Общество с ограниченной ответственностью
Коллекторское агентство
«Организация по работе с проблемной задолженностью»
Политика
в отношении обработки персональных данных
г. Екатеринбург
«Положение о защите персональных данных» (при дальнейшем изложении «Положение») регулирует порядок защиты прав физических лиц – субъектов персональных данных, являющихся сотрудниками, либо третьими лицами, с которыми взаимодействует ООО КА «ОРПЗ».
Положение разработано с целью защиты хранящихся и обрабатываемых ООО КА «ОРПЗ» персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
1. Основные понятия, используемые в настоящем Положении
1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под физическим лицом применительно к Положению понимается также любое физическое лицо, уполномоченное в порядке, предусмотренном Гражданским Кодексом РФ, представлять юридическое лицо и осуществлять его права и обязанности во взаимоотношениях с Организацией.
1.2. Субъекты персональных данных – лица, чьи данные хранятся и обрабатываются Кооперативом в процессе осуществления им своей деятельности. Положение распространяется на следующие категории субъектов персональных данных:
1.2.1 Работник – лицо, состоящее в трудовых отношениях с кооперативом;
1.2.2. Иные лица – лица, персональные данные которых могут обрабатываться индивидуальным предпринимателем в связи с осуществлением им своей деятельности.
1.3. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, в том числе Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.5. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.10. Материальный носитель персональных данных – бумажный или магнитный (съемный) носитель информации, на котором хранится, уточняется, изменяется, дополняется, блокируется и уничтожается информация о персональных данных субъектов персональных данных.
1.11. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.12. Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы и системы управления базами данных), средства защиты информации, применяемые в информационных системах.
1.13. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.14. Общество - Общество с ограниченной ответственностью Коллекторско агентство
«Организация по работе с проблемной задолженностью» (ОГРН 1156658063011, адрес регистрации: 620085, г. Екатеринбург, ул. Титова, 19 оф.202).
1.15. Сайт Общества – официальный сайт общества: orpz2015@mail.ru
2. Режим обработки персональных данных
2.1. Обработка персональных данных Обществом осуществляется на основе следующих принципов:
2.1.1. Законности целей и способов обработки персональных данных и добросовестности;
2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных в соответствии определенными законодательством и уставом полномочиями и обязанностями оператора;
2.1.3. Соответствия объема и характера обрабатываемых персональных данных и способов их обработки установленным целям обработки персональных данных.
2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
2.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Состав персональных данных, предоставляемых оператору субъектами персональных данных, определяется законодательством по каждой категории субъектов персональных данных: по работникам оператора, установленной п.2 раздела 1.
2.3. Хранение и обработка персональных данных субъекта персональных данных, учитываемых в информационных базах данных оператора, осуществляется в целях его идентификации, ведения истории и оценки характера взаимоотношений с оператором.
2.4. Список работников и индивидуальных предпринимателей, имеющих право доступа к информационной системе и персональным данным определенной категории субъектов персональных данных, либо к определенным информационным массивам (базам данных), определяется Обществом в соответствии с функциональными и должностными полномочиями и обязанностями сотрудников и условиями договоров, заключенных с Обществом.
2.5. Цели и способы обработки оператором персональных данных разъясняются субъектам персональных данных. Все обрабатываемые персональные данные оператор получает исключительно от самих субъектов персональных данных. Не допускается сбор и обработка персональных данных о субъекте персональных данных, полученных от третьих лиц, за исключением случаев, когда получение таких данных предусмотрено законодательством.
2.6. Обработка персональных данных признается осуществленной без использования средств автоматизации, поскольку осуществляется при непосредственном участии уполномоченных на то сотрудников оператора.
2.7. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
2.8. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами оператора.
2.9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, оператором принимаются меры по обеспечению раздельной обработки персональных данных.
2.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.11. Правила, предусмотренные пунктами 9 и 10 Раздела 2, Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
2.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
2.14. Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), по категориям субъектов персональных данных, обработка которых осуществляется в различных целях. При совпадении целей обработки персональных данных допускается совместное хранение персональных данных различных субъектов.
2.15. Оператор не осуществляет исключительно автоматизированную обработку персональных данных субъектов персональных данных, порождающую для них какие-то бы ни было юридические последствия.
2.16. Исключительно автоматизированная обработка персональных данных может осуществляться оператором обезличенно в целях статистического и социологического анализа по определенным критериям (пол, возрастная группа, территориальный признак, характер деятельности и пр.).
2.17. Обработка персональных данных осуществляется оператором с письменного согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152 – ФЗ от 27.07.2006 года «О персональных данных».
2.18. Письменное согласие субъекта на обработку его персональных данных может оформляться отдельным документом, либо включено в общий документ, оформляющий условия взаимоотношений субъекта персональных данных с оператором. Документ, в котором письменно подтверждается согласие субъекта на обработку его персональных данных оператором, должен содержать:
2.18.1. ФИО, адрес регистрации (прописки) и адрес фактического проживания, данные основного документа, удостоверяющего личность, сведения о дате его выдачи и выдавшем органе;
2.18.2. Описание цели обработки персональных данных;
2.18.3. Перечень персональных данных, на обработку которых субъектом персональных данных дается согласие;
2.18.4. Перечень действий с персональными данными субъекта персональных данных, на совершение которых дается согласие, либо согласие на общий характер действий с персональными данными, происходящими из существа взаимоотношений субъекта персональных данных с оператором;
2.18.5. Срок действия согласия субъекта персональных данных и порядок отзыва им согласия на обработку его персональных данных;
2.18.6. Собственноручная подпись субъекта персональных данных (при этом равнозначным содержащему собственноручную подпись субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью в случаях, предусмотренных действующим законодательством).
2.19. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2.20. Согласие на обработку персональных данных может быть письменно отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных».
2.21. Оператором обеспечивается конфиденциальность обрабатываемых им персональных данных.
2.22. Любой субъект персональных данных имеет право на ознакомление со своими персональными данными в объеме, установленном законодательством и содержащимся в базах данных оператора. Сведения о наличии персональных данных по запросам субъектов персональных данных предоставляются оператором в форме справки. В такой справке не могут содержаться персональные данные других субъектов. При получении запроса субъекта персональных данных о предоставлении ему его личных персональных данных, оператор идентифицирует этого субъекта персональных данных по учтенным в информационных базах оператора идентификационным данным и, в случае необходимости, может запросить дополнительные документы, удостоверяющие личность этого субъекта.
2.23. При заявлении требования о предоставлении оператором своих персональных данных субъект персональных данных имеет право на получение дополнительной информации, в том числе:
2.23.1. О способах обработки персональных данных, применяемых оператором;
2.23.2. О сотрудниках оператора, имеющих доступ к персональным данным и/или которым может быть предоставлен такой доступ;
2.23.3. О перечне обрабатываемых персональных данных и источнике их получения;
2.23.4. О сроках обработки и хранения персональных данных;
2.23.5. О юридических для него последствиях, которые может повлечь обработка его персональных данных.
2.24. Все запросы субъектов персональных данных на ознакомление с их персональными данными регистрируются в журнале регистрации и учета обращений субъектов персональных данных.
2.25. Любой субъект персональных данных вправе потребовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими или недостоверными.
2.26. Любой субъект персональных данных может обращаться к оператору с требованием об изменении, уточнении, уничтожении, ознакомлении, блокировании или иными действиями с его персональными данными лично или через своего законного представителя, полномочия которого подтверждаются в порядке, установленном Гражданским Кодексом РФ.
2.27. Обязанность предоставить доказательство о своевременном сообщении оператору сведений обо всех изменениях, произошедших в персональных данных, возлагается на субъектов персональных данных.
2.28. Любой субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите своих прав в случае, если считает, что оператор осуществляет обработку его персональных данных с нарушениями действующего законодательства.
2.29. Все сотрудники оператора, в том числе работающие по договорам гражданско-правового характера, вправе инициализировать и выносить на рассмотрение оператора свои предложения по совершенствованию системы защиты персональных данных, к которым они имеют доступ.
2.30. Все персональные данные формируются индивидуально по каждому субъекту персональных данных, и хранятся в архиве. Все персональные данные систематизированы по категориям субъектов персональных данных, характеру их взаимоотношений с кооперативом. Документы хранятся в головном офисе в закрытых шкафах, расположенных в операционном зале и находящихся под надзором сотрудников оператора, что исключает несанкционированный доступ к месту хранения персональных данных со стороны других субъектов персональных данных и третьих лиц. Правом доступа к персональным данным обладают уполномоченные сотрудники оператора, отвечающие за взаимоотношения с данными субъектами персональных данных.
2.31. Приказом и условиями договоров, заключенных с третьими лицами (в том числе с индивидуальными предпринимателями), все сотрудники оператора, в том числе работающие по договорам гражданско–правового характера, расписываются в том, что они предупреждены об условиях конфиденциальности информации, содержащей персональные данные субъектов персональных данных, способах обработки и защиты персональных данных, о недопустимости разглашения такой информации и мерах материальной и дисциплинарной ответственности, применяемых в случае разглашения такой информации, в соответствии с требованиями действующего законодательства.
3. Определение класса информационной системы, используемой для обработки и защиты персональных данных
3.1. Состав информационной системы, используемой оператором для обработки и защиты персональных данных.
Используемая оператором информационная система включает следующие компоненты:
3.1.1. Программный продукт Антивирус Windows Defender (правообладатель – «Мicrosoft»);
3.1.2. Программная операционная система Windows (правообладатель – компания «Мicrosoft»)
3.1.3. СРМ. WS. Коллекторское агентство (правообладатель ООО «Программные системы»);
3.2. Исходные данные информационной системы:
3.2.1. ПД – категория 3 (персональные данные, позволяющие идентифицировать субъекта персональных данных);
3.2.2. НПД – 3 (в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или субъектов персональных данных в пределах одной конкретной организации);
3.2.3. По характеристикам безопасности персональных данных информационная система относится к специальным информационным системам, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий);
3.2.4. По структуре информационная система представляет собой комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
3.2.5. Информационная система не относится к системам, имеющим наличие подключений к сетям связи общего пользования и сетям международного информационного обмена (интернет);
3.2.6. По режиму обработки персональных данных информационная система является многопользовательской;
3.2.7. По разграничению прав доступа пользователей информационная система является системой с разграничением прав доступа сотрудников оператора в соответствии с их компетенцией;
3.2.8. Информационная система является системой, все технические средства которой расположены в пределах Российской Федерации.
3.3. Классификация информационной системы.
3.3.1. Информационная система относится к третьему классу информационных систем, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
3.3.2. Класс информационной системы может быть пересмотрен по решению оператора (оператора) на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменения конкретной информационной системы, а также по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
3.3.3. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
4. Режим защиты информационной системы от несанкционированного доступа
4.1. Режим защиты информационной системы от несанкционированного доступа разработан в соответствии с Положением «О методах и способах защиты информации в информационных системах персональных данных», утвержденным Приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 года №58.
4.2. Управление доступом.
4.2.1. Управление доступом к информационной системе вводится в целях защиты обрабатываемых информационной системой персональных данных от несанкционированного доступа;
4.2.2. Для управления доступом к информационной системе вводится разрешительная система допуска пользователей (обслуживающего персонала) к информационной системе и связанным с ее использованием работам и документам;
4.2.3. На каждый компьютер, с которого может быть осуществлен доступ к информационной системе, устанавливается пароль условно-постоянного действия, состоящий не менее чем из шести буквенно-цифровых символов, позволяющий идентифицировать сотрудника, имеющего право доступа к информационной системе;
4.2.4. Каждому сотруднику оператора, имеющему право доступа к информационной системе, присваивается отличная от других учетная запись пользователя, позволяющая идентифицировать его при обращении к информационным массивам (базам данных) информационной системы;
4.2.5. Пароль, обеспечивающий доступ к информационной системе с закрепленного за каждым сотрудником автоматизированного рабочего места, доводится до каждого сотрудника индивидуально. Каждый сотрудник при получении переданного ему пароля доступа к информационной системе информируется, что он предупрежден о необходимости сохранять полученный пароль в тайне, не передавать его третьим лицам, в том числе другим сотрудникам Кооператива;
4.2.6. Право доступа к списку паролей доступа к информационной системе и его изменению имеют Директор, главный бухгалтер или третье лицо, оказывающее услуги по ведению бухгалтерского учета на основании заключенного с ним договора, а также консультант-программист, обслуживающий информационную систему.
4.3. Разграничение доступа:
4.3.1. Разграничение доступа к информационной системе вводится с целью распределения прав пользования информационной системой между сотрудниками оператора в соответствии с их функциональными и должностными обязанностями и третьими лицами в соответствии с условиями заключенных с ними договоров;
4.3.2. Директор, главный бухгалтер или третье лицо, оказывающее услуги по ведению бухгалтерского учета на основании заключенного с ним договора, а также консультант-программист, обслуживающий информационную систему, пользуются правом неограниченного доступа к информационной системе, обрабатываемым ею информационным массивам (базам данных) и формируемым ею документам с правом вносить изменения в сформированные информационной системой документы;
4.3.3. Сотрудники оператора, которые в силу свих функциональных и должностных обязанностей работают с определенными информационными массивами (базами данных), пользуются правом ограниченного доступа к информационной системе в разрезе информационных массивов (баз данных). Право ограниченного доступа к информационной системе позволяет им вводить и использовать персональные данные субъектов персональных данных конкретных информационных массивов (баз данных) исключительно в рамках их компетенции для исполнения своих должностных обязанностей;
4.3.4. Остальные сотрудники оператора имеют право доступа к информационной системе исключительно при работе с общедоступными персональными данными субъектов персональных данных, на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
4.4. Регистрация входа и выхода:
4.4.1. Регистрация входа в информационную систему и выхода из нее вводится в целях фиксации количества и характера обращений к информационной системе, в том числе с использованием защищаемых съемных носителей информации;
4.4.2. В параметрах регистрации указываются дата и время входа (выхода), учетная запись и пароль сотрудника, результат попытки входа (успешная или нет), вид совершенной операции, номер сформированного документа;
4.4.3. Регистрация обращений (вход и выход) к информационной системе обеспечиваются программными средствами;
4.4.4. В случае, если вход в информационную систему осуществляется лицами с правом неограниченного доступа для внесения изменений в сформированные документы, регистрируется также номер измененного сформированного документа.
4.5. Обеспечение целостности и физической охраны:
4.5.1. Целостность программных средств, персональных данных субъектов персональных данных, обрабатываемой информации, а также неизменность информационной системы обеспечиваются программными средствами и дополнительными техническим возможностями (создание диска аварийного восстановления, безопасный запуск программ, защита вводимой информации от клавиатурных перехватчиков, создание настроек восстановления системы и др.);
4.5.2. Целостность программных средств информационной системы ежедневно проверяется при ее запуске и загрузке;
4.5.3. При использовании незащищенных информационно-телекоммуникационных сетей (каналов) общего пользования (интернет) для защиты информационной системы используются шифровальные и/или криптографические средства со специальными настройками, а также средства защиты от сетевых атак, средства антивирусной защиты и защиты информационной системы от вредоносных программ и др.);
4.5.4. Для предотвращения риска утраты персональных данных и повреждения целостности информационной системы в связи с возможными техническими повреждениями оборудования оператор осуществляет ежедневное копирование информационных массивов (баз данных) на съемный носитель информации с использованием средств антивирусной защиты, и копирование самой информационной системы на резервный компьютер, что позволяет осуществлять ее функционирование в автономном режиме;
4.5.5. Правом неограниченного доступа к съемным носителям информации и резервному компьютеру обладают директор или третье лицо, оказывающее Обществу услуги на основании заключенного с ним договора, а также консультант-программист, обслуживающий информационную систему;
4.5.6. В случае необходимости могут вводиться специальные режимы тестирования работоспособности информационной системы;
4.5.7. В целях физической охраны информационной системы ее базы данных располагаются на выделенных компьютерах, расположенных в обособленном помещении. Доступ к компьютерам ограничен физически и программными средствами, что позволяет избежать прямого (неправомерного или случайного) доступа к информационной системе, не уполномоченных на то сотрудников оператора и посторонних лиц;
4.5.8. Допуск всех сотрудников к работе с информационной системой и базами данных осуществляется только после ознакомления сотрудника с настоящим Положением;
4.5.9. Обучение сотрудников и лиц, имеющих право доступа к информационной системе, правильному обращению с информационными массивами (базами данных), содержащимися в информационной системе, осуществляется оператором, консультантом-программистом, обслуживающим информационную систему;
4.5.10. Все сотрудники, работающие по трудовым или гражданско-правовым договорам, предупреждаются об условиях конфиденциальности информации о персональных данных субъектов персональных данных, содержащихся в информационной системе, способах и методах защиты информационной системы и недопустимости разглашения такой информации.
4.5.11. В целях соблюдения и обеспечения мероприятий по защите информационной системы персональных данных проводятся обязательные внутренние проверки состояния защиты информационной системы персональных данных. Проведение указанных проверок в случае необходимости может носить внеплановый характер.
5. Порядок раскрытия информации оператором персональных данных
5.1. Раскрытие информации - обеспечение неограниченного доступа всем заинтересованным в этом лицам независимо от целей получения данной информации путем опубликования или иным образом в соответствии с процедурой, гарантирующей ее нахождение и получение. Для случаев сбора персональных данных с использованием информационно-телекоммуникационных сетей - путем опубликования и обеспечения возможности доступа к информации в соответствующей информационно-телекоммуникационной сети. Если иное не предусмотрено настоящим Положением, информация, подлежащая раскрытию в соответствии с настоящим Положением, должна раскрываться на русском языке. Раскрытой информацией признается информация, в отношении которой проведена процедура по ее раскрытию.
Предоставление информации - обеспечение ее доступности только субъекту персональных данных или в случаях, установленных законодательством, - определенному кругу лиц в соответствии с процедурой, гарантирующей ее нахождение и получение только этим кругом лиц. Для случаев сбора персональных данных с использованием информационно-телекоммуникационных сетей - путем предоставления только субъекту персональных данных и/или в установленных законодательством случаях только определенному кругу лиц в соответствующей информационно-телекоммуникационной сети. Предоставление информации не является ее раскрытием. Предоставление информации, повлекшее ее раскрытие, является нарушением процедуры предоставления информации. В предоставляемой информации не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Общедоступная информация - информация, не требующая привилегий для доступа к ней или подлежащая раскрытию. Раскрытие информации, осуществленное третьими лицами, не освобождает оператора от обязательств по ее раскрытию в соответствии с требованиями настоящего Положения.
5.2. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
5.3. При обработке персональных данных оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5.5. Процедура раскрытия информации включает:
5.5.1. Плановый или целевой отбор информации, подлежащей раскрытию.
5.5.2. Подготовку отобранной информации к раскрытию.
5.5.3. Утверждение формы, содержания, способов, времени, мест раскрытия информации.
5.5.4. Раскрытие информации.
5.5.5. Мониторинг и обеспечение безопасности раскрытой информации.
5.5.6. Изменение (корректировку) раскрытой информации в случае необходимости.
5.5.7. Приостановление раскрытия информации в случае нарушения процедур ее раскрытия.
5.5.8. Плановое прекращение раскрытия информации. По распоряжению РСО раскрытие информации может быть прекращено досрочно.
5.5.9. Хранение в течение установленных сроков прежде раскрывавшейся информации.
5.6. Процедура предоставления информации включает:
5.6.1. Обработку запроса на предоставление информации. Установление лица, его полномочий на получение информации, соответствие перечня запрошенной информации установленным требованиям.
5.6.2. Целевой отбор информации, подлежащей предоставлению.
5.6.3. Подготовку отобранной информации к предоставлению.
5.6.4. Утверждение формы, содержания, способов, времени, мест предоставления информации.
5.6.5. Предоставление информации.
5.6.6. Мониторинг и обеспечение безопасности предоставленной информации.
5.6.7. Изменение (корректировку) предоставленной информации в случае необходимости.
5.6.8. Приостановление предоставления информации в случае нарушения процедур ее предоставления.
5.6.9. Плановое прекращение предоставления информации. По распоряжению РСО предоставление информации может быть прекращено досрочно.
5.6.10. Хранение в течение установленных сроков прежде предоставленной информации.
6. Порядок недопущения оператором вреда при обработке данных
6.1. Под вредом для целей настоящего Положения понимается моральный вред и/или материальный ущерб субъекта персональных данных и/или оператора, который реально причинен или может быть причинен в случае нарушения оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - "вред"). Размер вреда определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение вреда и принимаемых оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлены настоящим Положением.
6.2. Недопущение вреда является одним из направлений обеспечения общей безопасности оператора и представляет собой комплекс правовых, организационных и технических мер. Правовые меры состоят из изучения и применения законодательства по вопросам недопущения вреда, разработки локальных актов и их применения в данной сфере деятельности оператора. Организационные меры включают тщательный отбор, обучение и расстановку кадров, повышение их мотивации в вопросах недопущения вреда. Технические меры объединяют создание условий и реализацию мероприятий по недопущению вреда, в том числе:
6.2.1. Обеспечение сохранности собственности оператора, в том числе материальных носителей информации, путем установления и поддержания соответствующих режимов безопасности.
6.3.2. Недопущение утечки конфиденциальной информации оператора, в том числе информации, составляющей коммерческую и служебную тайны, путем выделения специальных помещений для обработки и хранения персональных данных.
6.3.3. Обеспечение информационной безопасности оператора, бесперебойного функционирования технических средств обработки персональных данных. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
6.3.4. Обеспечение физической защиты объектов, находящихся на балансе оператора, путем установления внутриобъектового и пропускного режимов и режима взрывопожаробезопасности.
6.3.5. Обеспечение физической защиты работников оператора при исполнении ими служебных обязанностей, комфортного морально-психологического климата и обстановки делового сотрудничества среди работников оператора.
6.3.6. Обеспечение личной безопасности руководителей оператора.
6.3.7. Незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.3.8. Постоянный контроль за обеспечением уровня защищенности персональных данных.
6.4. Процедуры, направленные на предупреждение вреда:
6.4.1. Соблюдение должностными лицами и сотрудниками оператора установленных законодательством и локальными актами оператора регламентов получения, обработки, хранения, предоставления и распространения персональных данных (далее - "регламент").
6.4.2. Выявление нарушений со стороны сотрудников и/или субъектов персональных данных установленных регламентов и доведение информации о нарушениях до ответственного лица.
6.4.3. Разработка и утверждение оператором правил определения возможных форм причинения вреда и оценки его размера.
6.4.4. Ознакомление сотрудников оператора с правилами определения возможных форм причинения вреда и оценки его размера.
6.4.5. Предупреждение субъектов персональных данных о рисках причинения вреда в ходе обработки персональных данных.
6.4.6. Внеочередной инструктаж всех сотрудников оператора по вопросам недопущения вреда в случае обнаружения факта причинения вреда.
6.5. Процедуры, направленные на устранение вреда:
6.5.1. Своевременное обнаружение допущенных нарушений регламентов и незамедлительное пресечение таких нарушений.
6.5.2. Оценка уже причиненного вреда, фиксация мер, принятых оператором по недопущению вреда, и их сопоставление.
6.5.3. Информирование субъектов персональных данных о допущенных нарушениях, о рисках и о подлежащих принятию мерах.
6.5.4. Компенсация причиненного вреда на основе определенных оператором форм причинения вреда и оценки его размера.
6.5.5. Привлечение к ответственности сотрудников оператора, допустивших причинение вреда.
6.6. Процедуры, направленные на устранение последствий вреда:
6.6.1. Восстановление деловой репутации оператора.
6.6.2. Корректировка регламентов и программ обучения сотрудников.
7. Обработка персональных данных посетителей сайта
7.1 ООО «КА ОРПЗ» далее общество производит обработку и защиту персональных данных посетителей сайта Общества, а также персональных данных, поступающих на адрес корпоративной почты Общества (включая фамилию, имя, отчество, контактный телефон, адрес электронной почты и пр.).
7.2. Согласие на обработку персональных данных выражается путем отправления информации через выбранные формы на страницах Сайта Общества (далее «Формы») или отправления электронного письма на адреса корпоративной почты Общества.
7.3. Моментом принятия Согласия является маркировка соответствующего поля в Форме и нажатие на кнопку отправки Формы на любой странице Сайта, а также нажатие на кнопку отправки электронного письма, содержащего персональные данные субъекта, на адрес Корпоративной почты.
7.4. Пользуясь сайтом, посетитель сайта соглашается на то, что Общество может использовать статистические данные и файлы Cookies для их последующей обработки системами веб-аналитики (например Яндекс.Метрика) и может передавать третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению Общества. 7.5. Файлы Cookies – небольшие текстовые файлы, размещаемые на жестких дисках компьютера Посетителя Сайта во время посещения сайтов, предназначенные для повышения эффективности работы сайтов, а также получения владельцем сайта информации о предпочтениях Посетителей Сайта. Использование файлов Cookies - стандартная на данный момент практика для большинства сайтов. Большинство браузеров позволяют просматривать файлы Cookies и управлять ими, а также отказаться от получения файлов Cookies и удалить их с жесткого диска устройства.
7.6. При первом посещении Сайта может быть запрошено согласие на использование файлов Cookies. После того, как Посетитель Сайта одобрил использование файлов Cookies, он может изменить свое решение. Он сможет сделать это, удалив файлы Cookies, хранящиеся в его браузере. Отказ от использования файлов Cookies может привести к тому, что некоторые функции Сайта будут недоступны, и повлиять на возможность полноценного использования Сайта.
7.7. Посетитель Сайта вправе в любое время изменить настройки своего браузера, чтобы принимать или отклонять по умолчанию все файлы Cookies или файлы Cookies с определенных сайтов. Политика в отношении обработки персональных данных.
7.8. При просмотре Сайта Общество собирает следующую информацию: - дату и время посещения Сайта; - число посещенных страниц, их названия, а также длительность просмотра; - IP-адрес, присвоенный устройству для выхода в Интернет; - тип браузера и операционной системы; - экранное разрешение; - класс HTML-элемента, на который происходит клик; - URL сайта, с которого был осуществлен переход.
7.9. Общество обрабатывает персональные данные Посетителей Сайта исключительно в целях, для которых они предоставлялись, в том числе: - идентификации Посетителя сайта; - регистрации в Личном кабинете; - предоставления Посетителю сайта информации об Обществе и оказываемых услугах; - ознакомления Посетителя сайта с правовыми документами Общества, а также реализации полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации; - установления обратной связи, включая направление уведомлений, запросов, касающихся, оказания услуг, обработка запросов и заявок от Посетителя сайта; - определения локации Посетителя сайта; - подтверждения достоверности и полноты персональных данных, предоставленных Посетителем сайта; - предоставления доступа Посетителю на сайты или к сервисам партнеров Общества с целью получения продуктов, информации и услуг; - повышения эффективности работы Сайта; - направление Посетителям Сайта справочной и маркетинговой информации, посредством направления сообщений на адрес электронной почты, указанной Посетителями Сайта; - таргетирование рекламных материалов; - проведение статистических и иных исследований на основе обезличенных данных.
7.10. По достижению целей обработки, а также наступления иных оснований, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных, персональные данные Посетителей Сайта уничтожаются.
7.11. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. Заключительные положения
8.1. Настоящая Политика подлежит изменению или дополнению в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных, а также может быть изменена в любое время по усмотрению Общества. Действующая редакция настоящей Политики всегда доступна для просмотра неограниченным кругом лиц на сайте Общества по адресу: orpz2015@mail.ru. При внесении изменений в Политике указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
8.2. Все отношения с участием Общества, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.