Положение

об обработке и обеспечении безопасности персональных данных

1. Термины и сокращения
2. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее – Положение) разработано в соответствии с Политикой в отношении обработки персональных данных (далее – ПДн) в Обществе с ограниченной ответственностью «Креативный институт идей и новых профессий» (далее – Общество).
1.2. Настоящее Положение уточняет порядок и условия обработки ПДн в Обществе.
1.3. Настоящее Положение разработано в соответствии с:
· Конституцией Российской Федерации (далее – РФ);
· Федеральным законом от 30.12.2001 № 197-ФЗ «Трудовой кодекс Российской Федерации» (далее – Трудовой кодекс РФ);
· Федеральным законом от 31.07.1998 № 197-ФЗ «Налоговый кодекс Российской Федерации (часть первая)»;
· Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ);
· Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
· Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119);
· приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
· приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
· иными нормативно-правовыми актами РФ в области обработки и защиты ПДн.
1.4. Требования Положения распространяются на все процессы обработки ПДн Общества, независимо от формы представления ПДн, и являются обязательными для выполнения должностными лицами Общества, принимающими участие в процессах обработки ПДн.
3. Правовые основания обработки персональных данных
1.5. Обработка ПДн в Обществе осуществляется в случае выполнения хотя бы одного из следующих условий (правовые основания обработки ПДн):
· при наличии согласия субъекта ПДн (формы согласий представлены в приложениях 1-18);
· для достижения целей, предусмотренных законодательством РФ, для осуществления возложенных законодательством на Общество функций и обязанностей;
· для исполнения или заключения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
· при наличии иных условий, допускающих обработку ПДн, согласно законодательству РФ.
1.6. До начала обработки оператор обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн. Форма уведомления о намерении осуществлять обработку ПДн представлена в приложении 23.
1.7. В случае изменения сведений, указанных в уведомлении о намерении осуществлять обработку ПДн, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов ПДн обо всех произошедших за указанный период изменениях. Форма уведомления о об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, представлена в приложении 24.
1.8. В случае прекращения обработки ПДн оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов ПДн в течение десяти рабочих дней с даты прекращения обработки ПДн. Форма уведомления о прекращении обработки ПДн представлена в приложении 25.
1.9. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, а также биометрических ПДн Общества возможна только на основании согласия субъекта ПДн в письменной форме и в соответствии с применимыми требованиями действующего законодательства и локальных актов.
1.10. ПДн могут быть получены не от субъекта ПДн (от третьего лица или из другого источника), при условии предоставления Обществу подтверждения наличия оснований, предусмотренных 152-ФЗ. При этом до начала обработки ПДн субъекту направляется уведомление об обработке его ПДн, за исключением следующих случаев:
· субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
· ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
· осуществляется обработка ПДн, разрешенных субъектом ПДн для распространения, с соблюдением запретов и условий, предусмотренных 152-ФЗ;
· осуществляется обработка ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
· предоставление субъекту ПДн сведений, содержащихся в уведомлении, нарушает права и законные интересы третьих лиц.
4. Порядок обработки персональных данных
1.11. Действия с ПДн включают в себя автоматизированную обработку, обработку без использования средств автоматизации и смешанную обработку. Общество выполняет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
4.1. Сбор персональных данных
4.1.1. Сбор ПДн должен осуществляться с согласия субъекта ПДн или на основаниях, указанных в п. 2-11 ч. 1 ст. 6 152-ФЗ.
4.1.2. Общество во исполнение требований ст. 88 Трудового кодекса РФ также должно осуществлять сбор согласий на обработку ПДн субъектов ПДн при передаче ПДн работника третьим лицам.
4.1.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются.
4.1.4. Формы согласий на обработку ПДн субъектов ПДн представлены в приложениях 1-18.
4.2. Хранение персональных данных
4.2.1. Хранение ПДн должно осуществляться в порядке, исключающем их утрату, неправомерное использование и несанкционированный доступ.
4.2.2. Хранение ПДн Общества должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели их обработки и требования нормативных документов РФ, определяющих порядок и сроки хранения документов, после чего ПДн могут быть обезличены (при необходимости).
4.3. Уточнение персональных данных
4.3.1. Уточнение ПДн должно производиться при получении и на основании запроса субъекта ПДн на уточнение ПДн в связи с выявлением недостоверных ПДн субъекта ПДн.
4.3.2. В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн. 
4.3.3. Форма запроса на уточнение ПДн представлена в приложении 3 Политики в отношении обработки персональных данных.
4.4. Передача персональных данных
4.4.1. Передача ПДн Обществом должна осуществляться только с согласия субъекта ПДн.
4.4.2. В случае передачи ПДн третьим лицам в целях выполнения требований нормативных правовых актов РФ или выполнения условий договора, Общество должно уведомлять их о том, что переданные ПДн могут быть использованы только в целях, в которых они переданы, и имеет право требовать от третьих лиц подтверждения выполнения этого требования.
4.4.3. В случае, если Общество на основании договора осуществляет передачу ПДн третьему лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
4.4.4. Перечень лиц, которым может быть поручена обработка и могут быть переданы ПДн субъектов ПДн представлен в приложении 20.
4.5. Обезличивание персональных данных
4.5.1. Обезличивание ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения уровня ИСПДн и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
4.5.2. Обезличивание ПДн должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
4.5.3. Методы обезличивания при условии дальнейшей обработки ПДн:
· метод введения идентификаторов;
· метод изменения состава или семантики;
· метод декомпозиции;
· метод перемешивания.
4.5.4. Метод введения идентификаторов реализуется путем замены части ПДн, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
4.5.5. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
4.5.6. Метод декомпозиции реализуется путем разбиения множества записей ПДн на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
4.5.7. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.6. Блокирование персональных данных
4.6.1. Блокирование информации, содержащей ПДн субъекта ПДн, должно производиться в случаях:
· если ПДн являются неполными, устаревшими, недостоверными;
· если сведения являются незаконно полученными или не являются необходимыми для заявленной оператором ПДн цели обработки.
4.6.2. Общество должно блокировать обрабатываемые ПДн при выявлении их недостоверности или неправомерных действий в отношении субъекта ПДн по требованию субъекта ПДн, по требованию уполномоченного органа по защите прав субъектов ПДн и по результатам внутренних контрольных мероприятий в соответствии с порядком, утвержденным в Обществе.
4.6.3. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
4.6.4. Форма запроса на блокирование ПДн представлена в приложении 3 Политики в отношении обработки персональных данных.
4.7. Уничтожение персональных данных
4.7.1. Обрабатываемые Обществом ПДн должны быть уничтожены в случаях:
· достижения целей обработки ПДн или утраты необходимости в их достижении;
· получения соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства РФ (форма запроса на уничтожение ПДн представлена в приложении 3 Политики в отношении обработки персональных данных);
· отзыва согласия субъекта на обработку его ПДн (если отзыв влечет за собой уничтожение ПДн);
· получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн.
4.7.2. Акт об уничтожении носителей, содержащих ПДн субъектов, в электронной форме, подписанный квалифицированной электронной подписью, в соответствии с законодательством РФ признается электронным документом, равнозначным акту на бумажном носителе, подписанному собственноручной подписью должностных лиц, уничтоживших ПДн.
4.7.3. ПДн не подлежат уничтожению в случае отзыва субъектом ПДн согласия на их обработку, если Общество вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или иными федеральными законами.
5. Меры по обеспечению безопасности персональных данных при их обработке
1.12. Общество принимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования и других несанкционированных действий.
1.13. Общество реализует следующие правовые и организационные для обеспечения безопасности ПДн:
· определение и утверждение Обществом: Политики в отношении обработки ПДн, категорий субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
· определение состава ИСПДн Общества;
· определение перечня и типа угроз безопасности ПДн, актуальных для ИСПДн Общества;
· ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
· обнаружение фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
· восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· определение угроз безопасности ПДн, обрабатываемых в ИСПДн;
· создание системы защиты ПДн, включающей организационные и технические меры по обеспечению безопасности ПДн, среди которых назначение ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн, администраторов ИСПДн;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· проведение оценки эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
· установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
· оценку вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
· контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
1.14. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Общество руководствуется требованиями, указанными в Регламенте регистрации событий безопасности и управления инцидентами информационной безопасности (далее – ИБ).
1.15. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн Общества, осуществляется в соответствии с требованиями, установленными ПП-1119 и приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
1.16. Администратором ИСПДн должен осуществляться своевременный контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и иных средств вычислительной техники.
1.17. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ, осуществляется ответственным за организацию обработки ПДн в соответствии с Регламентом оценки вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», утвержденным в Обществе.
1.18. По результатам оценки оформляется Акт оценки вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ, в ООО «КИИНП».
1.19. Общество осуществляет контроль за выполнением требований по обработке и обеспечению безопасности ПДн, установленных действующим законодательством РФ и локальными нормативными актами Общества.
1.20. Порядок контроля регламентирован утвержденным в обществе Регламентом проведения внутреннего контроля и оценки эффективности системы защиты персональных данных.
6. Обработка персональных данных без использования средств автоматизации
1.21. ПДн при их неавтоматизированной обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм.
1.22. К обработке ПДн без использования средств автоматизации допускаются лица, прошедшие первичный инструктаж по вопросам безопасности ПДн в соответствии с Инструкцией по проведению первичного инструктажа по обеспечению безопасности ПДн и внесенные в перечень лиц, допущенных к обработке ПДн.
1.23. Работники Общества и подрядных организаций, осуществляющие обработку ПДн без использования средств автоматизации, в обязательном порядке информируются:
· о факте обработки ими ПДн;
· о категориях обрабатываемых ПДн;
· об особенностях и правилах осуществления обработки ПДн.
1.24. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
1.25. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
1.26. Типовые формы документов, заполняемые субъектами ПДн (заявления субъектов ПДн), характер информации в которых предполагает или допускает включение в них ПДн, обязаны удовлетворять следующим условиям:
· типовая форма или связанные с ней документы должны содержать сведения о цели обработки ПДн, имя (наименование) и адрес оператора (наименование и адрес Общества), фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
· типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, при необходимости получения письменного согласия на обработку ПДн;
· типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
· типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых, заведомо не совместимы.
1.27. При необходимости уничтожения ПДн уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению.
1.28. Уничтожение части ПДн может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (вымарывание).
1.29. Уточнение ПДн производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными ПДн.
7. Обработка персональных данных с использованием средств автоматизации
1.30. Обработка ПДн с использованием средств автоматизации осуществляется в ИСПДн Общества.
1.31. Обработка ПДн в ИСПДн осуществляется в соответствии с 152-ФЗ, ПП-1119 и иными подзаконными актами, устанавливающими требования по обеспечению безопасности ПДн в ИСПДн.
1.32. В целях контроля соответствия ИСПДн требованиям ИБ формируется комиссия по определению уровня защищенности ИСПДн (далее – Комиссия).
1.33. В соответствии с постановлением Правительства № 1119 для каждой ИСПДн определяется уровень защищенности ИСПДн.
1.34. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн Общества формируются на основании установленного уровня защищенности ИСПДн и перечня актуальных угроз безопасности ПДн.
1.35. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн реализуются комплексом организационных и технических мер, средств и механизмов защиты информации.
8. Трансграничная передача данных
1.36. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.37. В случае осуществления трансграничной передачи проводится оценка мер соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке.
1.38. До начала осуществления деятельности по трансграничной передаче ПДн оператор направляет уведомление в виде документа на бумажном носителе или в форме электронного документа в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн уведомляется уполномоченный орган по защите прав субъектов ПДн.
1.39. В случае принятия уполномоченным органом по защите прав субъектов ПДн решения о запрете или об ограничении трансграничной передачи, Общество обеспечивает уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных ПДн.
9. Взаимодействие с субъектами персональных данных и федеральными органами исполнительной власти 
1.40. Общество способствует реализации законных прав субъектов ПДн и осуществляет реагирование на запросы и обращения субъектов ПДн, в том числе предоставление им информации, связанной с обработкой их ПДн, в соответствии с требованиями законодательства РФ.
1.41. Субъекты ПДн обязаны предоставлять Обществу полные и достоверные данные информацию о себе. В случае изменения своих ПДн субъекты ПДн обязаны сообщать данную информацию Обществу. Все риски предоставления неполной или недостоверной информации лежат на субъекте ПДн.
1.42. Субъект ПДн вправе:
· получить доступ к своим ПДн;
· требовать от Общества уточнения своих ПДн, их блокирования или уничтожения (в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки);
· требовать от Общества обеспечения уточнения, блокирования или уничтожения ПДн, если обработка ПДн осуществляется третьими лицами по поручению Общества;
· отозвать согласие на обработку его ПДн, направив Обществу письменное уведомление об отзыве согласия на обработку его ПДн. В таком случае Общество прекращает обработку ПДн субъекта ПДн и в срок, не превышающий тридцати дней с даты поступления вышеуказанного отзыва, уничтожает ПДн субъекта ПДн, за исключением тех ПДн, сохранение которых, требуется для целей обработки ПДн в соответствии с законодательством РФ;
· требовать прекращения обработки его ПДн в целях продвижения товаров и услуг путем прямых контактов с помощью средств связи;
· в любой момент изменить (обновить, дополнить) предоставленные им ПДн или их часть путем направления уведомления Обществу;
· обжаловать действия или бездействие Общества, обратившись в уполномоченный орган по защите прав субъектов ПДн, или в судебном порядке.
1.43. Взаимодействие с субъектами ПДн осуществляется в соответствии с Регламентом взаимодействия с субъектами персональных данных и уполномоченным органом по защите прав субъектов персональных данных.
1.44. Сведения всех поступающих запросов субъектов ПДн фиксируются в Журнале учета обращений субъектов ПДн.
1.45. Взаимодействие с федеральными органами исполнительной власти, в том числе с уполномоченным органом по защите прав субъектов ПДн, по вопросам обработки Обществом ПДн и обеспечения их безопасности, осуществляется в соответствии с законодательством РФ.
10. Ответственность за нарушение норм, регулирующих обработку персональных данных
1.46. Лица, виновные в нарушении требований, регулирующих обработку и обеспечение ИБ ПДн, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность, предусмотренную законодательством РФ, правовыми актами Общества и договорами, регламентирующими правоотношения Общества с третьими лицами.
Контроль за выполнением требований настоящего документа возлагается на ответственного за организацию обработки ПДн Общества.