Ru En
+7 (86150) 4-18-70
Компания
О компании
Новости
Логистика
Вакансии
Документы
Учебный центр
Производство
Электростале­плавильный цех
Сортопрокатный цех
Кислородный завод
Метизные цеха
Продукция
Контакты
Вакансии
0
Меню
Меню
Закрыть
Компания
Производство
Продукция
Контакты
Вакансии
Зарегистрироваться Войти
+7 (86150) 4-18-70
priemnaya@abinmetall.ru
Политика конфиденциальности
Политика конфиденциальности

1. Общие сведения

1.1 Общие положения

1.1.1 Настоящий стандарт по обработке и защите персональных данных общества с ограниченной ответственностью «Абинский ЭлектроМеталлургический завод» (далее – ООО «АЭМЗ») определяет основные принципы, цели, функции, условия, способы обработки ПДн, оператором которых является ООО «АЭМЗ» (далее – ПДн) и основные меры, реализуемые с целью защиты прав субъектов ПДн (далее – субъект), в том числе неприкосновенность частной жизни, личную и семейную тайну.

1.1.2 Настоящий стандарт определяет политику ООО «АЭМЗ» в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.1.3 Настоящий стандарт является общедоступным документом и подлежит размещению на официальном сайте ООО «АЭМЗ».

1.1.4 Все работники ООО «АЭМЗ», получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено действующими нормами законодательства.

1.1.5 Работники получают доступ к ПДн, только в пределах, необходимых для выполнения своих должностных обязанностей.

1.1.6 Приказом генерального директора, либо лица, уполномоченного на подписание документов от имени ООО «АЭМЗ» должен быть назначен ответственный за организацию обработки и защиты персональных данных, утвержден перечень категорий должностей, имеющих доступ к персональным данным.

1.1.7 Лицо, ответственное за организацию обработки персональных данных, обязано:

  • доводить до сведения работников ООО «АЭМЗ» положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

1.1.8 Лицо, ответственное за организацию защиты персональных данных, обязано:

  • осуществлять внутренний контроль за соблюдением ООО «АЭМЗ» и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн.

1.1.9 Доступ работников к персональным данным предоставляется только после подписания таким работником в установленном порядке обязательства о неразглашении информации и ознакомления такого работника с перечнем ПДн, обрабатываемых в ООО «АЭМЗ».

1.1.10 Доступ работников к ПДн, прекращается по решению руководителя соответствующего подразделения в случае нарушения им взятых на себя обязательств по обеспечению безопасности такой информации и в случае расторжения с работником трудового договора.

1.1.11 В случае нарушения взятых обязательств по обеспечению безопасности ПДн, прекращение доступа оформляется в виде служебной записки на имя генерального директора ООО «АЭМЗ» и доводится до работника под подпись, при этом все носители с персональными данными, которые находились в распоряжении работника, передаются непосредственному руководителю.

1.2 Область применения

1.2.1 Требования настоящего стандарта распространяются на все структурные подразделения ООО «АЭМЗ», осуществляющие обработку ПДн.

1.2.2 Обращение с документами, переданными на хранение в соответствии с архивным законодательством Российской Федерации, не регулируется настоящим стандартом.

1.2.3 Во всех случаях, не урегулированных настоящим стандартом, необходимо руководствоваться действующими нормативными правовыми актами федеральных органов исполнительной власти.

1.3 Период действия и порядок внесения изменений

1.3.1 Настоящий стандарт является локальным нормативным документом постоянного действия.

1.3.2 Настоящий стандарт утверждается и вводится в действие приказом генерального директора, либо лица, уполномоченного на подписание документов от имени ООО «АЭМЗ».

1.3.3 Настоящий стандарт признается утратившим силу на основании приказа генерального директора, либо лица, уполномоченного на подписание документов от имени ООО «АЭМЗ».

1.3.4 Изменения в настоящий стандарт вносятся путем принятия его в новой редакции.

1.3.5 Инициатором внесения изменений в настоящий стандарт является любой работник ООО «АЭМЗ», заинтересованный в улучшении процессов обработки и защиты Пдн.

2 СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ

2.1 Сокращения

ПДн – персональные данные;
РФ – Российская Федерация;
ООО «АЭМЗ» – Общество с ограниченной ответственностью «Абинский ЭлектроМеталлургический завод»;
ФИО – фамилия, имя, отчество.

2.2 Определения

Информационная безопасность – состояние защищенности информации, характеризуемое способностью персонала технических средств и информационных технологий обеспечивать доступность, конфиденциальность и целостность и информации при ее обработке техническими средствами;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Оператор персональных данных (оператор) – ООО «АЭМЗ», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Субъект персональных данных (субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3 Cбор, объем и категории персональных данных

3.1 Принципы обработки персональных данных

3.1.1 Обработка ПДн должна осуществляться на законной и справедливой основе.

3.1.2 Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3.1.3 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3.1.4 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

3.1.5 При обработке ПДн должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Требуется принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

3.1.6 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2 Цели обработки

3.2.1 Целями обработки ПДн являются:

  • обеспечение трудовых процессов и выполнения требований действующего законодательства, связанных с трудовыми отношениями, социальными, налоговыми и иными обязательствами в отношении работников ООО «АЭМЗ» в том числе, но не ограничиваясь, начислением заработной платы, пенсионным страхованием, подготовкой наградных документов, оформлением служебных командировок/поездок, обучением, участием в конкурсах, акциях, исследованиях, оказанием медицинской помощи, проведением диспансеризации, медицинских осмотров, обеспечением мобильной связью, проведением спортивных, культурно-массовых мероприятий, включая поздравления, новогодние подарки, разграничением прав доступа, контролем нарушения трудовой дисциплины работников, проведением тестирования на полиграфе и пр.);
  • обработка персональных данных физических лиц, состоящих в договорных или иных гражданско-правовых отношениях в целях исполнения обязательств сторонами (в том силе исполнение договорных обязательств перед контрагентами);
  • идентификация соискателей как кандидатов на вакантную должность, включая предварительное собеседование, возможное трудоустройство, запрос дополнительной информации о соискателе, рассмотрение резюме и заполнение анкет на вакантные должности;
  • учет и регистрация посетителей ООО «АЭМЗ», в том числе, но не ограничиваясь защитой от несанкционированного доступа посторонних лиц.

3.3 Объем и категории персональных данных

3.3.1 Объём, содержание и сроки обработки ПДн определяются целями их обработки.

3.3.2 В ООО «АЭМЗ» обрабатываются ПДн следующих категорий субъектов: работники ООО «АЭМЗ» и физические лица, с которыми прекращены трудовые отношения, контрагенты, посетители и соискатели.

3.3.3 Формирование перечня ПДн осуществляется начальником отдела информационной безопасности совместно с руководителями иных подразделений и руководством ООО «АЭМЗ».

3.3.4 Сформированный проект перечня должен быть рассмотрен на заседании комиссии по защите информации и утвержден приказом генерального директора, либо лица, уполномоченного на подписание документов от имени ООО «АЭМЗ».

3.3.5 Утвержденный перечень должен быть опубликован в системе хранения корпоративной информации, а также на официальном сайте ООО «АЭМЗ» для беспрепятственного ознакомления.

3.3.6 Пересмотр перечня проводится не реже одного раза в год, в случае изменения целей обработки ПДн, в том числе появления новых, при которых перечень теряет свою актуальность (пригодность, адекватность, эффективность) – внепланово.

4 обработка и защита персональных данных

4.1 Порядок обработки

4.1.1 ООО «АЭМЗ» осуществляет обработку, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение, запись на машинные носители и их хранение, а также передачу третьим лицам ПДн субъектов.

4.1.2 ООО «АЭМЗ» оставляет за собой право проверить полноту и точность предоставленных ПДн. В случае выявления ошибочных или неполных ПДн, ООО «АЭМЗ» имеет право прекратить все отношения с субъектом.

4.1.3 ООО «АЭМЗ» не передаёт ПДн субъектов третьим лицам, без согласия субъекта, если иное не предусмотрено законодательством РФ.

4.1.4 Условиями прекращения обработки ПДн в ООО «АЭМЗ» являются: достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта на обработку его ПДн, выявление неправомерной обработки ПДн.

4.1.5 При эксплуатации информационных систем персональных данных ООО «АЭМЗ» принимает правовые, организационные и технические меры по обеспечению безопасности ПДн для выполнения, установленных Правительством Российской Федерации требований к защите ПДн при их обработке в соответствии с установленными уровнями защищенности ПДн.

4.1.6 При обработке ПДн, осуществляемой без использования средств автоматизации, ООО «АЭМЗ» выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.1.7 Не автоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) и иным способом.

4.1.8 Автоматизированная обработка ПДн осуществляться в информационных системах персональных данных (далее – ИСПДн) в строгом соответствии с локальными актами ООО «АЭМЗ», регламентирующими обработку и защиту ПДн.

4.1.9 Особенности обработки специальных категорий ПДн, а также биометрических ПДн устанавливаются требованиями действующего законодательства.

4.1.10 В ООО «АЭМЗ» запрещается принятие на основании исключительно автоматизированной обработки ПДн решении, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

4.1.11 Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

4.1.12 ООО «АЭМЗ» разъясняет субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

4.1.13 Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО «АЭМЗ» и другие лица, осуществляющие обработку ПДн по поручению ООО «АЭМЗ»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «АЭМЗ» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными нормативными документам ООО «АЭМЗ».

4.1.14 При не автоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, необходимо выполнять следующие условия (указанные условия не являются исчерпывающими):

  • типовая форма или связанные с ней документы должны содержать: сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, реквизиты ООО «АЭМЗ» (наименование и адрес), фамилию, имя, отчество и адрес субъекта, источник получения ПДн, сроки обработки ПДн, перечень действии с ПДн, которые будут совершаться в процессе их обработки, Общее описание используемых оператором способов обработки ПДн;
  • типовая форма должна предусматривать поле, в котором субъект может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов;
  • типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

4.1.15 Типовые формы, предназначенные для обработки ПДн, утверждаются приказом генерального директора, или лица, уполномоченного на выполнение таких действий от имени ООО «АЭМЗ».

4.1.16 ООО «АЭМЗ» осуществляет ознакомление своих работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн (в том числе с требованиями к защите ПДн), локальными нормативными документами по вопросам обработки ПДн и, при необходимости, организуют обучение указанных работников.

4.1.17 В качестве подтверждения ознакомления с документами, регламентирующими обработку и защиту ПДн, предусмотрена проверка знаний пользователей в виде получения успешных результатов тестирования, используя корпоративную систему для обучения.

4.1.18 Инструкции, регламентирующие обработку и защиту ПДн, должны быть размещены в системе хранения корпоративной информации для беспрепятственного ознакомления работников ООО «АЭМЗ».

4.2 Получение персональных данных

4.2.1 Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДН или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются.

4.2.2 Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн ООО «АЭМЗ» вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в требованиях действующего законодательства Российской Федерации.

4.2.3 Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований возлагается на ООО «АЭМЗ».

4.2.4 В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

4.2.5 Пдн могут быть получены ООО «АЭМЗ» от лица, не являющегося субъектом ПДн, при условии предоставления ООО «АЭМЗ» подтверждения наличия оснований, указанных в требованиях действующего законодательства Российской Федерации.

4.2.6 Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПДн.

4.3 Уточнение персональных данных

4.3.1 В случае подтверждения факта неточности ПДн ООО «АЭМЗ» на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обеспечивает их уточнение (в том числе, если обработка Пдн осуществляется другим лицом, действующим по поручению) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

4.3.2 Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведении о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

4.4 Предоставление и передача персональных данных

4.4.1 При предоставлении ПДн третьей стороне должны выполняться следующие условия:

  • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке;
  • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
  • наличие письменного согласия субъекта на передачу его ПДн третьей стороне, за исключением случаев предусмотренных законодательством.

4.4.2 Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, может быть предоставлено:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов ПДн.

4.4.3 ООО «АЭМЗ» обеспечивает субъекту ПДн возможность определить перечень ПДН по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

4.4.4 Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

4.4.5 В срок не позднее трех рабочих дней с момента получения согласия субъекта ПДн, разрешенных распространения, ООО «АЭМЗ» публикует информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

4.4.6 Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, прекращается в любое время по требованию субъекта ПДн. Действие согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения, прекращается с момента поступления такого требования.

4.4.7 ООО «АЭМЗ» не осуществляет трансграничную передачу ПДн (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

4.4.8 В целях информационного обеспечения в ООО «АЭМЗ» могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги), содержащие ПДн, к которым с письменного согласия субъекта может предоставляться доступ неограниченному кругу лиц.

4.4.9 Сведения о субъекте должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

4.5 Блокирование персональных данных

4.5.1 В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДН ООО «АЭМЗ» осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) с момента такого обращения или получения указанного запроса на период проверки.

4.5.2 В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДН ООО «АЭМЗ» осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.5.3 Снятие блокирования ПДн организуется ООО «АЭМЗ» после уточнения данных недостоверных ПДн.

4.6 Уничтожение персональных данных

4.6.1 В случае выявления неправомерной обработки ПДн, ООО «АЭМЗ» в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению. В случае, если обеспечить правомерность обработки ПДн невозможно, ООО «АЭМЗ» в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ООО «АЭМЗ» уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДН, также указанный орган.

4.6.2 В случае достижения цели обработки ПДн ООО «АЭМЗ» прекращает обработку ПДН или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению) и уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ООО «АЭМЗ» и субъектом ПДн либо если ООО «АЭМЗ» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством.

4.6.3 В случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «АЭМЗ» прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если ООО «АЭМЗ» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством.

4.6.4 В случае отсутствия возможности уничтожения ПДн в течение указанного срока, ООО «АЭМЗ» осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) и обеспечивает уничтожение ПДН в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4.6.5 При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

4.6.6 Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.7 Меры обеспечения безопасности

4.7.1 При обработке ПДн ООО «АЭМЗ» принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

4.7.2 Обеспечение безопасности ПДн достигается:

  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.

4.7.3 Уровни защищенности ПДн при их обработке в ИСПДн, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, требования к материальным носителям биометрических ПДн и технологиям их хранения вне ИСПДн определяются в зависимости от угроз безопасности персональным данным с учетом возможного вреда субъекту, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, иными нормативными правовыми актами, а также договорами между ООО «АЭМЗ», операторами ПДн и субъектами.

4.7.4 Использование и хранение биометрических ПДн вне ИСПДн могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

4.8 Права субъекта

4.8.1 Субъект ПДн имеет право на получение сведений, касающихся обработки его ПДн, за исключением случаев, предусмотренных действующим законодательством. Субъект ПДН вправе требовать уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.8.2 Сведения, касающихся обработки ПДн субъекта ПДн, должны быть предоставлены субъекту ПДН в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

4.8.3 Сведения предоставляются субъекту ПДн или его представителю при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ООО «АЭМЗ» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4.8.4 Субъект ПДн вправе обратиться повторно или направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

4.8.5 Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, касающихся обработки его ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.

4.8.6 ООО «АЭМЗ» вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным действующим законодательством. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ООО «АЭМЗ».

4.8.7 Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:

  • обработка ПДн, включая ПДн, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
  • обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
  • обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

4.8.8 Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия субъекта ПДн, если ООО «АЭМЗ» не докажет, что такое согласие было получено.

4.8.9 ООО «АЭМЗ» немедленно прекращает по требованию субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг.

4.8.10 ООО «АЭМЗ» рассматривает возражение субъекта ПДн в течение тридцати дней со дня его получения и уведомляет субъекта ПДн о результатах рассмотрения такого возражения.

4.8.11 Если субъект ПДн считает, что ООО «АЭМЗ» осуществляет обработку его ПДн с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие ООО «АЭМЗ» в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

4.8.12 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.9 Обязанности оператора

4.9.1 При сборе ПДн ООО «АЭМЗ» обязуется предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн.

4.9.2 Если предоставление ПДн является обязательным в соответствии с федеральным законом, ООО «АЭМЗ» обязуется разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.

4.9.3 ООО «АЭМЗ» освобождается от обязанности предоставить субъекту ПДн сведения, касающихся обработки его ПДн, в случаях, если:

  • субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
  • ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
  • обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных действующим законодательством;
  • ООО «АЭМЗ» осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • предоставление субъекту ПДн сведений нарушает права и законные интересы третьих лиц.

4.9.4 При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", ООО «АЭМЗ» обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим законодательством.

4.9.5 ООО «АЭМЗ» сообщает в порядке, предусмотренном действующим законодательством, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.

4.9.6 В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя ООО «АЭМЗ» дает в письменной форме мотивированный ответ, содержащий ссылку на положение действующего законодательства, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя.

4.9.7 ООО «АЭМЗ» предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ООО «АЭМЗ» вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «АЭМЗ» уничтожает такие ПДн. ООО «АЭМЗ» уведомляет субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

4.9.8 ООО «АЭМЗ» сообщает в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

4.10 Ответственность

4.10.1 ООО «АЭМЗ» и/или работники ООО «АЭМЗ» виновные в нарушении требований законодательства РФ о ПДн, положений настоящего стандарта и иных локальных актов, регламентирующих деятельность в области информационной безопасности, несут предусмотренную законодательством Российской Федерации ответственность.

4.10.2 Моральный вред, причинённый субъекту вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.