Политика обработки персональных данных

Введение

Настоящий стандарт предприятия разработан для описания принципов, правил и иных вопросов обработки персональных данных в ООО «Санаторий «Родина» (далее по тексту – «Компания», «Общество», «Оператор») в соответствии с нормами действующего законодательства Российской Федерации, в том числе Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и о защите информации»», Федеральным законом «О противодействии коррупции».

1. Область применения

1.1. Настоящий стандарт устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых с использованием средств автоматизации или без использования таких средств, основные задачи, функции и права подразделений, в обязанности которых входит проведение работ по обработке, организации защиты персональных данных. Целью данного документа является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных Компанией.

1.2. Настоящий стандарт распространяется на все подразделения Компании, осуществляющие функции по обработке персональных данных, организации мероприятий по защите персональных данных, ИТ обеспечения, контроля обеспечения информационной безопасности (далее также – «ИБ»), а также руководители и работники подразделений Компании. Работники Компании, осуществляющие обработку персональных данных, должны быть ознакомлены с настоящим стандартом.

1.3. Настоящий стандарт входит в состав нормативных документов системы управления Компании.

2. Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие документы:

- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);

- Трудовой кодекс Российской Федерации (далее также – ТК РФ);

- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Методический документ. Методика оценки угроз безопасности информации, утвержден ФСТЭК России 05 февраля 2021 г.;

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 15 февраля 2008 г.;

- Постановление Правительства Российский Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российский Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- положение или иной внутренний документ Компании (при наличии) по вопросам обработки персональных данных физических лиц для целей их регистрации и (или) авторизации на сайтах Компании в сети «Интернет», регистрации в качестве участника проводимых Компанией мероприятий, информирования о таких мероприятиях, публикации фотографий и видеозаписей с мероприятий.

3. Определения и сокращения

В настоящем стандарте используются следующие сокращения и определения:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные - сведения, которые характеризуют физиологически и биологические особенности человека, на основании которых можно установить его личность.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к информации - возможность получения информации и ее использования.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

ИТ служба - подразделение (работник) Компании, осуществляющее функции ИТ обеспечения Компании, либо организация, осуществляющая такие функции по договору возмездного оказания услуг.

Классификация информационных систем персональных данных - это присвоение класса системам с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Компания - ООО «Санаторий «Родина» (ИНН 2320099560, ОГРН 1022302938734, юридический адрес: 354008 Россия, Краснодарский край, г. Сочи, ул. Виноградная, д. 33, имеющее Лицензию на осуществление медицинской деятельности).

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия и распространения без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание сторонних лиц, а также транспортных, технических и иных материальных средств.

Клиент - любое физическое лицо, имеющее намерение заказать (приобрести), заказывающее (приобретающее) услуги, либо заключившее с Обществом договор об оказании услуг (услуги, предоставляемые предоставляемых Обществом Клиенту, по размещению в гостиничных номерах, а также дополнительные услуги (услуги по проведению мероприятий, услуги СПА-комплекса, услуги питания и иных предоставляемых Обществом услуг, работ), в том числе посетители сайта Общества, физические лица, обратившиеся в Общество по телефону).

Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные источники персональных данных - источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.

Общедоступные персональные данные - персональные данные, сделанные общедоступными субъектом персональных данных либо по его просьбе, в том числе размещенные с его письменного согласия в общедоступных источниках персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».

Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Подразделение ИБ - подразделение (работник - назначаемый приказом организации и/или штатный сотрудник организации, имеющий в должностной инструкции перечисленные функции), ответственное за контроль обеспечения ИБ Компании, либо подразделение (работник) вышестоящей организации (управляющей компании), либо организация, осуществляющая такие функции по договору возмездного оказания услуг.

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Родственники работника - близкие родственники работника, а именно: родители, дети, дедушки, бабушки, внуки, полнородные и не полнородными (имеющие общих отца или мать) братья или сестры.

Нештатная ситуация - ситуация, при которой процесс обработки персональных данных или состояние информационной системы выходит за рамки нормального функционирования и может привести к нарушению конфиденциальности (целостности, доступности) указанных данных.

Сайт - совокупность связанных между собой веб-страниц, графических и информационных материалов, размещенных в информационно-телекоммуникационной сети Интернет по уникальному адресу (URL).

Соискатель - физическое лицо, обратившееся в Компанию с целью поиска работы, либо информация о котором получена из общедоступных источников.

Специальные категории персональных данных - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Третье лицо - лицо, которому поручена обработка персональных данных на основании заключаемого с ним договора либо лицо, которое запрашивает персональные данные не относящиеся к нему.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Cookies – фрагмент данных, отправленный веб-сервером и хранимый на компьютере (устройстве) пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего веб-сайта.

IP-адрес – уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на веб-сайт.

АРМ – автоматизированное рабочее место;

АС – автоматизированная система;

АВС – антивирусные средства;

ВП – выделенное помещение;

ВТСС – вспомогательные технические средства и системы;

ИБ – информационная безопасность;

ИСПДн – информационная система персональных данных;

КЗ – контролируемая зона;

НДВ – не декларированные возможности;

НСД – несанкционированный доступ;

ОС – операционная система;

ПДн – персональные данные;

ПМВ – программно-математическое воздействие;

ПО – программное обеспечение;

ПЭВМ – персональная электронно-вычислительная машина;

ПЭМИН – побочные электромагнитные излучения и наводки;

САЗ – система анализа защищенности;

СВТ – средства вычислительной техники;

СЗИ – средства защиты информации;

СЗПДн – система (подсистема) защиты персональных данных:

СУБД – система управления базами данных;

УБПДн – угрозы безопасности персональным данным.

4. Общие положения

4.1. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе принципов:

4.1.1. законности целей и способов обработки персональных данных;

4.1.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

4.1.3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4.1.4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

4.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

4.1.6. иных принципов, установленных законодательством о персональных данных.

4.2. Способы обработки и перечень действий с персональными данными

4.2.1. Компания может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

4.2.2. Перечень действий с персональными данными, которые могут осуществляться Компанией при обработке персональных данных субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

4.2.3. Компания производит уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона «О персональных данных».

4.3. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных являются:

- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных, в том числе регулирующие отношения, связанные с деятельностью Оператора: Конституция Российской Федерации; Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора, а также иные нормативно-правовые акты перечисленные в разделе 2 настоящего Стандарта;

- уставные документы Компании;

- договоры, заключаемые между оператором-Компанией и субъектами персональных данных;

- согласия субъектов персональных данных на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора, в том числе согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения);

- иные основания, когда согласие на обработку персональных данных не требуется в силу выполнения законодательства.

5. Субъекты и категории персональных данных, цели обработки, объем, содержание персональных данных, способы, сроки обработки и хранения

5.1. Категории субъектов персональных данных

5.1.1. В Компании может осуществляться обработка персональных данных следующих категорий субъектов персональных данных:

(1) работники Компании;

(2) бывшие работники Компании;

(3) родственники работников и бывших работников Компании;

(4) соискатели;

(5) физические лица, состоящие или состоявшие в гражданско-правовых и иных отношениях с Компанией - клиенты Оператора;

(6) физические лица, состоящие или состоявшие в договорных и иных отношениях с организациями, которые поручили Компании в соответствии с договором обрабатывать персональные данные этих физических лиц;

(7) физические лица - пользователи сайтов Компании в сети «Интернет» (с учетом того, что у Компании может быть в наличии отдельный внутренний документ по вопросам обработки персональных данных физических лиц для данных целей);

(8) представители или работники клиентов и контрагентов Компании - юридических лиц, индивидуальных предпринимателей, иных контрагентов Компании (далее также – контрагенты);

(9) посетители офисов Компании;

(10) физические лица, лично получающие платные услуги, в т.ч медицинские услуги (пациенты);

(11) студенты;

(12) учащиеся;

(13) физические лица, состоящие или состоявшие в гражданско-правовых и иных отношениях с Компанией – контрагенты Оператора.

5.2. Категории персональных данных субъектов персональных данных

5.2.1. В Компании проводится классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъектов персональных данных. Выделяются следующие категории персональных данных:

• персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к специальным категориям персональных данных;

• персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным;

• персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к обезличенным персональным данным или расположенные в общедоступных источниках;

• персональные данные, которые не могут быть отнесены к вышеуказанным категориям персональных данных (далее также – «иные»).

5.2.2. Обработка всех категорий персональных данных может осуществляться только в установленных законодательством случаях.

5.3. Цели обработки персональных данных

5.3.1. В Компании определены следующие цели обработки персональных данных:

(1) обработка персональных данных работников Компании может осуществляться с целью организации учета работников Компании, обучения, страхования, продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, осуществления корпоративной коммуникации, обучения (проведение тренингов, семинаров, вебинаров и прочих форм корпоративного обучения), ведения кадрового и бухгалтерского делопроизводства, взаимодействия с банками (в том числе, передача персональных данных в кредитные организации для оформления зарплатной карты), налоговыми органами, обеспечения сохранности имущества, формирования и передачи сведений о трудовой деятельности работников и формирование отчетности в Социальный фонд России, формирование отчетности в Федеральную налоговую службу, архивное хранение кадровых документов, проверки конфликта интересов работника, предоставления различного вида льгот и применения иных норм в соответствии с законодательством Российской Федерации и внутренними документами Компании;

(2) обработка персональных данных бывших работников Компании может осуществляться с целью содействия в трудоустройстве, обеспечения личной безопасности, предоставления различного вида льгот и применения иных норм в соответствии с законодательством Российской Федерации и внутренними документами Компании;

(3) обработка персональных данных родственников работников и бывших работников Компании может осуществляться с целью проверки конфликта интересов работника, предоставления различного вида льгот и применения иных норм в соответствии с законодательством Российской Федерации и внутренними документами Компании;

(4) обработка персональных данных соискателей осуществляется с целью содействия в трудоустройстве и заключения трудового договора с Компанией, с возможностью хранения персональных данных в течение определенного срока с момента трудоустройства, указанного в согласии на обработку персональных данных и учета в кадровом резерве;

(5) обработка персональных данных физических лиц – клиентов Оператора, состоявших или состоящих в гражданско-правовых и иных отношениях с Компанией, осуществляется с целью подготовки, заключения и исполнения соответствующих гражданско-правовых договоров (в том числе, но не ограничиваясь, оказания гостиничных и иных услуг, выполнения работ и иных предусмотренных законодательством РФ договоров, соглашений), ведения бухгалтерского делопроизводства и осуществления Компанией своей хозяйственной деятельности, а также предоставления в соответствии с законодательством РФ данных (сведений) исполнительным органам государственной, муниципальной власти с целью исполнения действующего законодательства РФ

(6) обработка персональных данных физических лиц, состоящих или состоявших в договорных и иных отношениях с организациями, которые поручили Компании в соответствии с договором обрабатывать персональные данные этих физических лиц, может осуществляться с целью исполнения Компанией своих обязательств, установленных таким договором;

(7) обработка персональных данных физических лиц - пользователей сайтов Компании в сети «Интернет» осуществляется с целью использования физическими лицами функциональных возможностей таких сайтов в соответствии с их назначением;

(8) обработка персональных данных представителей или работников клиентов и контрагентов Компании - юридических лиц осуществляется с целью взаимодействия Компании с такими клиентами и контрагентами;

(9) обработка персональных данных физических лиц - посетителей офиса Компании осуществляется с целью взаимодействия с ними;

(10) Направление рассылок об услугах Оператора производится с целью предоставления возможности получения потребителями услуг и участия в бонусных и маркетинговых программах, продвижения товаров (продуктов), работ, услуг, Оператора, информирования потребителей о товарах, услугах, для разработки новых продуктов, услуг и информирования Клиента об этих продуктах, услугах и проведения маркетинговых программ, предоставления информации, которая может способствовать улучшению качества обслуживания клиентов и партнеров Оператора;

(11) Обеспечение безопасности, осуществления пропускного и внутриобъектового режима производится в целях обеспечения внутриобъектового и пропускного режимов на используемой территории и объектах недвижимости, управления ситуационной осведомленностью, а также облегчение и повышение эффективности коммуникации при возникновении непредвиденных обстоятельств, чрезвычайных и аварийных ситуаций;

(12) Формирование внутренних общедоступных источников персональных данных (составление контакт листов и иных аналогичных справочников) производится в целях облегчения и повышения эффективности служебных коммуникаций персонала;(13) Оформление командировочных проездных документов, покупка билетов, бронирование гостиниц;

(14) Выплата заработной платы сотрудникам, а также иных выплат, предусмотренных трудовым законодательством;

(15) Проведение статистических исследований с использованием метрического сервиса Яндекс Метрика в целях проведения Оператором аналитики источников переходов, оптимизации рекламы, улучшения качества работы интернет-ресурсов, предоставление посетителям интернет-ресурсов возможности использования всех сервисов и функций интернет-ресурсов Оператора. Обезличенные данные пользователей сайта, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях пользователей на сайте, улучшения качества сайта и его содержания;

С целью улучшения функций сайта, Общество использует файлы cookie различных типов (технические, функциональные, коммерческие, аналитические и т.д.). Если Клиент не желает, чтобы файлы cookie сохранялись на его устройстве, необходимо настроить соответствующим образом браузер. Однако в случае отключения определенных файлов cookie Клиенту могут быть недоступны некоторые функции сайта.

Клиент уведомляется о том, что при его посещении сайта Общества, Общество может собирать определенную информацию, как, например, используемый браузер, номер IP-адреса, тип операционной системы, его местоположение, просматриваемые страницы и другие данные. Полученная информация не связывается с данными, которые Клиент оставляете на сайте и по автоматически полученным данным невозможно установить личность пользователя (Клиента).

(16) Организация процесса бронирования номерного фонда, оформление бронирования номеров, дополнительных услуг (услуги трансфера, визовая поддержка, проведение мероприятий и т.д.) в соответствии с Уставом Оператора, в том числе путем ведения баз данных, также предоставление гостиничных и иных сопутствующих услуг;

(17) Регистрация на сайте Компании производится с целью участия в программе лояльности (комплекс маркетинговых мероприятий для удержания существующих и привлечения новых потребителей), позволяющей потребителю получать скидки и дополнительные привилегии.

(18) Обработка персональных данных физических лиц, лично получающих платные, в том числе медицинские услуги (пациенты) на возмездной основе за счет личных средств граждан, иных средств на основании соответствующих договоров возмездного оказания услуг осуществляется в целях заключения, исполнения, прекращения договоров возмездного оказания медицинских услуг, в том числе идентификации пациентов, в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских услуг, отражения информации в медицинской документации, в том числе обязательной согласно соответствующих норм права, получения/предоставления сведений страховым компаниям (в случае оплаты ими оказываемых услуг), выдачи по запросам пациентов документации, необходимой для получения физическими лицами налогового вычета, предоставления установленной законодательством отчетности в отношении оказанных медицинских услуг.

(19) Обработка персональных данных студентов осуществляется в целях обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением, а также в целях закрепления и расширения знаний, полученных в период обучения, выработки практических навыков, способностей, умений в будущей профессиональной деятельности или отдельных ее разделах, соотнесение характера обучения с требованиями современной жизни, сокращения времени адаптации выпускников образовательных учреждений, возможного трудоустройства в соответствии с нормами ГК РФ, ТК РФ;

(20) Обработка персональных данных учащихся осуществляется в целях обеспечения прохождения ознакомительной и иной предусмотренной законодательством об образовании практики на основании договора с учебным заведением, а также в целях закрепления и расширения знаний, полученных в период обучения, выработки практических навыков, способностей, умений в будущей профессиональной деятельности или отдельных ее разделах, соотнесение характера обучения с требованиями современной жизни, сокращения времени адаптации выпускников образовательных учреждений, возможного трудоустройства в соответствии с нормами ГК РФ, ТК РФ;

(21) Обработка персональных данных физических лиц – контрагентов Оператора, состоявших или состоящих в гражданско-правовых и иных отношениях с Оператором, осуществляется в целях подготовки, заключения и исполнения гражданско-правового договора, ведения бухгалтерского делопроизводства и осуществления Компанией своей хозяйственной деятельности.

5.3.2. Компания не производит обработку персональных данных, несовместимую с целями их сбора.

5.4. Объем, содержание персональных данных, способы, сроки обработки и хранения

5.4.1. Для целей обработки персональных данных определены следующие объем и содержание персональных данных:

(1) объем и содержание персональных данных работников Компании:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения), год рождения, месяц рождения, дата рождения, место рождения, пол, гражданство, паспортные данные или данные иного документа, удостоверяющего личность, данные изображения лица, полученные с помощью фото-видео устройств, документ на право работать на территории РФ, данные миграционной карты, виза, цель въезда, выезда, дата въезда, срок пребывания, дата постановки на учет, тип регистрации по месту жительства, данные свидетельства о регистрации по месту пребывания, адрес фактического проживания (пребывания), сведения, характеризующие физиологические особенности (изображение лица), сведения о регистрации по месту жительства или пребывания, адрес места жительства (фактического проживания), контактная информация (адрес электронной почты, номер телефона), сведения об ученой степени, ученом звании (данные аттестационных документов), табельный номер, сведения учета рабочего времени, данные кадровых событий, сведения о деловых и личностных качествах, автобиографические данные, сведения о владении иностранными языками, сведения об образовании, специальности, квалификации и о наличии специальных знаний и специальной подготовки, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), данные водительского удостоверения, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения о трудовом и общем стаже, заработной плате и источниках иных доходов (если применимо), отношение к воинской обязанности, сведения о воинском учете, семейном положении, составе семьи, место работы или учебы членов семьи и родственников, сведения страховых полисов обязательного и (или) добровольного медицинского страхования, сведения о социальных льготах, идентификационный номер налогоплательщика, СНИЛС, сведения о состоянии здоровья (в том числе: медицинские справки, медицинские заключения, результаты медицинских обследований, результаты медицинских осмотров, результаты психиатрических освидетельствований, медицинские книжки, сведения об инвалидности и реабилитационных мероприятиях, сроке действия инвалидности), сведения, указанные в листе нетрудоспособности, банковский счет, номер банковской карты, размер заработной платы, выплачиваемый Работодателем, размер удержаний из заработной платы, иных выплат и доходов, наличии алиментных обязательств и иных денежных или имущественных обязательств, влекущих систематические удержания из доходов, сведения о социальных льготах и о социальном статусе, государственные награды, иные награды и знаки отличия, данные документов, удостоверяющих специальные навыки, данные резюме и дополнительных приложенных документов, иные сведения, которые работник сообщает о себе добровольно в форме резюме или иных доступных формах (в т.ч. анкетирования), а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: биометрические, общедоступные, иные, специальные;

Способы обработки персональных данных: смешанная;

Также, допускается обработка персональных данных субъекта в случае отзыва согласия на обработку персональных данных, для исполнения требований законодательства РФ в области архивного хранения документов. В данном случае срок хранения составляет 75 (семьдесят пять) лет в отношении работников если иное не установлено законодательством РФ.

Правовое основание для обработки персональных данных в информационной системе персональных данных: договоры, заключаемые между оператором и субъектом персональных данных, Согласие субъекта персональных данных на обработку его персональных данных.

(2) объем и содержание персональных данных бывших работников Компании:

Категории обрабатываемых персональных данных: иные, общедоступные:

Способы обработки персональных данных: смешанная

Также, допускается обработка персональных данных субъекта в случае отзыва согласия на обработку персональных данных, для исполнения требований законодательства РФ в области архивного хранения документов. В данном случае срок хранения составляет 75 (семьдесят пять) лет в отношении бывших работников если иное не установлено законодательством РФ.

Правовое основание для обработки персональных данных в информационной системе персональных данных: Согласие субъекта персональных данных на обработку его персональных данных;

(3) объем и содержание персональных данных родственников работников и бывших работников Компании:

Перечень обрабатываемых персональных данных: степень родства, фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения), год рождения, месяц рождения, дата рождения, место рождения, сведения об источниках доходов (если применимо), а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, общедоступные

Способы обработки персональных данных: смешанная

(4) объем и содержание персональных данных соискателей и учет в кадровом резерве: Перечень обрабатываемых персональных данных: фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения), возраст, пол, гражданство, сведения, характеризующие физиологические особенности (изображение лица), расположенные в общедоступных источниках, сведения о регистрации по месту жительства или пребывания, контактная информация (адрес электронной почты, номер телефона), сведения об образовании, специальности, квалификации и о наличии специальных знаний и специальной подготовки, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), сведения об ученой степени, ученом звании (данные аттестационных документов), автобиографические данные, сведения о владении иностранными языками, фотоизображение, сведения о трудовой деятельности, документ на право работать на территории РФ, данные миграционной карты, виза, цель въезда, выезда, дата въезда, срок пребывания, дата постановки на учет, тип регистрации по месту жительства, данные свидетельства о регистрации по месту пребывания, адрес фактического проживания (пребывания), сведения о трудовом и общем стаже, заработной плате и источниках иных доходов (если применимо), ИНН, СНИЛС, данные водительского удостоверения, отношение к воинской обязанности, сведения о воинском учете, семейном положении, составе семьи, сведения о состоянии здоровья (в том числе: медицинские справки, медицинские заключения, результаты медицинских обследований, результаты медицинских осмотров, результаты психиатрических освидетельствований, медицинские книжки, сведения об инвалидности и реабилитационных мероприятиях, сроке действия инвалидности), место работы или учебы членов семьи и родственников, сведения о социальных льготах и о социальном статусе, государственные награды, иные награды и знаки отличия, данные документов, удостоверяющих специальные навыки, данные резюме и дополнительных приложенных документов, иные сведения, которые кандидат на трудоустройство сообщает о себе добровольно в форме резюме или иных доступных формах (в т.ч. анкетирования), а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, в том числе расположенные в общедоступных источниках, биометрические, специальные

Способы обработки персональных данных: смешанная

Сроки обработки и хранения: на срок, необходимый для рассмотрения кандидатуры и принятия решения о приеме либо об отказе в приеме на работу. Для включения в кадровый резерв – на срок с момента направления согласия на обработку персональных данных Оператору до момента отзыва согласия на обработку персональных данных посредством соответствующего письменного заявления, адресованного Оператору. До достижения цели обработки, прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных»;

(5) объем и содержание персональных данных физических лиц – клиентов Оператора, состоявших или состоящих в гражданско-правовых и иных отношениях с Компанией:Перечень обрабатываемых персональных данных: фамилия, имя, отчество , год рождения, месяц рождения, дата рождения, место рождения, пол, гражданство, паспортные данные или данные иного документа, удостоверяющего личность, сведения о регистрации по месту жительства или пребывания, адрес места жительства (фактического проживания), контактная информация (адрес электронной почты, номер телефона), идентификационный номер налогоплательщика, реквизиты банковской карты, номер расчетного счета, а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, общедоступные

Способы обработки персональных данных: смешанная

Сроки обработки и хранения: до достижения цели обработки, прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных». Также, допускается обработка персональных данных субъекта в случае отзыва согласия на обработку персональных данных, для исполнения требований законодательства РФ в области архивного хранения документов. В данном случае срок хранения устанавливается в соответствии с законодательством РФ.

(6) объем и содержание персональных данных физических лиц, состоящих или состоявших в договорных и иных отношениях с организациями, которые поручили Компании в соответствии с договором обработку персональных данных этих физических лиц, определяется по согласованию сторон такого договора и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, общедоступные

Способы обработки персональных данных: смешанная

(7) объем и содержание персональных данных физических лиц - посетителей сайтов Компании в сети «Интернет»:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, контактная информация (адрес электронной почты, номер телефона), данные аккаунтов социальных сетей, сведения об используемом браузере, местоположение и IP-адрес, данные файлов cookie, запрашиваемые интернет-страницы, фотографии и видеозаписи, предоставленные по инициативе субъекта персональных данных, иная информация, обработка которой определена документами, регулирующими работу сайтов в сети «Интернет», принадлежащих Компании, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, общедоступные:

Способы обработки персональных данных: автоматизированная

(8) объем и содержание персональных данных представителей или работников клиентов и контрагентов Компании:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, гражданство, паспортные данные или данные иного документа, удостоверяющего личность, адрес регистрации, контактная информация (адрес электронной почты, номер телефона), данные доверенности, приказа, данные документа, удостоверяющего специальные навыки, данные используемого транспорта (модель, марка, государственный номер), иные сведения, которые контрагент сообщает о себе добровольно в любых доступных формах, а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации.

Категории обрабатываемых персональных данных: иные, общедоступные:

Способы обработки персональных данных: смешанная

(9) объем и содержание персональных данных физических лиц - посетителей офиса Компании:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, паспортные данные или данные иного документа, удостоверяющего личность, контактная информация, а также иная информация, необходимая для достижения вышеуказанных целей, и в соответствии с законодательством Российской Федерации

Категории обрабатываемых персональных данных: иные, общедоступные

Способы обработки персональных данных: смешанная

(10) Направление рассылок об услугах Оператора.

Категории обрабатываемых персональных данных: иные, общедоступные.

Перечень обрабатываемых персональных данных: номер телефона, адрес электронной почты, имя.

Категории субъектов персональных данных: физические лица - Клиенты, физические лица - пользователей сайтов Компании в сети «Интернет».

Способы обработки персональных данных: автоматизированная.

(11) Обеспечение безопасности, осуществления пропускного и внутриобъектового режима:

Категории обрабатываемых персональных данных: иные, общедоступные, биометрические.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, должность, паспортные данные или данные иного документа, удостоверяющего личность, изображения лица, полученные с помощью фото- видео устройств.

Категории субъектов персональных данных: работники, соискатели, контрагенты.

Способы обработки персональных данных: смешанная.

Сроки обработки и хранения: до прекращения трудовых отношений с работником, до завершения правоотношений с контрагентом, до достижения цели обработки, прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».

(12) Формирование внутренних общедоступных источников персональных данных:

Категории обрабатываемых персональных данных: иные, общедоступные.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, дата рождения, адрес электронной почты, номер телефона, должность.

Категории субъектов персональных данных: работники, контрагенты.

Способы обработки персональных данных: смешанная.

Сроки обработки и хранения: до прекращения трудовых отношений с работником, до завершения правоотношений с контрагентом, до достижения цели обработки прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».

(13) Оформление командировочных проездных документов, покупка билетов, бронирование гостиниц:

Категории обрабатываемых персональных данных: иные.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, адрес электронной почты, адрес регистрации, номер телефона, данные документа, удостоверяющего личность, должность.

Категории субъектов персональных данных: работники.

Способы обработки персональных данных: смешанная.

Сроки обработки и хранения: до достижения цели обработки прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».

(14) Выплата заработной платы сотрудникам, а также иных выплат, предусмотренных трудовым законодательством:

Категории обрабатываемых персональных данных: иные.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, реквизиты банковской карты, номер расчетного счета, номер лицевого счета.

Категории субъектов персональных данных: работники.

Способы обработки персональных данных: смешанная.

Сроки обработки и хранения: до прекращения трудовых отношений с работником, до достижения цели обработки прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных».

(15) Проведение статистических исследований с использованием метрического сервиса Яндекс Метрика:

Категории обрабатываемых персональных данных: иные, общедоступные.

Перечень обрабатываемых персональных данных: сведения, собираемые посредством метрических программ (файлы- cookie: сбор и обработка обезличенных данных о посетителях).

Категории субъектов персональных данных: посетители сайта.

Способы обработки персональных данных: автоматизированная.

(16) Организация процесса бронирования номерного фонда:

Категории обрабатываемых персональных данных: иные.

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона.

Категории субъектов персональных данных: посетители сайта.

Способы обработки персональных данных: автоматизированная.

(17) Регистрация на сайте Компании:

Категории обрабатываемых персональных данных: иные.

Перечень обрабатываемых персональных данных: фамилия, имя, адрес электронной почты.

Категории субъектов персональных данных: посетители сайта Компании.

Способы обработки персональных данных: автоматизированная.

(18) объем и содержание персональных данных физических лиц, лично получающих платные в том числе медицинские услуги (пациенты):

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, гражданство, паспортные данные или данные иного документа, удостоверяющего личность, сведения о регистрации по месту жительства или пребывания, адрес места жительства (фактического проживания), СНИЛС, контактная информация (адрес электронной почты, номер телефона), идентификационный номер налогоплательщика, данные о состоянии здоровья, реквизиты полиса (договора) добровольного медицинского страхования (в случае оказания услуг в рамках программы добровольного медицинского страхования), реквизиты полиса обязательного медицинского страхования (в случае оказания услуг в соответствии с программой государственных гарантий бесплатного оказания медицинской помощи), тип занятости, место работы, должность (в случаях, предусмотренных законодательством РФ).

Категории обрабатываемых персональных данных: иные, специальные, общедоступные

Способы обработки персональных данных: смешанная.

Сроки обработки и хранения: до достижения цели обработки, прекращение деятельности Оператора, ликвидация Оператора, истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных». Также, допускается обработка персональных данных субъекта в случае отзыва согласия на обработку персональных данных, для исполнения требований законодательства РФ в области архивного хранения документов, в области хранения документов медицинского характера (медицинская документация). В данном случае срок хранения составляет 25 (двадцать пять) лет в отношении пациентов если иное не установлено законодательством РФ.

(19) объем и содержание персональных данных студентов:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес места жительства, сведения о состоянии здоровья, семейное положение, сведения об образовании (в том числе форма обучения, курс, специальность), сведения о деловых и личных качествах, автобиографические данные, сведения о владении иностранными языками, профессия, данные документа, удостоверяющего личность, должность, номер телефона, адрес электронной почты, ИНН, СНИЛС, пол, адрес регистрации, гражданство, иные данные резюме, в том числе анкетирования на усмотрение студента, сообщаемые о себе добровольно в любых доступных формах.

Категории обрабатываемых персональных данных: общедоступные, иные, специальные

Способы обработки персональных данных: смешанная.

Правовое основание для обработки персональных данных в информационной системе персональных данных: Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», договоры, заключаемые между оператором и субъектом персональных данных, согласие субъекта персональных данных на обработку его персональных данных

(20) объем и содержание персональных данных учащихся:

Перечень обрабатываемых персональных данных: сведения о состоянии здоровья, фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес места жительства, сведения об образовании (в том числе форма обучения, курс, специальность), сведения о деловых и личных качествах, автобиографические данные, сведения о владении иностранными языками, профессия, данные документа, удостоверяющего личность, должность, номер телефона, адрес электронной почты, пол, адрес регистрации, гражданство, иные данные резюме, в том числе анкетирования на усмотрение учащегося, сообщаемые о себе добровольно в любых доступных формах.

Категории обрабатываемых персональных данных: общедоступные, иные, специальные

Способы обработки персональных данных: смешанная.

(21) объем и содержание персональных данных физических лиц – контрагентов Оператора:

Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения, сведения о регистрации по месту жительства или пребывания, адрес места жительства (фактического проживания), контактная информация (адрес электронной почты, номер телефона), документ на право работать на территории РФ, данные миграционной карты, виза, цель въезда, выезда, дата въезда, срок пребывания, дата постановки на учет, тип регистрации по месту жительства, данные свидетельства о регистрации по месту пребывания, адрес фактического проживания (пребывания), идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, данные документа, удостоверяющего личность, должность, гражданство, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, данные доверенности, приказа, данные документа, удостоверяющего специальные навыки, данные используемого транспорта (модель, марка, государственный номер), иные сведения, которые контрагент сообщает о себе добровольно в любых доступных формах.

Категории обрабатываемых персональных данных: общедоступные, иные

Способы обработки персональных данных: смешанная

5.5. При заключении трудового договора работник предъявляет в Компанию следующие документы (ст. 65 ТК РФ):

• паспорт;

• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

• страховое свидетельство государственного пенсионного страхования;

• документ об образовании, о квалификации или наличии специальных знаний;

• документы воинского учета

· свидетельство о браке и свидетельство о рождении детей, если им не исполнилось 18 лет. Указанные документы не являются обязательными к предъявлению, но запрашиваются для правильного отражения статуса и бухгалтерского начисления налогов;

· Выписку о трудовой деятельности из ЕПГУ Госуслуги в случае, если в отношении лица, принимаемого на работу, ведется электронная трудовая книжка. Указанный документ не является обязательными к предъявлению, но запрашиваются для правильного отражения трудового стажа;

· банковские реквизиты.

5.5.1. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом, иными федеральными законами.

5.6. Сроки обработки персональных данных

5.6.1. Сроки обработки персональных данных определяются в соответствие со сроками действия договоров с субъектами персональных данных, полученных от субъектов персональных данных согласий на обработку персональных данных, с учетом установленных целей обработки персональных данных; сроков хранения документации, а также требованиями законодательства (Приказ Росархива об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения) и внутренних документов Компании.

5.7. Необходимость согласия субъекта на обработку персональных данных

5.7.1. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие на обработку персональных данных также может быть предоставлено при осуществлении определенных действий на сайте Компании (например, при отметке пользователя пункта о том, что согласен на обработку и передачу своих персональных данных с одновременным ознакомлением с политикой обработки персональных данных, либо направив свои данные Компании при наличии уведомления о том, что направляя свои данные субъект даёт согласие Компании на их обработку с одновременным ознакомлением с политикой обработки персональных данных).

5.7.2. При необходимости для каждой из категорий субъектов персональных данных разрабатывается и утверждается форма согласия на обработку персональных данных.

5.7.3. Формы согласий разрабатываются в соответствии с требованиями Федерального закона «О персональных данных».

5.8. Все персональные данные Компания получает непосредственно от субъекта персональных данных – Клиента (или его законного представителя) если иные обстоятельства не устанавливаются в соответствии с законодательством. Если персональные данные Клиента можно получить только у третьей стороны, то Клиент должен быть уведомлен об этом или от него должно быть получено согласие в установленном законом, Положением порядке.

6. Порядок и условия обработки персональных данных

6.1. Конфиденциальность персональных данных

6.1.1. В соответствии с Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к сведениям конфиденциального характера.

6.1.2. В Компании на этапе создания или в ходе эксплуатации информационных систем производится инвентаризация информационных активов и определение владельцами активов, содержащих персональные данные, а затем документальное оформление и утверждение их для обработки в информационных системах.

6.1.3. Отнесение информационных систем, обрабатывающих персональные данные, к ИСПДн, производится актом классификации ИСПДн, составленный лицом, ответственным за организацию обработки ПДн, либо уполномоченной на это действие специализированной организацией, и утвержденным руководителем Компании.

6.1.4. При обработке персональных данных Компанией и третьими лицами, получающими доступ к персональным данным, обеспечивается их конфиденциальность, т.е. создаются условия, не допускающие раскрытия и распространения персональных данных без согласия субъекта персональных данных, за исключением общедоступных персональных данных.

6.2. Поручение обработки персональных данных третьему лицу

6.2.1. Компания вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

6.2.2. Передача или поручение обработки персональных данных может выполняться на основе федерального закона, в этом случае согласие субъекта персональных данных не требуется.

6.2.3. В случае, если Компания на основании договора поручает обработку персональных данных третьему лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке, а также обязанность соблюдения требований к защите обрабатываемых персональных данных, указанных в соответствии со статьей 19 Федерального закона «О персональных данных».

6.2.4. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и внутренними документами Компании.

6.2.5. Сведения о работающем или уволенном работнике могут быть предоставлены третьим лицам (юридическим или физическим) только по их письменному обращению с согласия работника.

6.2.6. В случае получения персональных данных субъекта через Веб-сайт Оператора или специальные приложения (при наличии), Оператор обрабатывает их только в случае заполнения и/или отправки их Пользователем самостоятельно через специальные формы, расположенные на веб-сайтах Оператора (в мобильном приложении при наличии).

6.2.7. Использование Пользователем Веб-сайтов Оператора и проставление Пользователем «Галочки» (либо иного обозначения, кнопки, которые логически в соответствии с интерфейсом сайта являются изъявлением согласия пользователя) о согласии с настоящим Положением означает согласие Пользователя с настоящим Положением, а также на обработку его персональных данных на условиях, указанных в настоящем Положении и в объеме, указанном на Веб-сайте.

В случае несогласия с этими условиями, Пользователю рекомендуется воздержаться от использования (прекратить использование) Веб-сайта Оператора. продолжая работу на веб-сайте Оператора, Пользователь-субъект персональных данных выражает согласие Оператору на обработку персональных данных Пользователя.

6.2.8. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами, пользователями, и не осуществляет контроль за их дееспособностью, за исключением случаев, когда такая проверка необходима в целях исполнения обязательств перед субъектом персональных данных, пользователем либо законодательством РФ. Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную персональную информацию и/или документы их содержащие.

6.2.9. Обработка персональных данных клиентов, работников Оператора и иных, перечисленных в настоящем Положении субъектов персональных данных осущесвляется без согласия такого субъекта на обработку если:

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия субъекта невозможно и/или крайне затруднено в силу обстоятельств;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий, обязательств;

- обработка персональных данных необходима для осуществления правосудия и исполнения судебных актов, а также в случаях, предусмотренных законодательством России об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительном законодательстве РФ;

- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- персональные данные сделаны общедоступными самим субъектом персональных данных;

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления, функций организаций, участвующих в предоставлении государственных и муниципальных услуг;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем, поручителем;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

- обработка персональных данных осуществляется в целях статистических и исследовательских при условии обезличивания персональных данных;

- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и интересы субъектов персональных данных.

6.3. Хранение и уничтожение персональных данных

6.3.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6.3.2. Компания прекращает обработку персональных данных и уничтожает собранные персональные данные, если иное не установлено законодательством Российской Федерации, в следующих случаях и в сроки, установленные законодательством Российской Федерации:

• по достижении целей обработки или утрате необходимости в их достижении;

• по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

• при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством Российской Федерации (за исключением случаев, когда Оператор вправе продолжить обработку персональных данных на ином правовом основании);

• при невозможности устранения допущенных нарушений при обработке персональных данных, а также при выявлении неправомерной обработки персональных данных;

• при истечении срока действия согласия на обработку персональных данных.

6.3.3. По истечению сроков хранения персональных данных, Оператор обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению), в срок, не превышающий 30 (тридцати) дней.

6.3.4. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор обеспечивает блокирование таких персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению), и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.6.4. Обработка персональных данных в целях продвижения товаров и услуг

6.4.1. Обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных, разработанного и утвержденного в соответствии с требованиями настоящего стандарта.

6.5. Трансграничная передача персональных данных

6.5.1. Трансграничная передача персональных данных (передача через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства) может осуществляться только при наличии письменного согласия субъекта персональных данных.

6.5.2. Трансграничная передача персональных данных может осуществляться без согласия субъекта персональных данных в случаях:

• исполнения договора, стороной которого является субъект персональных данных;

• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

6.6. Требования к запросам субъектов персональных данных, порядок и сроки обработки обращений и запросов, уведомление уполномоченного органа по защите прав субъектов персональных данных

6.6.1. Порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных определен статьей 20 Федерального закона «О персональных данных», а также настоящим разделом.

6.6.2. Субъект персональных данных имеет право обращаться к Оператору по вопросам обработки своих персональных данных в следующих случаях:

1. получения информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Оператором, правовые основания, цели обработки, наименование, место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором либо федерального закона, состав обрабатываемых персональных данных, источник их получения (если иной порядок представления таких данных не предусмотрен законом), сроки обработки, сроки хранения, иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

2. уточнения своих персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;

3. подачи жалобы на неправомерную обработку Обществом его персональных данных;

4. отзыва своего согласия на обработку персональных данных;

5. требования о прекращении обработки персональных данных;

6. требования о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

7. требование о прекращении передачи (распространение, предоставление, доступ) персональных данных, ранее разрешенных субъектом персональных данных для распространения.

6.6.3. Согласно требованиям Федерального закона №152-ФЗ «О персональных данных» запрос должен содержать, в частности:

- серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных (его представителя);

- в случае, если запрос направлен представителем субъекта персональных данных, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя. 6.6.4. В случае отзыва субъектом персональных данных данного им согласия на обработку персональных данных соответствующий запрос должен соответствовать условиям, указанным в таком согласии.

6.6.5. Запросы субъектов персональных данных или их представителей принимаются по адресу: 354008, Россия, Краснодарский край, г. Сочи, ул. Виноградная, д. 33.

6.6.6. Также запрос, подписанный электронной подписью в соответствии с Федеральным законом №63-ФЗ «Об электронной подписи», может быть направлен на адрес электронной почты: info@grandhotelrodina.ru

6.6.7. Оператор обязан сообщить (ответить на запрос) в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Ответ на запрос направляется субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

6.6.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.6.9. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.6.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Оператор сообщает по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.6.11. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий 10 (десяти) рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных».

Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.6.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обеспечивает уничтожение персональных данных (в том числе при обработке персональных данных третьим лицом, действующим по поручению), в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва (за исключением случаев мотивированного отказа в отзыве согласия, установленных законодательством Российской Федерации).

6.6.13. В случае если сведения, указанные в подп. 1 п. 6.6.2 настоящего Положения а также обрабатываемые персональные данные были предоставлены субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться к Оператору повторно или направить повторный запрос в целых получения данных сведений, ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством.

В случае, если субъекту персональных данных была предоставлена информация не в полном объеме по результатам рассмотрения первоначального обращения, субъект может повторно обратиться к Оператору раньше установленного срока, указав обоснование направления повторного запроса.

6.6.14. Оператор вправе отказать субъекту персональных данных в выполнении повторного обоснованности отказа. запроса при наличии доказательств.

При отказе в предоставлении информации или осуществления действия, отраженного в запросе, субъекту направляется мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) дней со дня обращения субъекта персональных данных или его представителя.

6.7. Уничтожение персональных данных для всех целей обработки персональных данных осуществляется в соответствии со следующими положениями:

6.7.1. После истечения срока нормативного хранения документов, содержащих персональные данные, или при наступлении иных законных оснований документы подлежат уничтожению в течении 30 дней. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

6.7.2. По результатам экспертизы документы, содержащие персональные данные и подлежащие уничтожению:

- на бумажном носителе - измельчаются в шредере (уничтожителе бумажных документов);

- в электронном виде - стираются с информационных носителей путем их полного форматирования без возможности восстановления.

6.7.3. В случае если обработка персональных данных осуществлялась Оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.

6.7.4. В случае если обработка персональных данных осуществлялась Оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

7. Мероприятия по обеспечению безопасности персональных данных

7.1. Общие положения

7.1.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Оператора в области защиты информации.

Под угрозой для персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление возможностей внешних или внутренних злоумышленников, или неблагоприятных событий, которые оказывают дестабилизирующее воздействие на защищаемую информацию.

7.1.1.1. Обеспечение Оператором защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- взаимодействием с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

- учетом машинных носителей персональных данных.7.1.1.2. Выполнение Оператором мер, предусмотренных 152-ФЗ «О персональных данных» достигается, в частности:

- назначением ответственного за организацию обработки персональных данных;

- назначением должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;

- обеспечения режима безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- применением правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 152-ФЗ «О персональных данных»;

- изданием документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации;

- использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

- утверждением перечня работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

-ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

- осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- при 2-м уровне защищенности персональных данных Оператор ограничивает доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

- при 1-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным выше:

- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работника по доступу к персональным данным, содержащимся в информационной системе;

- создает структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возлагает на одно из структурных подразделений функции по обеспечению такой безопасности.

7.1.2. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Компании и определяются на основании моделей угроз.

7.1.3. Для приведения деятельности Компании в соответствие с требованиями Федерального закона «О персональных данных» определяются лица, ответственные за организацию обработки ПДн.

7.1.4. Для выбора и реализации методов и способов защиты персональных данных могут привлекаться организации, имеющие оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

7.1.5. Порядок формирования списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим им для выполнения должностных обязанностей, определяется в соответствующем локальном нормативно-правовом акте Общества, регулирующем управление доступом к информационным ресурсам информационных систем. Допускается указание работников в списке на ролевой основе. Роли задаются в соответствии с занимаемой должностью.

7.1.6. С целью снижения рисков нарушения информационной безопасности в рамках одной роли не совмещаются следующие функции: разработки и сопровождения системы/программного обеспечения, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора информационной безопасности, выполнения операций в системе и контроля их выполнения.

7.1.7. Документально процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющими получить контроль над защищаемым информационным активом определены в локальном нормативно-правовом акте Общества «Аудит информационной безопасности».

7.1.8. Процедуры (которые предусматривают документальную фиксацию результатов проводимых проверок) приема на работу, влияющие на обеспечение информационной безопасности, включают:

• проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

• проверку в части профессиональных навыков и оценку профессиональной пригодности.

7.1.9. При обработке конфиденциальной информации работники Компании дают письменное обязательство о неразглашении информации - этим каждый работник подтверждает, что он проинформирован о факте обработки им персональных данных, категориях обрабатываемых персональных данных, а также ознакомлен со всей совокупностью требований по обработке и обеспечению безопасности персональных данных, указанных в настоящем стандарте и иных внутренних нормативных документах, регламентирующих обработку персональных данных, в части, касающейся его должностных обязанностей.

7.1.10. При взаимодействии с организациями и физическими лицами требования по обеспечению информационной безопасности включаются в договоры (соглашения) с ними и регламентируют деятельность в этой области.

7.1.11. Доступ работников Компании к персональным данным и обработка персональных данных работниками Компании осуществляется только для выполнения ими должностных обязанностей.

7.2. Определение уровня защищенности ИСПДн

7.2.1. Все информационные системы персональных данных Компании подлежат обязательной классификации.

7.2.2. Классификация информационных систем персональных данных осуществляется в Компании в соответствии с:

• базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15 февраля 2008 г.;

• методикой оценки угроз безопасности информации, утвержденной ФСТЭК России 05 февраля 2021 г.;

• постановлением Правительства Российский Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• стандартами и рекомендациями Минэнерго России по обеспечению информационной безопасности организаций топливно-энергетического комплекса Российской Федерации.

7.2.3. Процедура классификации информационных систем персональных данных включает в себя следующие этапы:

• перед началом обработки в ИСПДн любых персональных данных или во время инвентаризации владелец устанавливает их категорию, объем и характеристики безопасности, определяет уровень защищенности ИСПДн, вносит всю необходимую информацию в акт классификации ИСПДн, при этом Подразделение ИБ может привлекаться для консультаций;

• владелец ИСПДн назначает ответственного за организацию обработки ПДн;

• ответственный за организацию обработки ПДн направляет акт классификации ИСПДн руководителю ИТ службы;

• руководитель ИТ службы назначает ответственного работника для заполнения технической информации в акте классификации ИСПДн;

• ответственный работник ИТ службы заполняет акт классификации ИСПДн и направляет ответственному за организацию обработки ПДн для актуализации;

• ответственный за организацию обработки ПДн выносит акт классификации ИСПДн для его рассмотрения владельцем ИСПДн и утверждения руководителем Компании;

• по результатам рассмотрения акта классификации ИСПДн руководитель Компании принимает решение о его утверждении или доработке;

• копия акта классификации ИСПДн возвращается владельцу для хранения.

7.2.4. При отнесении информационных систем к информационным системам персональных данных используется следующий подход:

• информационные системы целью создания и использования которых в том числе является обработка персональных данных, должны быть включены в список информационных систем, в которых обрабатываются персональные данные;

• информационные системы, реализующие бизнес процессы, не обрабатывающие персональные данные или отнесенные к 4 классу, не включаются в список ИСПДн.

7.2.5. Для каждой информационной системы персональных данных ответственным за организацию обработки ПДн подготавливаются сведения о:

• владельце информационной системы персональных данных;

• цели обработки персональных данных;

• объеме и содержании обрабатываемых персональных данных;

• перечне действий с персональными данными и способы их обработки.

7.2.6. Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения бизнес процесса, реализацию которого поддерживает информационная система, нет необходимости в обработке определенных персональных данных или дополнительных сведений, тогда они должны быть удалены.

7.3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации

7.3.1. При обработке в Компании персональных данных на бумажных носителях, в частности при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008. № 687.

7.3.2. Обработка персональных данных осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

7.3.3. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

7.3.4. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

7.3.5. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

7.3.6. Работники Компании, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте такой обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

7.3.7. Внутренними организационно-распорядительными документами Компании определяются места хранения персональных данных.

7.3.8. Материальные носители персональных данных по достижении целей обработки, содержащихся на них персональных данных, подлежат уничтожению, если иное не предусмотрено законодательством РФ (полное физическое и не восстановимое уничтожение ПДн, содержащихся на таких носителях).

7.4. Мероприятия по обеспечению безопасности персональных данных при хранении носителей персональных данных

7.4.1. Порядок учета и хранения материальных носителей персональных данных в Компании определяется приказом, который устанавливает:

• места хранения материальных носителей персональных данных;

• требования по обеспечению безопасности персональных данных при хранении их носителей;

• ответственных за реализацию требований по обеспечению безопасности персональных данных;

• порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных.

7.5. Подготовка частной модели угроз ИСПДн. Рекомендуемая структура модели угроз берётся из методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05 февраля 2021 г.

7.5.1. Если по результатам исполнения п. 7.2 система остается ИСПДн, то ответственным за организацию обработки ПДн подготавливается частная модель угроз ИСПДн и выполняются следующие шаги:

• владелец ИСПДн вносит данные п.7.2 в частную модель угроз ИСПДн и направляет её ответственному за организацию обработки ПДн;

• ответственный за организацию обработки ПДн направляет частную модель угроз ИСПДн руководителю ИТ службы, а тот назначает ответственного работника для заполнения технической информации;

• ответственный работник ИТ службы заполняет частную модель угроз ИСПДн и направляет ответственному за организацию обработки ПДн;

• ответственный за организацию обработки ПДн предоставляет частную модель угроз ИСПДн экспертной комиссии, в составе которой должны быть представители владельца ИСПДн, ИТ службы, защиты активов и Подразделения ИБ для экспертной оценки угроз информационной безопасности;

• экспертная комиссия уточняет перечень угроз и определяет возможность реализации угроз и опасность каждой угрозы, эти данные формируются ответственным за организацию обработки ПДн и вносятся в частную модель угроз ИСПДн;

• по окончании работы экспертной комиссии ответственный за организацию обработки ПДн рассчитывает показатели и определяет актуальные угрозы безопасности ПДн;

• ответственный за организацию обработки ПДн выносит на рассмотрение владельца ИСПДн окончательный вариант частной модели угроз ИСПДн, по результатам рассмотрения принимается решение о ее утверждении у руководителя Компании или её доработке;

• копия частной модели угроз ИСПДн возвращается владельцу ИСПДн для хранения.

7.6. Подготовка плана мероприятий по обеспечению безопасности ИСПДн

7.6.1. Ответственный за организацию обработки ПДн при участии профильных подразделений Компании (отдел управления персоналом, юридический отдел, Отдел информационных технологий – IT, отдел мониторинга и режимаи проч.) подготавливает план мероприятий по обеспечению безопасности ИСПДн с указанием ответственных за мероприятия исполнителей, в соответствии с локальным нормативно-правовым актом Общества «Политика в области информационной безопасности» и приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», направляет его владельцу ИСПДн и ответственным за мероприятия на согласование.

7.6.2. Владелец ИСПДн и ответственные за мероприятия направляют согласованный план мероприятий по обеспечению безопасности ИСПДн ответственному за организацию обработки ПДн для утверждения руководителем Компании.

7.6.3. Ответственный за организацию обработки ПДн направляет утвержденный план мероприятий по обеспечению безопасности ИСПДн владельцу ИСПДн.

7.6.4. В рамках исполнения требований информационной безопасности владелец ИСПДн выпускает приказ о реализации мероприятий по защите персональных данных в ИСПДн и направляет утвержденный план мероприятий по обеспечению безопасности ответственным за мероприятия исполнителям и в Подразделение ИБ.

7.6.5. Ответственные за мероприятия исполнители присылают отчеты о выполнении мероприятий ответственному за организацию обработки ПДн.

7.6.6. Ответственный за организацию обработки ПДн после получения отчетов по всем мероприятиям плана направляет их владельцу ИСПДн для рассмотрения. Подразделение ИБ может привлекаться для экспертизы выполненных мероприятий.

7.6.7. Руководитель Компании при участии владельца ИСПДн или его представителя рассматривает отчеты, представленные ответственными за мероприятия и оценивает степень соответствия мер защиты ПДн заданным требованиям информационной безопасности.

7.6.8. Ответственный за организацию обработки ПДн готовит протокол по результатам рассмотрения о степени соответствия мер защиты ПДн заданным требованиям по безопасности в виде деклараций о соответствии ИСПДн в форме акта соответствия.

7.6.9. После декларирования ИСПДн все изменения в ней проходят процедуру согласования в установленном порядке.

8. Права и обязанности работников Компании

8.1. Права работника, регламентирующие защиту его персональных данных, установлены действующим законодательством Российской Федерации.

8.2. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

• на сохранение и защиту своей личной и семейной тайны;

• исключения или исправления неверных, или неполных персональных данных;

• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

• ознакомление с персональными данными оценочного характера, дополненное заявлением, выражающим его собственную точку зрения;

• определение своих представителей, подтвержденное доверенностью, для защиты своих персональных данных.

8.3. Работник обязан:

• передавать работодателю или его представителю комплект достоверных, документированных персональных данных;

• своевременно сообщать работодателю об изменении своих персональных данных.

8.4. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и прочее.

9. Ответственные за организацию обработки персональных данных. Контроль за выполнением требований

9.1. Владельцы ИСПДн обязаны своевременно и качественно определить необходимые и достаточные сведения по обработке ПДн.

9.2. Ответственные за организацию обработки ПДн назначаются владельцами ИСПДн посредством издания приказа.

9.3. Обязанности ответственного за организацию обработки ПДн:

• организация и координация мероприятий по защите персональных данных в ИСПДн согласно разделу 7 настоящего стандарта;

• осуществление внутреннего контроля за соблюдением оператором и работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

• доведение до сведения работников положений законодательства Российской Федерации о персональных данных, внутренних документов по вопросам обработки персональных данных, требований к защите персональных данных;

• организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;

• ведение журнала нештатных ситуаций, внесение в него соответствующих записей в случае обнаружения фактов несоблюдения условий хранения носителей персональных данных либо использования средств обработки информации, которое может привести к нарушению конфиденциальности персональных данных или другим нарушениям.

9.4. Ответственные за организацию обработки ПДн имеют право на:

• привлечение к проведению работ по защите персональных данных работников других подразделений Компании;

• привлечение к проведению работ по защите персональных данных на договорной основе сторонних организаций;

• создание экспертных комиссий для выполнения мероприятий по защите персональных данных;

• запрос и получение необходимых материалов для организации и проведения работ по вопросам обеспечения безопасности персональных данных в Компании;

• контроль деятельности структурных подразделений Компании в части выполнения ими требований по обеспечению безопасности персональных данных.

9.5. Работники, привлечённые для осуществления функции по защите персональных данных, имеют право на:

• запрос и получение необходимых материалов для проведения работ по вопросам обеспечения безопасности персональных данных в Компании.

9.6. Работники Подразделения ИБ имеют право на проведение выборочного контроля исполнения требований настоящего стандарта в соответствии с порядком, установленным локальным нормативно-правовым актом Общества «Аудит информационной безопасности».

9.7. Для проверки выполнения требований стандарта приказом Компании могут быть созданы соответствующие комиссии.

9.8. Результаты проведенного контроля оформляются в виде заключения комиссии по проверке выполнения требований защиты персональных данных.

9.9. Мероприятия по контролю могут осуществляться на договорной основе сторонними организациями.

10. Ответственность

10.1. Ответственность за осуществление контроля выполнения требований настоящего стандарта, предоставление рекомендаций по их выполнению, а также за поддержание данного документа в актуальном состоянии несет лицо, указанное (назначенное) соответствующим Приказом Руководителя Общества.

10.2. Работники Компании в соответствии со своими должностными обязанностями, осуществляющие обработку персональных данных, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования персональных данных.

10.3. Владельцы ИСПДн несут ответственность за своевременное определение факта обработки ПДн, подготовку сведений для классификации информационной системы и назначение ответственного за организацию обработки ПДн в своей ИСПДн.

10.4. Ответственные за организацию обработки персональных данных, а также работники, привлечённые для осуществления функции по защите персональных данных, несут ответственность за:

• правильность и адекватность принимаемых решений по защите персональных данных;

• качество проводимых работ и выполнение возложенных на них обязанностей, предусмотренных настоящим стандартом.

10.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, уголовную ответственность в соответствии с действующим законодательством.

10.6. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применить предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.

11. Заключительные положения

11.1. Общество имеет право вносить изменения в настоящее Положение. Новая редакция Положения вступает в силу с момента его размещения (опубликования), если иное не предусмотрено новой редакцией Положения. Действующая редакция постоянно доступна на сайте Общества в сети «Интернет».

11.2. Все иные отношения Общества и субъектов персональных данных определяются законодательством РФ в области персональных данных.

11.3. Ознакомившись с настоящим Положением, работник своей личной подписью подтверждает, что с содержанием настоящего Положения он ознакомлен, и что содержание настоящего Положения ему понятно.

11.4. В целях исполнения Оператором гарантий, компенсаций и льгот, предусмотренных законодательством РФ, работникам Оператора необходимо своевременно предоставлять Оператору сведения об изменении персональных данных (в том числе, но не ограничиваясь, изменение Ф.И.О., смена паспорта), гражданского статуса (семейного положения), наличия несовершеннолетних детей и детей-инвалидов, наличие инвалидности у работника, об изменениях в военно-учетных документах.

11.5. Настоящее Положение применимо также на Веб-сайтах Оператора, при этом, Оператор не контролирует и не несет ответственность за веб-сайты и мобильные приложения третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Веб-сайте Оператора.

11.6. Размещенные на Веб-сайтах Оператора материалы – результаты интеллектуальной деятельности и/или средства индивидуализации (интеллектуальная собственность), включая, но не ограничиваясь: товарные знаки, фирменные наименования, знаки обслуживания, логотипы, текст, графика, изображения, фотографии, иллюстрации, являются собственностью Оператора или используются им на основании лицензии (соглашения, разрешения) и подлежат защите как интеллектуальная собственность. Не допускается декомпилирование, копирование, воспроизведение, изменение, дополнение либо использование иным способом содержания Веб-сайтов оператора без предварительного письменного согласия Оператора.