Положение о порядке обработки и обеспечения безопасности персональных данных в САО «РЕСО-Гарантия»

ОГЛАВЛЕНИЕ:

1. ВВЕДЕНИЕ
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ
4. ОБЩИЕ ПОЛОЖЕНИЯ
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ II ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ
12. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
14. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE
15. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
17. ПРИЛОЖЕНИЕ 1. ФОРМА АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ВВЕДЕНИЕ
   • В настоящем Положении приведены:
     • Характеристики процессов обработки персональных данных, осуществляемых САО «РЕСО-Гарантия» (далее - Компания), включая:
   • цели обработки персональных данных;
   • субъекты, персональные данные которых обрабатываются;
   • виды обрабатываемых персональных данных;
   • основания обработки персональных данных;
   • сроки обработки и хранения персональных данных;
   • основания и порядок уничтожения персональных данных.
     • Описание мероприятий, выполняемых Компанией в целях:
   • соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных;
   • обеспечения безопасности обрабатываемых персональных данных;
   • соблюдения законных прав субъектов персональных данных.
     • Положение разработано с учетом требований действующего законодательства Российской Федерации, включая применимые подзаконные акты.
     • Термины, сокращения и определения, используемые в данном Положении, приведены в разделе «Термины, определения и сокращения».
     • Лицо, ответственное за организацию обработки персональных данных в Компании, обеспечивает контроль за поддержанием настоящего Положения в актуальном состоянии и его надлежащим исполнением сотрудниками Компании.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
   • Термины и определения, используемые в данном Положении, соответствуют терминологии, используемой в статье 3 Федерального закона от 27 июля 2006 года № 152- ФЗ «О персональных данных».

Также в данном Положении используются следующие термины:

• Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать или иным образом не обеспечивать доступ к такой информации третьим лицам без согласия ее обладателя.
  • В данном Положении далее по тексту используются следующие сокращения:
• 152-ФЗ - Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• ИБ - информационная безопасность;
• ИСПДн - информационная система персональных данных;
• КоАП РФ - Кодекс РФ об административных правонарушениях;
• Компания - САО «РЕСО-Гарантия»;
• ПДн - персональные данные;
• Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
• СЗПДн - системы защиты персональных данных;
• ФСБ - Федеральная служба безопасности;
• ФСТЭК - Федеральная служба по техническому и экспортному контролю.

3. НОРМАТИВНО-ПРАВОВАЯ БАЗА, ИСПОЛЬЗОВАННАЯ ПРИ ПОДГОТОВКЕ ПОЛОЖЕНИЯ
   • При разработке настоящего Положения использованы нормативные акты, регламентирующие порядок обработки персональных данных, в том числе следующие нормативные акты с учетом изменений и дополнений:

• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
• Постановление Правительства РФ от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4. ОБЩИЕ ПОЛОЖЕНИЯ
   • Компания является оператором персональных данных.
   • Обработка ПДн в Компании осуществляется на основе следующих принципов:

• законности и справедливой основе;
• ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
• недопущения обработки ПДн, несовместимой с целями сбора персональных данных;
• недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обрабатываются только те ПДн, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
• недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
• обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
• уничтожения ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено действующим законодательством.
  • Компания производит обработку ПДн при наличии хотя бы одного из следующих условий:
• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;

• обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  • Все ПДн при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также при необходимости их уточнение, изменение или обновление.
  • Компания не раскрывает ПДн субъекта третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
  • Обработка специальных категорий ПДн в Компании, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
• субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
• ПДн сделаны общедоступными субъектом ПДн;
• обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
• обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
  • Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора поручения обработки ПДн. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных».

В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.

• Обработка ПДн в Компании осуществляется в смешанном режиме, как с использованием средства автоматизации, так и без использования средств автоматизации. Компания не осуществляет исключительно автоматизированную обработку ПДн.
• Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Таблице 1.

Таблица 1. Субъекты ПДн, виды обрабатываемых ПДн, цели обработки ПДн

Субъекты ПДн	Обрабатываемые ПДн	Цели обработки ПДн
Страхователь	ФИО,                      Контактная информация,                      Дата рождения,                 Адресные данные, Паспортные данные	Заключение договора. Исполнение обязательств по договору.
Заявитель страхового случая	ФИО,        Дата        рождения, Адресные                    данные, Паспортные данные
Получатель выплаты	ФИО, Адресные данные, ИНН, Паспортные данные, Банковские реквизиты, Дата рождения
Собственник недвижимости	ФИО,        Дата        рождения, Данные об             имуществе, Адресные                    данные, Паспортные данные
Арендодатель	ФИО,                      Контактная информация. Номер ПФР, Данные об                            имуществе, Гражданство,            Адресные данные, ИНН, Паспортные данные,                   Банковские реквизиты, Дата рождения
Собственник имущества в арендных договорах	ФИО,                      Контактная информация,                      Дата рождения, Номер ПФР, Данные об                                имуществе, Адресные данные, ИНН, Паспортные данные
Потерпевший /	ФИО,                      Контактная информация,                      Дата рождения,                 Адресные данные, Паспортные данные

 

 

Субъекты ПДн	Обрабатываемые ПДн	Цели обработки ПДн
Выгодоприобретатель	ФИО,                      Контактная информация,                     Дата рождения,        Данные         об имуществе,                Адресные данные, Паспортные данные
Законный          представитель (страхователя, застрахованного, выгодоприобретателя)	ФИО, Адресные данные, Паспортные данные, Дата рождения,              контактная информация
Получатель        (плательщик) наличных денежных средств	ФИО, Дата рождения, Адресные                                     данные, Паспортные данные, ИНН
Застрахованный в личных видах страхования	ФИО,        Дата         рождения, Адресные                      данные, Информация о состоянии здоровья                             (для застрахованных                     по договорам                    личного страхования), Паспортные данные
Партнер абандона	ФИО, Адресные данные, Паспортные                 данные, Банковские реквизиты, Дата рождения
Лицо,             ответственность которого застрахована	ФИО,        Дата         рождения, Адресные                      данные, Паспортные                  данные, информация о водительском удостоверении
Причинитель вреда	ФИО,                      Контактная информация,                      Дата рождения,        Данные         об имуществе (ТС), Адресные данные,                  Паспортные данные,               Водительское удостоверение,                Место работы
Виновник	ФИО,        Дата         рождения, Контактная           информация. Адресные                      данные,

 

 

Субъекты ПДн	Обрабатываемые ПДн	Цели обработки ПДн
	Паспортные                 данные, информация о водительском удостоверении
Арендатор	ФИО,                      Контактная информация, Номер ПФР, Адресные                      данные, Гражданство,                    ИНН, Паспортные                  данные, Банковские реквизиты, Дата рождения
Представитель	ФИО, Адресные данные, Паспортные                 данные, Контактная информация, Дата рождения
Звонящий в медицинскую диспетчерскую	ФИО, Дата рождения
Контрагент по любым видам гражданско-правовых договоров	ФИО, Номер ПФР, Данные об имуществе, Адресные данные, ИНН, Паспортные данные,                               Банковские реквизиты
Участник                страхового события или иного события	ФИО,                     Имущество, Контактная           информация, Адресные                     данные, Паспортные                  данные, Водительское     удостоверение (в          случае          дорожно- транспортного происшествия),                                          Дата рождения
Свидетель              страхового случая	ФИО,                    Контактная информация,        Адресные данные, Дата рождения
Учредитель, руководитель контрагентов	ФИО, Адресные данные, Паспортные данные, Место работы, Дата рождения
Внешний аудитор	ФИО, Место работы, Дата рождения
Кандидаты для приема на	ФИО,  Дата рождения,	Рассмотрение возможности

 

 

Субъекты ПДн	Обрабатываемые ПДн	Цели обработки ПДн
работу	Адресные данные, Номер ПФР, Адресные данные, Военно-учетная информация. Состав семьи, ИНН, Паспортные данные. Образование, Место работы.	трудоустройства                      в Компанию
Сотрудник Компании	ФИО, Адресные данные, Информация о доходах, Военно-учетная информация, Гражданство, Состав       семьи,                     ИНН, Паспортные                 данные, Образование, Место работы, Контактная        информация, Банковские реквизиты, Дата рождения, номер ПФР	Кадровый         бухгалтерский учет. Подготовка           налоговой отчетности. Начисление          заработной платы. Исполнение           социальных обязательств                     перед сотрудником. Исполнение            требований трудового законодательства.
Абитуриент школы PECO	ФИО,                      Контактная информация.             Адресные данные,                  Паспортные данные, Образование, Место работы	Содействие          лицам          в трудоустройстве
Собственник транспортного средства	ФИО,        Дата        рождения, Данные об имуществе (ТС), Адресные                    данные, Паспортные данные	Заключение/Исполнение обязательств по договору страхования.
Лицо,  допущенное   к управлению транспортным средством	ФИО, Дата рождения, Паспортные                 данные, Водительское удостоверение	Заключение/Исполнение обязательств по договору страхования.
Застрахованный в туризме	ФИО,        Дата         рождения, Контактная           информация. Адресные                      данные, Паспортные данные	Подтверждение               факта страхования. Для        оказания         срочной помощи                 (исполнения договора страхования). Для                   подтверждения

 

 

Субъекты ПДн	Обрабатываемые ПДн	Цели обработки ПДн
		личности
Звонящий в Call центр	ФИО,                     Контактная информация, Информация об имуществе, Адресные данные,                               Контактная информация,	Подтверждение               факта страхования. Для        оказания         срочной помощи                 (исполнения договора страхования). Для                   подтверждения личности
Застрахованный в медицине	ФИО,                      Контактная информация,                      Дата рождения,         Данные         из свидетельства о рождении, Адресные                     данные, Гражданство, Данные о загранпаспорте, Информация о состоянии здоровья,               Паспортные данные, Место работы	Идентификация физического лица. Заключение               договора страхования. Исполнение обязательств по договору. В целях подтверждения передачи                         страхователем полномочий
Физическое           лицо нерезидент	ФИО, Дата рождения, Гражданство,         Адресные данные, Паспортные данные	Исполнение обязательств по договору
Сотрудник                  внешней организации	ФИО,                     Контактная информация,        Паспортные данные, Место работы, Дата рождения	Регистрация                  нового пользователя - сотрудника внешней организации
Посетитель офиса	ФИО, Адресные данные, Паспортные данные, Дата рождения	Предоставление доступа на территорию и помещения Компании

 

• Компанией направлено Уведомление о намерении осуществлять обработку ПДн в Управление Роскомнадзора по Москве и Московской области, соответствующее требованиям пункта 3 статьи 22 Федерального закона №152-ФЗ, в электронной форме через официальный веб-сайт Роскомнадзора и почтовым письмом с уведомлением о доставке.
• В данном Положении рассмотрены общие вопросы обработки ПДн субъектов (кроме сотрудников). Вопросы обработки ПДн сотрудников Компании рассмотрены в документе «Положение о порядке хранения, использования и передачи персональных данных в пределах С АО «РЕСО-Гарантия».
• Сотрудники Компании, в состав должностных обязанностей которых входит обработка персональных данных, должны быть ознакомлены с настоящим Положением, другими локальными актами Компании, устанавливающими порядок обработки ПДн субъектов ПДн, а также об их правах и обязанностях в этой области.
• Управление по работе с персоналом знакомит с содержанием настоящего Положения под роспись лиц, с которыми заключаются трудовые договоры, в состав должностных обязанностей которых входит обработка персональных данных.
• Сотрудники Компании, обязаны не раскрывать третьим лицам и не распространять ПДн субъектов ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Обработка третьими лицами ПДн. передаваемых им Компанией, должна осуществляться исключительно в целях, для которых соответствующие данные были переданы с обязательным соблюдением требований по обеспечению их конфиденциальности, в соответствии с требованиями применимого законодательства.

Компания с учетом требований действующего законодательства вправе разрабатывать в дополнение к настоящему Положению иные локальные нормативные акты, регламентирующие порядок обработки ПДн субъектов ПДн в рамках установления гражданско-правовых отношений с третьими лицами.

5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Компания осуществляет обработку ПДн на основании:
     • В случаях, когда это предусмотрено требованиями действующего законодательства, включая нормативные акты Банка России, в частности, по не ограничиваясь в соответствии с требованиями следующих нормативных актов.
     • Договоров страхования и иных гражданско-правовых договоров, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн. а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем, а также трудовых договоров, заключенных с сотрудниками Компании;
     • Согласия субъекта на обработку его ПДн;
     • Реже в иных случаях, допустимых в соответствии со Федеральным законом № 152-ФЗ
   • Доказательством получения согласия субъектов ПДн (если для обработки ПДн необходимо получение согласие субъекта ПДн) на обработку их данных являются:
   • Заключение договоров с субъектами ПДн, содержащих соответствующие оговорки, в том числе изложенные в приложениях к соответствующим договорам;
   • Согласия на обработку ПДн от субъектов.

В случае недееспособности субъекта ПДн согласие на обработку его персональных данных дает его законный представитель. В случае смерти субъекта ПДн согласие на обработку его персональных данных дают его наследники, если такое согласие не было дано субъектом ПДн при его жизни.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

6. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • В случае поступления в Компанию обращения (лично или путем получения соответствующего запроса) субъекта ПДн или его представителя по вопросу обработки ПДн Компания:
     • Сообщает субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.
     • Безвозмездно предоставляет субъекту ПДн или его законному представителю возможность ознакомления с обрабатываемыми ПДн.
     • В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения.
     • В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожает такие персональные данные.
     • Уведомляет субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
     • Прекращает обработку и уничтожает ПДн субъекта ПДн в случае отзыва субъектом ПДн согласия на обработку ПДн (в случае отсутствия иного правового основания для их обработки).
     • Уведомляет субъекта ПДн о результатах рассмотрения его обращения.
   • Рассмотрение обращений (запросов) субъектов ПДн по вопросу обработки ПДн в Компании осуществляется в соответствии с локальными нормативными актами Компании, определяющими порядок рассмотрения таких обращений (запросов).
     
     
7. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Компания осуществляет автоматизированную обработку ПДн.
   • Компания обеспечивает конфиденциальность ПДн при их автоматизированной обработке.
   • В целях обеспечения безопасности ПДн при их обработке в Компании реализованы следующие мероприятия:
     • Назначено лицо, обеспечивающее исполнение требований действующего законодательства и локальных актов Компании при обеспечении защиты ПДн, обрабатываемых Компанией.
     • Проведена классификация ИСПДн, в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и выпущены соответствующие акты классификации ИСПДн.
     • Разработана модель угроз и нарушителя безопасности ПДн при их обработке в ИСПДн Компании.
     • Разработан технический проект СЗПДн в составе ПЗ (пояснительной записки) к проекту.
     • IДоведены мероприятия по внедрению СЗГ 1Дн.
     • Используются сертифицированные средства защиты информации в составе СЗПДн.
     • Назначен уполномоченный сотрудник, обязанный обеспечивать безопасность ПДн при их обработке в ИСПДн (администратор безопасности СЗПДн).
     • Разработана организационно-нормативная документация по обеспечению безопасности ПДн при их обработке.
     • Реализуются мероприятия по технической защите ПДн.
     • Проводятся проверки соблюдения требований обеспечения безопасности ПДн при их автоматизированной обработке в соответствии с локальными актами Компании, устанавливающими порядок осуществления внутреннего контроля соответствия обработки персональных данных в Компании требованиям к защите персональных данных, установленным Федеральным законом №152-ФЗ «О персональных данных».

8. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Компания осуществляет неавтоматизированную обработку ПДн.
   • Компания обеспечивает конфиденциальность ПДн при их неавтоматизированной обработке.
   • В целях обеспечения безопасности ПДн при их неавтоматизированной обработке Компанией реализованы следующие мероприятия:
     • Особенности и детализация неавтоматизированной обработки персональных данных в Компании определены локальными нормативными актами Компании, определяющими порядок обработки персональных данных, осуществляемой без использования средств автоматизации.
     • Утверждены места хранения материальных носителей ПДн;
     • Осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн;
     • Осуществляется ведение списка сотрудников, обладающих доступом к материальным носителям ПДн;
     • Проводятся проверки соблюдения требований обеспечения безопасности ПДн при их неавтоматизированной обработке в соответствии с локальными актами Компании, устанавливающими порядок осуществления внутреннего контроля соответствия обработки персональных данных в Компании требованиям к защите персональных данных, установленным Федеральным законом №152-ФЗ «О персональных данных».

8.4. По общем правилу предполагается, что сотрудники Компании осуществляют неавтоматизированную обработку 11Дн.

Ознакомление сотрудников Компании с настоящим Положением свидетельствует об их информированности о факте обработки ими персональных данных и категориях персональных данных, обработка которых осуществляется без использования средств автоматизации.

Обработка сотрудниками Компании ПДн, необходимая для выполнения ими трудовой функции должна осуществляться с учетом особенностей, предусмотренных настоящим Разделом Положения, а также иными требованиями действующего законодательства Российской Федерации и локальными актами Общества.

9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Обработка Компанией персональных данных осуществляется в пределах сроков, предусмотренных действующим законодательством Российской Федерации, в том числе Федеральным законом № 152-ФЗ, трудовым законодательством, приказом Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными нормативными актами Российской Федерации, в том числе актами Банка России, или сроков определенных в документах, на основании которых Компания осуществляет обработку персональных данных.
   • Компания в течение трех дней прекращает обработку ПДн и уничтожает соответствующие ПДн по достижению целей обработки ПДн или в случае утраты необходимости в их достижении.

10. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

• В соответствии с ч. 2 ст. 19. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» для обеспечения безопасности персональных данных при их обработке Компания принимает правовые, организационные и технические меры для зашиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
• Обеспечение безопасности персональных данных достигается Оператором посредством следующих организационно-технических мер:
• Назначения ответственного за организацию обработки персональных данных, а также должностного лица (должностных лиц), обеспечивающего исполнение требований действующего законодательства и локальных актов Общества при обеспечении защиты персональных данных, обрабатываемых Обществом.
• Ограничения состава сотрудников, имеющих доступ к ПДн, а также регламентирования их действий.
• Ознакомления сотрудников с требованиями действующего законодательства и локальными актами Компании по обработке и защите ПДн.
• Обеспечения учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение, или получение материальных носителей информации лицами, не имеющими доступа к персональным данным.
• Определения угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз.
• Разработки на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем.
• Реализации разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации.
• Регистрации и учета действий пользователей информационных систем персональных данных.
• Реализации парольной защиты доступа пользователей к информационной системе персональных данных.

• Применения средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации;
• Применения в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации.
• Осуществления антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок.
• Применения межсетевого экранирования.
• Обнаружения вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных.
• Реализации централизованного управления системой защиты персональных данных.
• Реализации резервного копирования информации.
• Обеспечения восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Обучения сотрудников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними.
• Учета применяемых средств защиты информации, эксплуатационной и технической документации к ним.
• Проведения мониторинга действий пользователей, проведения разбирательств по фактам нарушения требований безопасности персональных данных.
• Размещения технических средств обработки персональных данных, в пределах охраняемой территории.
• Поддержания технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
• Применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
• Оценки эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
• Контроля за применяемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

11. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТРАНЕНИЕ ТАКИХ НАРУШЕНИЙ
    • Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн в Компании, используются следующие процедуры:

• принятие мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации и локальных актов Компании в области ПДн;
• наличие локальных актов Компании по вопросам обработки ПДн;
• назначение ответственного лица за обработку персональных данных в Обществе, а также отдельных лиц, обеспечивающих надлежащую работу с персональными данными в рамках конкретных направлений;
• осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн.
• оценка вреда, который может быть причинен субъектам ПДн.
• ознакомление лиц, непосредственно осуществляющих обработку ПДн в Компании, с законодательством Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, настоящим Положением.

принятие необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

• ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей.
• осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн.
• недопущение обработки ПДн несовместимых с целями сбора ПДн.
• недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
• соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
• обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн.
• размещение текста настоящего Положения на официальном сайте Компании в сети Интернет: www.reso.ru;
• организация пропускного и внутриобъектового режима в Компании;
• внедрение парольной защиты доступа пользователей к ИСПДн;

осуществление иных мероприятий, предусмотренных действующим законодательством Российской Федерации, в том числе актов Банка России.

• В случае выявления в Компании фактов нарушения действующего законодательства при обработке ПДн, Компания принимает меры по предотвращению таких нарушений, а также устранению (минимизации) последствий таких нарушений, в том числе, но не ограничиваясь:

• привлекает виновных лиц к ответственности,
• осуществляет уничтожение, исправление или блокирование ПДн, в порядке и сроки, предусмотренные действующим законодательством и/или настоящим Положением,
• с учетом фактических обстоятельств нарушения, принимает дополнительные правовые, организационные или технические меры для достижения указанных настоящем пункте целей,
• возмещает вред, причиненный указанным нарушением,
• с учетом фактических обстоятельств нарушения принимает иные доступные меры, исключающие в дальнейшем (сводящих к минимуму) вероятность повторения подобного нарушения, а также устраняющие последствия такого нарушения.

12. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Компания уничтожает ПДн в следующих случаях:
      • Достижение целей обработки ПДн или утраты необходимости в их достижении.
      • Получение соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства Российской Федерации.
      • Отзыв согласия субъекта на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн).
      • Получение соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.
      • В иных случаях, предусмотренных действующим законодательством Российской Федерации.
    • По результатам уничтожения ПДн составляется акт (по форме Приложения 1 к настоящему Положению).
    • Компания может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Компания и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.
    • Уничтожение информации, содержащей ПДн, производится в срок, предусмотренный действующим законодательством Российской Федерации, в частности 152-ФЗ. В случае отсутствия возможности уничтожения ПДн в течение установленного законом срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами
    • К ПДн, хранимым в электронном виде, относятся файлы, папки, электронные архивы на жестком диске компьютера и съёмных машинных носителях (компакт-дисках CD-R/RWhhh DVD-R/RW, дискетах 3,5, флеш-носителях).
    • Съёмные машинные носители по истечению сроков обработки и хранения на них ПДн подлежат уничтожению с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
    • В случае допустимости повторного использования съёмного машинного носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.
    • Подлежащие уничтожению файлы с ПДн. расположенные на жестком диске информационной системы ПДн, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
    • Черновики документов, испорченные листы, варианты и неподписанные проекты документов, а также иные материальные носители ПДн уничтожаются путём их сожжения или измельчения, или другим путем, исключающим восстановление текста документов.
      
      
13. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Обработка Компанией биометрических ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, обрабатываются Компанией только при наличии согласия в письменной форме субъекта персональных данных или в случаях, прямо предусмотренных действующим законодательством.
    • Создание фото- и видеоизображений производится в Компании с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости.

Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Компанией, как биометрические ПДн.

14. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ
    • Интернет-сайты Компании используют файлы cookie. Сайты Компании предупреждают посетителей об использовании таких файлов и отслеживании действий пользователя.
    • Файлы cookie, используемые на веб-сайтах Компании, подразделяются на 3 категории:

• обязательные файлы cookie, которые требуются для просмотра веб-сайтов Компании и использования их функций и обеспечивающие работоспособность основных функций сайта.
• файлы cookie, которые осуществляют сбор информацию об использовании веб­сайтов, например, о наиболее часто посещаемых страницах. Указанные данные используются для оптимизации веб-сайтов и упрощения навигации, отслеживания действий посетителя на сайте. Указанная информация, собранная с помощью таких файлов cookie, предназначена только для статистических целей и остается анонимной.
• настроечные файлы cookie, которые позволяют веб-сайтам Компании запомнить сделанный посетителем выбор при просмотре сайта, могут использоваться для запоминания других настраиваемых параметров сайта. Указанные файлы также могут использоваться для отслеживания рекомендуемых продуктов во избежание повторения. Информация, предоставляемая такими файлами cookie, не позволяет идентифицировать посетителя сайта.
  • При отсутствии потребности в получении cookie при просмотре сайтов Компании, посетитель сайта может настроить используемый им браузер таким образом, чтобы он предупреждал его о возможном принятии файлов cookie, либо полностью блокировал такое получение.

15. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ

ЗАКОНОДАТЕЛЬСТВА

• В соответствии с законодательством Российской Федерации Компания несет ответственность за соблюдение требований законодательства Российской Федерации в области ПДн, а также за обеспечение конфиденциальности и безопасности ПДн при их обработке.
• Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных актов Компании в области ПДн в структурных подразделениях Компании, а также за обеспечение конфиденциальности и безопасности ПДн возлагается на руководителей этих подразделений и сотрудников, допущенных к обработке ПДн.

16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

16.1. Настоящее Положение утверждается приказом Генерального директора.

16.2. В случае, если в результате изменения законодательства Российской Федерации отдельные пункты Положения вступят в противоречие с нормами законодательства Российской Федерации, в том числе актами Банка России, эти пункты утрачивают силу, и до момента внесения изменений в настоящее Положение, следует руководствоваться законодательством Российской Федерации, в том числе актами Банка России.