определения, используемые в данном Положении, соответствуют системе терминов, принятых в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Также в данном Положении используются следующие термины:

  • Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
  • Ответственный за обеспечение безопасности ПДн – сотрудник Компании, назначаемый приказом Генерального директора и несущий ответственность за выполнение процедур, связанных с обеспечением безопасности обрабатываемых ПДн в Компании.

2.2. В данном Положении используются следующие сокращения:

  • 152-ФЗ – Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • ИБ – информационная безопасность;
  • ИСПДн – информационная система персональных данных;
  • КоАП РФ – Кодекс РФ об административных правонарушениях;
  • Компания – СПАО «РЕСО-Гарантия»;
  • ПДн – персональные данные;
  • Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
  • СЗПДн – системы защиты персональных данных;
  • УК РФ – Уголовный кодекс РФ;
  • ФСБ – Федеральная служба безопасности;
  • ФСТЭК – Федеральная служба по техническому и экспортному контролю.

3. Нормативно-правовая база, использованная при подготовке положения

3.1. При разработке настоящего Положения использованы следующие нормативные акты с учетом изменений и дополнений:

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
  • Постановление Правительства РФ от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Кодекс РФ об административных правонарушениях от 30 декабря 2001 года № 195-ФЗ;
  • Уголовный кодекс РФ от 13 июня 1996 года № 63-Ф3.

4. Общие положения

4.1. Компания является оператором персональных данных.

4.2. Обработка ПДн в Компании осуществляется на основе следующих принципов:

- законности и справедливой основе;

- ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;

- недопущения обработки ПДн, несовместимой с целями сбора персональных данных;

- недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обрабатываются только те ПДн, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

- недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;

- обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;

- уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено действующим законодательством.

4.3. Компания производит обработку ПДн при наличии хотя бы одного из следующих условий:

- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;

- обработка ПДн осуществляется в связи с участием субъекта ПДн в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

- обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

- обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;

- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.

4.4. Все ПДн при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также при необходимости их уточнение, изменение или обновление.

4.5. Компания не раскрывает ПДн субъекта третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.

4.6. Обработка специальных категорий ПДн в Компании, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

- субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

- ПДн сделаны общедоступными субъектом ПДн;

- обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

- обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

4.7. Создание фото - и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.

Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.

Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.

4.8. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора поручения обработки ПДн. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 «О персональных данных».

В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.

4.9. Обработка ПДн в Компании осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации. Компания не осуществляет исключительно автоматизированную обработку ПДн.

4.10. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Таблице 1.

Субъекты ПДн

Обрабатываемые ПДн

Цели обработки ПДн

Страхователь

ФИО, Контактная информация, Дата рождения, Адресные данные, Паспортные данные

Заключение договора.

Исполнение обязательств по договору

Заявитель страхового случая

ФИО, Дата рождения, Адресные данные, Паспортные данные

Получатель выплаты

ФИО, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения

Собственник недвижимости

ФИО, Дата рождения, Данные об имуществе, Адресные данные, Паспортные данные

Арендодатель

ФИО, Контактная информация, Номер ПФР, Данные об имуществе, Гражданство, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения

Собственник имущества в арендных договорах

ФИО, Контактная информация, Дата рождения, Номер ПФР, Данные об имуществе, Адресные данные, ИНН, Паспортные данные

Потерпевший

ФИО, Контактная информация, Дата рождения, Адресные данные, Паспортные данные

Выгодоприобретатель

ФИО, Контактная информация, Дата рождения, Данные об имуществе, Адресные данные, Паспортные данные

Законный представитель (страхователя, застрахованного, выгодоприобретателя)

ФИО, Адресные данные, Паспортные данные, Нотариально заверенная доверенность, Дата рождения, контактная информация

Получатель (плательщик) наличных денежных средств

ФИО, Дата рождения, Адресные данные, Паспортные данные, ИНН

Застрахованный в личных видах страхования

ФИО, Дата рождения, Адресные данные, Информация о состоянии здоровья, Паспортные данные

Партнер абандона

ФИО, Адресные данные, Паспортные данные, Банковские реквизиты, Дата рождения

Лицо, ответственность которого застрахована

ФИО, Дата рождения, Адресные данные, Паспортные данные, информация о водительском удостоверении

Причинитель вреда

ФИО, Контактная информация, Дата рождения, Данные об имуществе(ТС), Адресные данные, Паспортные данные, Водительское удостоверение, Место работы

Виновник

ФИО, Дата рождения, Контактная информация, Адресные данные, Паспортные данные, информация о водительском удостоверении

Арендатор

ФИО, Контактная информация, Номер ПФР, Адресные данные, Гражданство, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения

Застрахованный

ФИО, Паспортные данные

Представитель страхователя ЮЛ

ФИО, Адресные данные, Паспортные данные, Контактная информация, Дата рождения

Звонящий в медицинскую диспетчерскую

ФИО, Дата рождения, Информация о состоянии здоровья, Страховой полис

Контрагент по любым видам гражданских договоров

ФИО, Номер ПФР, Данные об имуществе, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты

Участник происшествия

ФИО, Имущество, Контактная информация, Адресные данные, Паспортные данные, Водительское удостоверение, Дата рождения

Свидетель страхового случая

ФИО, Контактная информация, Адресные данные, Дата рождения

Учредитель, руководитель контрагентов

ФИО, Адресные данные, Паспортные данные, Место работы, Дата рождения

Внешний аудитор

ФИО, Место работы, Дата рождения

Кандидаты для приема на работу

ФИО, Дата рождения, Адресные данные, Номер ПФР, Адресные данные, Военно-учетная информация, Состав семьи, ИНН, Паспортные данные. Образование, Место работы.

Рассмотрение возможности трудоустройства в Компанию

Сотрудник Компании

ФИО, Адресные данные, Информация о доходах, Диплом, Перемещения сотрудника, Военно-учетная информация, Гражданство, Состав семьи, ИНН, Паспортные данные, Образование, Место работы, Контактная информация, Банковские реквизиты, Дата рождения, номер ПФР

Кадровый бухгалтерский учет.

Подготовка налоговой отчетности.

Начисление заработной платы.

Исполнение социальных обязательств перед сотрудником.

Исполнение требований трудового кодекса РФ.

 

Абитуриент школы PECO

ФИО, Контактная информация, Адресные данные, Паспортные данные, Образование, Место работы

Содействие лицам в трудоустройстве

Собственник транспортного средства

ФИО, Дата рождения, Данные об имуществе (ТС), Адресные данные, Паспортные данные

Идентификация физического лица.

Исполнение обязательств по договору.

Заключение договора страхования

Лицо, допущенное к управлению транспортным средством

ФИО, Дата рождения, Паспортные данные, Водительское удостоверение

Идентификация физического лица.

Исполнение обязательств по договору.

Заключение договора страхования

Застрахованный в туризме

ФИО, Дата рождения, Контактная информация, Адресные данные, Загранпаспорт

Подтверждение факта страхования.

Для оказания срочной помощи.

Для подтверждения личности

Звонящий в Call центр

ФИО, Контактная информация, Информация об имуществе, Адресные данные, Контактная информация, Страховой полис

Подтверждение факта страхования.

Для оказания срочной помощи.

Для подтверждения личности

Застрахованный в медицине

ФИО, Контактная информация, Дата рождения, Данные из свидетельства о рождении, Адресные данные, Гражданство, Данные о загранпаспорте, Информация о состоянии здоровья, Паспортные данные, Место работы

Идентификация физического лица.

Заключение договора страхования.

Исполнение обязательств по договору.

В целях подтверждения передачи страхователем полномочий

Физическое лицо - нерезидент

ФИО, Дата рождения, Гражданство, Адресные данные, Паспортные данные

Исполнение обязательств по договору

Сотрудник внешней организации

ФИО, Контактная информация, Паспортные данные, Место работы, Дата рождения

Регистрация нового пользователя - сотрудника внешней организации

Посетитель офиса

ФИО, Адресные данные, Паспортные данные, Дата рождения

Предоставление доступа на территорию и помещения Компании

 

4.11. Компания не осуществляет трансграничную передачу ПДн.

4.12. Компанией направлено Уведомление о намерении осуществлять обработку ПДн в Управление Роскомнадзора по Москве и Московской области, соответствующее требованиям пункта 3 статьи 22 152-ФЗ, в электронной форме через официальный веб-сайт Роскомнадзора и почтовым письмом с уведомлением о доставке.

4.13. В данном Положении рассмотрены общие вопросы обработки ПДн субъектов (кроме сотрудников). Вопросы обработки ПДн сотрудников Компании рассмотрены в документе «Положение о порядке хранения, использования и передачи персональных данных в пределах ОСАО «РЕСО-Гарантия».

4.14. Сотрудники Компании должны быть ознакомлены с настоящим Положением и другими документами Компании, устанавливающими порядок обработки ПДн субъектов ПДн, а также об их правах и обязанностях в этой области.

4.15. Управление по работе с персоналом знакомит с содержанием настоящего Положения под роспись лиц, с которыми заключаются трудовые договоры.

5. Основания обработки персональных данных

5.1. Компания осуществляет обработку ПДн на основании:

5.1.1. Федеральных законов, иных нормативных правовых актов Российской Федерации, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;

5.1.2. Договоров страхования, гражданских договоров, трудовых договоров, заключенных с сотрудниками Компании;

5.1.3. Согласия субъекта на обработку его ПДн.

5.2. Основания обработки ПДн приведены в Таблице 2.

5.3. Доказательством получения согласия субъектов ПДн (если для обработки ПДн необходимо получение согласие субъекта ПДн) на обработку их данных являются:

5.3.1. Договоры с субъектами ПДн, содержащие соответствующие оговорки;

5.3.2. Согласия на обработку ПДн от субъектов.

Таблица 2. Основания обработки ПДн

Цели обработки ПДн

Основания обработки ПДн

Соблюдение требований законодательства

Гражданский кодекс РФ (глава 48), Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации», Федеральный закон от 25.04.2002 № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств», Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ, Кодекс внутреннего водного транспорта Российской Федерации от 7 марта 2001 г. N 24-ФЗ, Кодекс торгового мореплавания Российской Федерации от 30 апреля 1999 г, N 81-ФЗ, Жилищный кодекс Российской Федерации от 29 декабря 2004 г, N 188-ФЗ, Положение Банка России от 19.09.2014 № 431-П «О Правилах обязательного страхования гражданской ответственности владельцев транспортных средств».

Заключение и исполнение обязательств по договору

Договоры ДМС, договоры страхования недвижимого имущества, договоры коллективного ДМС, договоры страхования ОСАГО, договоры страхования КАСКО, иные договоры страхования хозяйственные договоры, договоры передачи имущества Компании в аренду физическим лицам, Письменное согласие субъекта ПДн

Для оказания срочной помощи

152-ФЗ, ст. 6 п. 4

Принятие на работу сотрудника

Трудовой договор. Трудовой кодекс РФ, письменное согласие субъекта ПДн

Содействие лицам в трудоустройстве

Письменное согласие субъекта ПДн

Доступ на территорию Компании

Письменное согласие субъекта ПДн

 

6. Соблюдение прав субьектов персональных данных

6.1. В случае соответствующего обращения субъекта ПДн Компания:

6.1.1. Сообщает субъекту ПДн или его законному представителю информацию о наличии у Компании ПДн, относящихся к соответствующему субъекту ПДн.

6.1.2. Безвозмездно предоставляет субъекту ПДн или его законному представителю возможность ознакомления с обрабатываемыми ПДн.

6.1.3. Вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.4. Прекращает обработку и уничтожает ПДн субъекта в случае отзыва субъектов согласия на обработку ПДн (если нет других правовых оснований для их обработки).

6.1.5. Уведомляет субъекта ПДн о результатах запрашиваемых им действий.

6.2. Компания в течение трех дней прекращает обработку ПДн и уничтожает соответствующие ПДн по достижению целей обработки ПДн или в случае утраты необходимости в их достижении.

7. Автоматизированная обработка персональных данных

7.1. Компания осуществляет автоматизированную обработку ПДн.

7.2. Компания обеспечивает конфиденциальность ПДн при их автоматизированной обработке.

7.3. В целях обеспечения безопасности ПДн при их обработке в Компании реализованы следующие мероприятия:

7.3.1. Назначен уполномоченный сотрудник, ответственный за обеспечение безопасности ПДн при их обработке в Компании (Ответственный за обеспечение безопасности ПДн).

7.3.2. Проведена классификация ИСПДн, в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и выпущены соответствующие акты классификации ИСПДн.

7.3.3. Разработана модель угроз и нарушителя безопасности ПДн при их обработке в ИСПДн Компании.

7.3.4. Разработан технический проект СЗПДн в составе ПЗ (пояснительной записки) к проекту.

7.3.5. Проведены мероприятия по внедрению СЗПДн.

7.3.6. Используются сертифицированные средства защиты информации в составе СЗПДн.

7.3.7. Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (администратор безопасности СЗПДн).

7.3.8. Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.

7.3.9. Реализуются мероприятия по технической защите ПДн.

7.3.10. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их автоматизированной обработке.

8. Неавтоматизированная обработка персональных данных

8.1. Компания осуществляет неавтоматизированную обработку ПДн.

8.2. Компания обеспечивает конфиденциальность ПДн при их неавтоматизированной обработке.

8.3. В целях обеспечения безопасности ПДн при их неавтоматизированной обработке Компанией реализованы следующие мероприятия:

8.3.1. Утверждены места хранения материальных носителей ПДн;

8.3.2. Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн;

8.3.3. Осуществляется ведение списка сотрудников, обладающих доступом к материальным носителям ПДн;

8.3.4. Разработан внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их неавтоматизированной обработке.

9. Особенности неавтоматизированной обработки персональных данных

9.1. При использовании внутренних типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), должны выполняться следующие условия:

9.1.1. в типовые формы, связанные со сбором ПДн, включаются сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, наименование и адрес Компании, фамилия, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых в Компании способов обработки ПДн;

9.1.2. в случае необходимости получения письменного согласия на обработку ПДн, в типовую форму включается поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации;

9.1.3. допускается указание перечисленной выше информации в согласии на обработку ПДн;

9.1.4. типовая форма составляется таким образом, чтобы каждый из субъектов ПДн, чьи ПДн содержатся в документе, имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн;

9.1.5. в типовой форме исключается объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

9.2. При ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию Компании или в иных аналогичных целях, должны соблюдаться следующие условия:

9.2.1. необходимость ведения такого журнала (реестра, книги) оформляется приказом, содержащим сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов ПДн, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки ПДн, а также сведения о порядке пропуска субъекта ПДн на территорию Компании без подтверждения подлинности ПДн, сообщенных субъектом ПДн;

9.2.2. копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

9.2.3. ПДн каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПДн на территорию Компании.

Указанные журналы (реестры, книги) могут вестись в информационной системе Компании при условии соблюдения требований, предусмотренных п. 9.2 настоящего Положения.

9.3. Бумажные носители ПДн хранятся в шкафах или ящиках, запираемых на ключ. Главным условием хранения бумажных носителей ПДн является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.

9.4. Запрещается совместное хранение носителей ПДн с другими документами, не содержащими ПДн, кроме случаев, когда носители ПДн являются приложениями к другим документам или наоборот.

9.5. Во время работы на столе должны находиться только те носители, непосредственно с которыми ведется работа.

9.6. Носители ПДн должны быть убраны в шкаф или ящик, запираемые на ключ, в следующих случаях:

  • когда с носителем ПДн не ведется работа;
  • когда работник покидает рабочее место;
  • по окончании рабочего дня.

9.7. Ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех Пользователей ПДн, а контроль их выполнения возлагается на соответствующих Руководителей структурных подразделений.

9.8. По общем правилу предполагается, что сотрудники Компании осуществляют неавтоматизированную обработку ПДн.

Ознакомление сотрудников Компании с настоящим Положением свидетельствует об их информированности о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации.

Обработка сотрудниками Компании ПДн, необходимая для выполнения ими трудовой функции должна осуществляться с учетом особенностей, предусмотренных настоящим Разделом Положения, а также иными требованиями действующего законодательства Российской Федерации.

10. Сроки обработки и хранения персональных данных

10.1. Сроки обработки ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством,, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документами, фиксирующими договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.

10.2. Сроки хранения ПДн Компанией, содержащихся в типовых и иных формах, а равно в информационной системе Компании, регламентируются действующим законодательством Российской Федерации, в том числе 152-ФЗ, трудовым законодательством, приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", а также иными нормативными актами Российской Федерации, документов, фиксирующих договорные отношения Компании с субъектами ПДн, и согласий субъектов на обработку ПДн.

11. Процедуры, направленные на предотвращение и выявление нарушений законодательства Россиийской Федерации в области персоанльных данных, устарнение таких нарушений

11.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн, в Компании используются следующие процедуры:

- принятие мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ и внутренних документов Общества в области ПДн;

- издание внутренних документов по вопросам обработки ПДн;

- назначение ответственных за организацию обработки ПДн;

- осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.

- оценка вреда, который может быть причинен субъектам ПДн.

- ознакомление лиц, непосредственно осуществляющих обработку ПДн в Компании, с законодательством Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, настоящим Положением.

- принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей.

- осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн.

- недопущение обработки ПДн, несовместимых с целями сбора ПДн.

- недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

- соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

- обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн.

- размещает текст настоящего Положения на официальном сайте Компании www.reso.ru;

- организация пропускного и внутриобъктового режима в Компании;

- внедряет парольную защиту доступа пользователей к информационной системе ПДн;

- осуществляет иные мероприятия, предусмотренные действующим законодательством Российской Федерации.

11.2. В случае выявления в Компании фактов нарушения действующего законодательства при обработке ПДн, Компания принимает меры по предотвращению таких нарушений, а также устранению (минимизации) последствий таких нарушений, в том числе, но не ограничиваясь:

- привлекает виновных лиц к ответственности,

- осуществляет уничтожение, обезличивание, исправление или блокирование ПДн, в порядке и сроки, предусмотренные действующим законодательством и/или настоящим Положением,

- с учетом фактических обстоятельств нарушения, принимает дополнительные правовые, организационные или технические меры для достижения указанных настоящем пункте целей,

- возмещает вред, причиненный указанным нарушением,

- с учетом фактических обстоятельств нарушения принимает иные доступные меры, исключающие в дальнейшем (сводящих к минимуму) вероятность повторения подобного нарушения, а также устраняющие последствия такого нарушения.

12. Уничтожение и обезличивание персональных данных

12.1. Компания уничтожает ПДн в следующих случаях:

12.1.1. Достижение целей обработки ПДн или утраты необходимости в их достижении.

12.1.2. Получение соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства РФ.

12.1.3. Отзыв согласия субъекта на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн).

12.1.4. Получение соответствующего предписания от уполномоченного органа по защите прав субъектов.

12.1.5. В иных случаях, предусмотренных действующим законодательством Российской Федерации

12.2. По результатам уничтожения ПДн составляется акт (по форме Приложения А).

12.3. Компания может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Компания и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.

12.4. Уничтожение информации, содержащей ПДн, производится в срок, предусмотренный действующим законодательством Российской Федерации, в частности 152-ФЗ. В случае отсутствия возможности уничтожения ПДн в течение установленного законом срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами

12.5. К ПДн, хранимым в электронном виде, относятся файлы, папки, электронные архивы на жестком диске компьютера и съёмных машинных носителях (компакт-дисках CD-R/RWили DVD-R/RW, дискетах 3,5, флеш-носителях).

12.6. Съёмные машинные носители по истечению сроков обработки и хранения на них ПДн подлежат уничтожению с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.

12.7. В случае допустимости повторного использования съёмного машинного носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.

12.8. Подлежащие уничтожению файлы с ПДн, расположенные на жестком диске информационной системы ПДн, удаляются средствами операционной системы компьютера с последующим «очищением корзины».

12.9. Черновики документов, испорченные листы, варианты и неподписанные проекты документов, а также иные материальные носители ПДн уничтожаются путём их сожжения или измельчения, или другим путем, исключающим восстановление текста документов.

12.10. Компания может обезличивать персональные данные в статистических или иных исследовательских целях, а также в целях исполнения требований действующего законодательства, в частности по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

12.11. Компания может использовать следующие способы обезличивания ПДн:

- замена части данных идентификаторами;

- обобщение, изменение или удаление части данных;

- деление данных на части и обработка в разных информационных системах;

- перемешивание данных;

- другие способы.

12.12. Ответственный за организацию обработки ПДн назначает ответственных лиц за проведение мероприятий по обезличиванию персональных данных.

12.13. Решение о необходимости обезличивания ПДн и способе обезличивания принимает ответственный за организацию обработки ПДн.

12.14. Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности

Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.

12.15. При использовании процедуры обезличивания не допускается совместное хранение ПДн и обезличенных данных.

12.16. Обезличивание ПДн может применяться к любому из категорий субъектов ПДн и в отношении любых ПДн.

12.17. По результатам обезличивания ПДн составляется акт (по форме Приложения А).

13. Обработка биометрических персональных данных

13.1. Создание фото- и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.

Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.

Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.

14. Использование файлов Cookie

14.1. Интернет сайты Компании используют файлы cookie. Сайты Компании предупреждают посетителей об использовании таких файлов и отслеживании действий пользователя.

14.2. Файлы cookie, используемые на веб-сайтах Компании, подразделяются на 3 категории:

- обязательные файлы cookie, которые требуются для просмотра веб-сайтов Компании и использования их функций и обеспечивающие работоспособность основных функций сайта.

- файлы сookie, которые осуществляют сбор информацию об использовании веб-сайтов, например, о наиболее часто посещаемых страницах. Указанные данные используются для оптимизации веб-сайтов и упрощения навигации, отслеживания действий посетителя на сайте. Указанная информация, собранная с помощью таких файлов cookie, предназначена только для статистических целей и остается анонимной.

- настроечные файлы cookie, которые позволяют веб-сайтам Компании запомнить сделанный посетителем выбор при просмотре сайта, могут использоваться для запоминания других настраиваемых параметров сайта. Указанные файлы также могут использоваться для отслеживания рекомендуемых продуктов во избежание повторения. Информация, предоставляемая такими файлами cookie, не позволяет идентифицировать посетителя сайта.

14.3. При отсутствии потребности в получении cookie при просмотре сайтов Компании, посетитель сайта может настроить используемый им браузер таким образом, чтобы он предупреждал его о возможном принятии файлов cookie, либо полностью блокировал такое получение. 

15. Отвественность за нарушение требований законодательства

15.1. В соответствии с законодательством РФ Компания несет ответственность за соблюдение требований законодательства РФ в области ПНд, а также за обеспечение конфиденциальности и безопасности ПНд при их обработке.

15.2. Персональная ответственность за соблюдение требований законодательства РФ и внутренних документов Компании в области ПНд в структурных подразделениях Компании, а также за обеспечение конфиденциальности и безопасности ПНд возлагается на руководителей этих подразделений и сотрудников, допущенных к обработке ПНд.

16. Заключительные положения

16.1. Настоящее Положение утверждается приказом Генерального директора.

16.2. В случае, если в результате изменения законодательства РФ отдельные пункты Положения вступят в противоречие с нормами законодательства РФ, эти пункты утрачивают силу, и до момента внесения изменений в настоящее Положение, следует руководствоваться законодательством РФ.

17. Приложение А. Форма акта об уничтожении/обезличивании персональных данных

СПАО “РЕСО-Гарантия”

Акт об уничтожении/обезличивания персональных данных

г.Москва                                                                                                                  (дата) 

                                                                                                                                                         

Комиссия в составе:

 

ФИО

Должность

Председатель

 

 

Члены комиссии

 

 

 

 

провела отбор данных и установила, что в соответствии с требованиями ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных», подлежит уничтожению/обезличиванию следующее количество записей:_______

 

Персональные данные обезличены путем изменения данных в записях алгоритмом MD5 без возможности дальнейшего восстановления.

 

Председатель комиссии:                                                     /                                  /

Члены комиссии:                                                                 /                                  /

                                                                                               /                                  /

 


Положение о порядке обработки и обеспечения безопасности персональных данных
Обновлено Wed Sep 13 11:54:40 MSK 2023 в Wed Sep 13 11:54:40 MSK 2023