1. ОБЩИЕ ПОЛОЖЕНИЯ

2. НОРМАТИВНАЯ ДОКУМЕНТАЦИЯ

3. ЦЕЛИ ООО «ТЕХНОЛОГИИ ЦИФРОВОЙ БЕЗОПАСНОСТИ» В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.2 СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

4.3 ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.4 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

4.5 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.6 УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.7 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1 ОБЩИЕ ПОЛОЖЕНИЯ

5.2 ОРГАНИЗАЦИЯ ВНУТРЕННЕГО ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.3 ОРГАНИЗАЦИЯ ДОСТУПА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ

6. ОТВЕТСТВЕННОСТЬ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика обработки персональных данных (далее – Политика) в Обществе с ограниченной ответственностью «Технологии цифровой безопасности» (далее – ООО «Технологии цифровой безопасности») разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее – ПДн). Политика определяет принципы сбора, обработки, хранения, передачи и защиты ПДн физических лиц (далее – субъекты ПДн), реализуемые в ООО «Технологии цифровой безопасности».

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.

2. НОРМАТИВНАЯ ДОКУМЕНТАЦИЯ

Настоящая Политика разработана в соответствии с требованиями следующих нормативно-правовых документов в области защиты ПДн:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

3. ЦЕЛИ ООО «ТЕХНОЛОГИИ ЦИФРОВОЙ БЕЗОПАСНОСТИ» В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании согласно законодательству Российской Федерации и Уставу Компании.

Важнейшими целями ООО «Технологии цифровой безопасности» в области защиты персональных данных являются:

  • соответствие требованиям законодательства Российской Федерации и договорным обязательствам в части защиты персональных данных при оказании услуг;
  • обеспечение конфиденциальности, целостности и доступности персональных данных;
  • применение адекватных мер по защите от угроз в отношении персональных данных;
  • предотвращение и (или) снижение ущерба от реализации угроз в отношении персональных данных.

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основные принципы обработки персональных данных ООО «Технологии цифровой безопасности»:

  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор (ООО «Технологии цифровой безопасности») должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2 СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн. Исключение составляют случаи, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:

  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.3 ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн в соответствии с законодательством Российской Федерации. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться как на бумажных носителях, так и в электронном виде.

ПДн на бумажных носителях, должны храниться в запираемых шкафах или сейфах структурных подразделений, осуществляющих обработку персональных данных.

ПДн субъектов в электронном виде обрабатываются в компьютерных сетях ООО «Технологии цифровой безопасности».

4.4 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

ООО «Технологии цифровой безопасности» обязуется и обязует иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

4.5 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Трансграничная передача ПДн не осуществляется.

4.6 УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае достижения цели обработки ПДн ООО «Технологии цифровой безопасности» обязано прекратить обработку ПДн, если иное не предусмотрено договором между ООО «Технологии цифровой безопасности» и субъектом персональных данных.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн ООО «Технологии цифровой безопасности» обязано прекратить их обработку, если иное не предусмотрено договором между ООО «Технологии цифровой безопасности» и субъектом ПДн, либо если ООО «Технологии цифровой безопасности» вправе осуществлять обработку ПДн без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

В случае выявления неправомерной обработки ПДн ООО «Технологии цифровой безопасности» должно предпринять меры по уничтожению этих ПДн в срок, не превышающий семи рабочих дней со дня выявления неправомерной обработки ПДн.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока, ООО «Технологии цифровой безопасности» необходимо осуществить блокирование таких ПДн и обеспечить уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен федеральным законодательством.

В случае если уничтожение ПДн было произведено по результатам обработки обращения субъекта ПДн и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых действиях ООО «Технологии цифровой безопасности» обязано уведомить субъекта ПД и (или) уполномоченный орган по защите прав субъектов ПДн.

ПДн на бумажных носителях необходимо уничтожать с помощью средств, гарантирующих невозможность восстановления носителя или посредством вычеркивания (вымарывания и т.п.) ПДн.

Уничтожение информации с машиночитаемых носителей ПДн, пришедших в негодность или утративших практическую ценность, должно производиться способом, исключающим возможность использования и восстановления информации.

Уничтожение ПДн должно производиться в соответствии с актуальными внутренними процессами ООО «Технологии цифровой безопасности».

4.7 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке ПДн ООО «Технологии цифровой безопасности» необходимо принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн должно достигаться, в частности:

  • определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
  • установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1 ОБЩИЕ ПОЛОЖЕНИЯ

ООО «Технологии цифровой безопасности» необходимо обеспечивать конфиденциальность ПДн, то есть не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

5.2 ОРГАНИЗАЦИЯ ВНУТРЕННЕГО ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ

В рамках данной Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам ООО «Технологии цифровой безопасности».

Доступ к ПДн необходимо предоставлять только тем работникам ООО «Технологии цифровой безопасности», которым ПДн необходимы для исполнения их непосредственных должностных обязанностей.

Допуск работников ООО «Технологии цифровой безопасности» к обработке ПДн требуется осуществлять на основании утвержденного перечня работников структурных подразделений, допущенных к работе с ПДн, обрабатываемыми в ООО «Технологии цифровой безопасности». Работник ООО «Технологии цифровой безопасности» должен допускаться к обработке ПДн только в рамках тех задач, которые он обязан осуществлять для поддержания бизнес-процессов ООО «Технологии цифровой безопасности».

Работник ООО «Технологии цифровой безопасности» должен допускаться к обработке ПДн только после ознакомления с внутренними нормативными документами ООО «Технологии цифровой безопасности», регламентирующими обработку ПДн, под роспись в специальных Листах ознакомления, а также после подписания обязательств о неразглашении персональных данных.

5.3 ОРГАНИЗАЦИЯ ДОСТУПА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ

ООО «Технологии цифровой безопасности» обязано обеспечивать доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в ООО «Технологии цифровой безопасности» письменный запрос на адрес: 191014, г. Санкт-Петербург г, Басков пер, дом № 10, строение литера А, оф.3-Н, в ООО «Технологии цифровой безопасности». ООО «Технологии цифровой безопасности» осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.

В соответствии с законом №152-ФЗ «О персональных данных» субъект ПД имеет право:

  • Получить сведения касающиеся обработки ПДн ООО «Технологии цифровой безопасности», а именно:
    • подтверждение факта обработки персональных данных субъекта ПДн;
    • правовые основания и цели обработки персональных данных субъекта ПДн;
    • цели и применяемые способы обработки персональных данных субъекта ПДн;
    • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным субъекта ПДн или которым могут быть раскрыты персональные данные субъекта ПДн на основании договора с оператором или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных субъекта ПДн, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных субъекта ПДн;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
  • Потребовать от ООО «Технологии цифровой безопасности» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;
  • Потребовать исключения своих ПДн из общедоступных источников персональных данных (при их наличии);
  • Отозвать согласие на обработку ПДн в предусмотренных законом «О персональных данных» случаях.

6. ОТВЕТСТВЕННОСТЬ

ООО «Технологии цифровой безопасности» несет ответственность за защиту ПДн субъектов ПДн, обязуется не разглашать персональные данные и не использовать их, кроме как в целях исполнения обязательств при оказании услуг и других целей, не противоречащих законодательству Российской Федерации.

За предоставление неполных, неточных или неактуальных сведений субъектом ПДн ООО «Технологии цифровой безопасности» ответственности не несет.

При нарушении ООО «Технологии цифровой безопасности» норм, регулирующих получение, обработку и защиту ПДн, работники ООО «Технологии цифровой безопасности» несут ответственность в соответствии с законодательством Российской Федерации.