Общество с ограниченной ответственностью «Аксель»
ИНН: 7838115852 КПП: 783801001 ОГРН: 1237800089020
Положение о конфиденциальности персональных данных
Настоящее Положение оператора о конфиденциальности разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных».
1. Настоящее Положение о конфиденциальности действует в отношении всех персональных данных, получаемых ООО «Аксель» (далее – оператор). Под персональными данными следует понимать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу.
2. Оператор обрабатывает и хранит только ту персональную информацию, которая необходима для предоставления им услуг или исполнения соглашений и договоров с субъектом персональных данных, за исключением случаев, когда законодательством Российской Федерации предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
3. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. К субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся:
Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима;
Работники и бывшие работники Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима;
Клиенты (потребители) и контрагенты Оператора (физические лица) – для целей осуществления своей деятельности в соответствии с уставом ООО «Аксель», осуществления пропускного режима;
Члены семьи работников Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений
Представители (работники) клиентов и контрагентов Оператора (юридических лиц) – для целей осуществления своей деятельности в соответствии с уставом ООО «Аксель», осуществления пропускного режима;
5. Оператор обязан обрабатывать персональные данные для целей, указанных в настоящем Положении и Политике в отношении обработки персональных данных, утвержденной Приказом генерального директора ООО «Аксель», цели обработки персональных данных указаны в в Политике в отношении обработки персональных данных.
6. Оператор хранит персональные данные субъекта персональных данных в соответствии с Политикой в отношении обработки персональных данных Оператор обязан обеспечить конфиденциальность персональных данных, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование полученных персональных данных субъекта персональных данных.
7. Работники оператора, в должностные обязанности которых входит обработка персональных данных, допускаются к работе после подписания обязательства об их неразглашении.
8. В отношении персональных данных субъекта персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления субъектом персональных данных информации о себе для общего доступа неограниченному кругу лиц.
9. Оператор вправе передать персональные данные субъекта персональных данных третьим лицам в случае, если передача предусмотрена законодательством Российской Федерации.
10. Обработка персональных данных субъекта персональных данных осуществляется любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. При обработке персональных данных субъекта персональных данных оператор руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных”.
11. При обработке персональных данных в информационных системах оператор соблюдает требования, установленные Правительства Российской Федерации от 01.11.2012 N 1119 “Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных” и ФСТЭК России от 18.02.2013 N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
12. При обработке персональных данных без использования средств автоматизации оператор соблюдает требования, установленные об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687.
13. При неправомерной или случайной передаче (предоставлении доступа, распространении) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент), оператор:
– незамедлительно информирует субъекта персональных данных об утрате или разглашении персональных данных;
– в течение 24 часов уведомляет уполномоченный орган об инциденте, причинах инцидента, вреде, причиненном правам субъекта персональных данных, принятых мерах по устранению последствий инцидента, ответственном лице, уполномоченном взаимодействовать по связанным с инцидентом вопросам;
– в течение 48 часов проводит внутреннее расследование на условиях и в порядке, установленном Политикой в отношении обработки персональных данных
– в течение 72 часов уведомляет уполномоченный орган о результатах внутреннего расследования и лицах, действия которых привели к инциденту.
При направлении уведомления уполномоченному органу оператор руководствуется и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
14. При обработке персональных данных оператор принимает необходимые организационные и технические меры для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в том числе:
– определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Правительства Российской Федерации от 01.11.2012 N 1119, уровни защищенности персональных данных;
– применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
– применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия;
– проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
– ведение учета машинных носителей персональных данных;
– обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
– обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
– осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
15. Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, в порядке и на условиях, предусмотренных законодательством в области персональных данных.