Политика по защите ПД 2025г

Приложение № 1

Утверждено приказом ООО «Зодчий»

ПЕРЕЧЕНЬ

должностей, доступ которых к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, необходим для выполнения ими должностных обязанностей в ООО «Зодчий»

№		Должность	Количество штатных единиц
1		Директор	1
2		Заместитель директора	1
3		Консультант по вопросам экономике	1
4		Специалист по кадрам	1
5		Бухгалтер	1
6		Специалист по информационным ресурсам	1
7		Бухгалтер	1
8		Юрисконсульт	1
9		Специалист по охране труда	1
10		Начальник абонентского отдела	1
11		Начальник вспомогательного участка	1
12		Начальник участка по обслуживанию инженерных сетей	1
13		Начальник участка текущий ремонт	1
14		Паспортист	1
15		Инженер по технической эксплуатации зданий	1
16		Диспетчер	1
17		Диспетчер	1
18		Диспетчер	1
19		Диспетчер	1
20		Диспетчер	1
21		Диспетчер	1

Доступ к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, осуществляется в рамках выполнения должностных обязанностей и в соответствии с утвержденными перечнями и ролями на каждую информационную систему.

Приложение № 2

Утверждено приказом ООО «Зодчий»

должностей, ведущих обработку персональных данных без использования средств автоматизации в ООО «Зодчий»

№	ФИО	Должность	Количество штатных единиц
1		Директор	1
2		Заместитель директора	1
3		Консультант по вопросам экономике	1
4		Специалист по кадрам	1
5		Бухгалтер	1
6		Специалист по информационным ресурсам	1
7		Бухгалтер	1
8		Юрисконсульт	1
9		Специалист по охране труда	1
10		Начальник абонентского отдела	1
11		Начальник вспомогательного участка	1
12		Начальник участка по обслуживанию инженерных сетей	1
13		Начальник участка текущий ремонт	1
14		Паспортист	1
15		Инженер по технической эксплуатации зданий	1
16		Диспетчер	1
17		Диспетчер	1
18		Диспетчер	1
19		Диспетчер	1
20		Диспетчер	1
21		Диспетчер	1

Доступ к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, осуществляется в рамках выполнения должностных обязанностей и в соответствии с утвержденными перечнями и ролями на каждую информационную систему.

Утверждено приказом ООО «Зодчий»

должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных в ООО «Зодчий»

Приложение № 4

                                                                             Утверждено приказом ООО «Зодчий»

информационных систем, эксплуатируемых в ООО «Зодчий» , в том числе обрабатывающих персональные данные

№ п.п.	Полное (сокращенное) наименование объекта информатизации	Цель создания объекта информатизации	Перечень обрабатываемых персональных данных
1.	Ин­форма­ци­он­ная сис­те­ма пер­со­наль­ных дан­ных «Основная деятельность – (диспетчерская служба, юридическая служба, абонентская служба,»:   – Па­кет офис­ных при­ложе­ний Microsoft Office	– обработка персональных данных необходима для достижения целей, предусмотренных законами Российской Федерации для осуществления и выполнения функций, полномочий и обязанностей (Налоговый кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; – обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных (ТК РФ; ЖК РФ)	Сотрудники , Контрагенты -ФИО Дата рождения -ИНН -СНИЛС - анкета; - автобиография; - образование; - сведения о трудовом и общем стаже; - сведения о предыдущем месте работы; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника; - сведения о социальных льготах; - специальность; - занимаемая должность; -размер заработной платы; - наличие судимостей; - адрес места жительства; - домашний телефон; - содержание трудового договора; -содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; -дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; -копии отчетов, направляемые в органы статистики; - копии документов об образовании; -результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; - фотографии и иные сведения, относящиеся к персональным данным работника; -рекомендации, характеристики и т.п.; -свидетельства о регистрации права собственности на жилое (нежилое) помещение в МКД; - выписки из ЕГРН (Выписка об основных характеристиках и зарегистрированных правах на объект; Выписка об объекте недвижимости; Выписка о переходе прав на объект).
2.	Ин­форма­ци­он­ная сис­те­ма пер­со­наль­ных дан­ных «1С предприятие» –  Бухгалтерский учет, зарплата, кадровый учет»; – Па­кет офис­ных при­ложе­ний Microsoft Office	– обработка персональных данных необходима для достижения целей, предусмотренных законами Российской Федерации для осуществления и выполнения функций, полномочий и обязанностей (Налоговый кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; – обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных (ТК РФ; ЖК РФ)	Сотрудники , Контрагенты -ФИО Дата рождения -ИНН -СНИЛС - анкета; - автобиография; - образование; - сведения о трудовом и общем стаже; - сведения о предыдущем месте работы; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника; - сведения о социальных льготах; - специальность; - занимаемая должность; - размер заработной платы; - наличие судимостей; - адрес места жительства; - домашний телефон; - содержание трудового договора; - содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; - копии отчетов, направляемые в органы статистики; - копии документов об образовании; - результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; - фотографии и иные сведения, относящиеся к персональным данным работника; - рекомендации, характеристики и т.п.
3.	Ин­форма­ци­он­ная сис­те­ма пер­со­наль­ных дан­ных «Система паспортного учета» – Па­кет офис­ных при­ложе­ний Microsoft Office	Сотрудники и Иные лица -ФИО Дата рождения - сведения о составе семьи; - паспортные данные; - сведения о воинском учете	-ФИО Дата рождения - сведения о составе семьи; - паспортные данные; - сведения о воинском учете;

Приложение № 5

Утверждено приказом ООО «Зодчий»

1.	Сведения, раскрывающие организацию системы (подсистемы) защиты информации , в том числе в части применяемых средств защиты информации.
2.	Сведения, содержащие описание структуры локальных вычислительных сетей и полномочий пользователей, обрабатывающих информацию ограниченного доступа.
3.	Сведения о ключах, кодах, паролях и идентификаторах пользователей, осуществляющих обработку информации ограниченного доступа.
4.	Сведения об организации и технических решениях по системе охраны (системе контроля доступа) служебных помещений.
5.	Документация, содержащая сведения по защите информации ограниченного доступа.
6.	Служебные сведения, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна).
7.	Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами ( тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.).
8.	Персональные данные работников  ООО «Зодчий» и граждан.
9.	Система разграничения доступа пользователей (для каждого конкретного объекта информатизации)
10.	Технические предложения, эскизные, технические и рабочие проекты по защите информации ограниченного доступа.
11.	Программы и методики испытаний, заключения по результатам аттестационных испытаний.
12.	Сведения о финансово-экономической деятельности, в т.ч. отчетные документы по результатам контрольно-ревизионной работы
13.	Сведения о результатах комплексных проверок Учреждения, проводимых контролирующими организациями
14.	Другие служебные сведения, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами

Приложение № 6

Утверждено приказом ООО «Зодчий»

в отношении обработки персональных данных

1.1 Политика в отношении обработки персональных данных в ООО «Зодчий»

 (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Трудовым кодексом Российской Федерации.

            1.2 Политика определяет порядок и условия обработки персональных данных в ООО «Зодчий»» (далее – Оператор) с использованием средств автоматизации и без использования таких средств.

1.3        Обработка персональных данных осуществляется в целях исполнения условий трудового договора с работниками, приема и регистрации обращений (или запросов) граждан, организаций и общественных объединений, поступивших Оператору, обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а также в иных предусмотренных законодательством целях необходимых для реализации полномочий Оператора.

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.1. Обработка персональных данных осуществляется на законной основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточным по отношению к заявленным целям обработки.

3.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором обеспечивается принятие необходимых мер по удалению или уточнению неполных, или неточных данных.

3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных». Обработка персональных данных допускается в следующих случаях:

4.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

4.1.3. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

4.1.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

4.1.5. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

4.1.6. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4.1.7. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

4.1.8. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

5.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6. Право субъекта персональных данных на доступ к его персональным данным

6.1. Субъект персональных данных имеет право на получение сведений, указанных в п. 6.7 настоящей Политики, за исключением случаев, при которых доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Сведения, указанные в п. 6.7 настоящей Политики, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных

6.3. Сведения, указанные в п. 6.7 настоящей политики, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.4. В случае, если сведения, указанные в п. 6.7 настоящей Политики, а также обрабатываемы персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 6.7 настоящего положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему запрос в целях получения сведений, указанных в п. 6.7 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.4 настоящей Политики, в случае, если такие сведения и (или) обрабатываемы персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.3 настоящей Политики, должен содержать основание направления повторного запроса.

6.6. Оператор в праве отказать субъекту персональных данных в выполнении повторного запроса, несоответствующего условиям, предусмотренным п. 6.3 и п. 6.4. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

6.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

6.7.1. Подтверждение факта обработки персональных данных Оператором;

6.7.2. Правовые основания и цели обработки персональных данных;

6.7.3. Цели и применяемые Оператором способы обработки персональных данных;

6.7.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которые могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

6.7.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

6.7.6. Сроки обработки персональных данных, в том числе сроки их хранения;

6.7.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

6.7.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

6.7.9. Наименование или имя, фамилию, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

6.7.10. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7. Право на обжалование действий или бездействий Оператора

7.1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 6.7 настоящей Политики.

8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

8.3. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 8.4 настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

8.3.1. Наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;

8.3.2. Цель обработки персональных данных и ее правовое основание;

8.3.3. Предполагаемые пользователи персональных данных;

8.3.4. Установленные настоящим Федеральным законом права субъекта персональных данных;

8.3.5. Источник получения персональных данных.

8.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 8.3 настоящего Положения, в случаях, если:

8.4.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;

8.4.2. Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

8.4.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

8.4.4. Предоставление субъекту персональных данных сведений, предусмотренных частью 8.3 настоящей Политики, нарушает права и законные интересы третьих лиц.

9. Меры направленные на обеспечение выполнения Оператором обязанностей, предусмотренных Федеральным законом «О персональных данных»

9.1. Назначен ответственный за организацию обработки персональных данных.

9.2. Изданы документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9.3. Утверждены правила проведения внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политике, локальным актам.

9.4. Проведена оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и применяемых оператором мер.

9.5. Проведено ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

10. Меры по обеспечению безопасности персональных данных при их обработке

10.1. Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

10.2. Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных.

10.3. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

10.4. Проведена оценка соответствия принимаемых мер по обеспечению безопасности персональных данных, получен аттестат соответствия требованиям по безопасности информации.

10.5. Ведется учет машинных носителей персональных данных.

10.6. Выполняются меры по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.

10.7. Определен комплекс мер по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

10.8. Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных.

10.9. Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Приложение № 7

Утверждено приказом ООО «Зодчий»

ответственного за организацию обработки персональных данных в ООО «Зодчий»

1.               Общие положения

1.1.          Настоящая инструкция определяет права, обязанности и ответственность ответственного за организацию обработки персональных данных в ООО «Зодчий» (далее –Учреждение).

1.2.          Ответственный за организацию обработки персональных данных назначается приказом руководителя Учреждения.

1.3.          Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:

-                Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-                Постановлением Правительства «Об утверждении положения об особенностях обработки персональных данных без использования средств автоматизации» от 15.09.2008г. № 687;

-                Постановлением Правительства РФ «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами, операторами, являющимися государственными или муниципальными органами» от 21.03.2012г. № 211;

-                Постановлением Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012г. №1119;

-                нормативными документами ФСТЭК и ФСБ России;

-                нормативными правовыми документами Учреждения.

2.               Обязанности

Ответственный за организацию обработки персональных данных:

2.1.          Осуществляет внутренний контроль за соблюдением требований законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

2.2.          Доводит до сведения работников Учреждения положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

2.3.          Организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

3.               Права

Для выполнения возложенных задач и функций ответственный за организацию обработки персональных данных наделяется следующими правами:

3.1.          Требовать от всех пользователей информационных систем персональных данных выполнения установленной технологии обработки персональных данных, инструкций и других нормативных правовых документов по обеспечению безопасности персональных данных.

3.2.          Участвовать в разработке мероприятий по совершенствованию безопасности персональных данных.

3.3.          Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемых персональных данных и технических средств из состава информационных систем.

3.4.          Обращаться к руководителю Учреждения с предложением о приостановке процесса обработки персональных данных или отстранению от работы пользователя в случаях нарушения установленной технологии обработки персональных данных или нарушения режима конфиденциальности. 

3.5.          Давать свои предложения по совершенствованию организационных, технологических, физических и технических мер защиты персональных данных, Учреждения, необходимости обучения работников, обрабатывающих ПДн, в учебных центрах и на курсах повышения квалификации.

4.               Ответственность

4.1.          Ответственный за организацию обработки персональных данных несёт персональную ответственность за соблюдение требований настоящей Инструкции.

4.2.          Ответственный за организацию обработки персональных данных при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несёт дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

Приложение № 8

Утверждено приказом ООО «Зодчий»

ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных в ООО «Зодчий»

1.    Общие положения

Настоящая инструкция определяет права и обязанности лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (далее - ИСПДн).

Лицо ответственное за обеспечение безопасности персональных данных в ИСПДн (далее - администратор безопасности ИСПДн) это лицо, отвечающее за обеспечение заданных характеристик информации, содержащей персональные данные (конфиденциальности, целостности и доступности) в процессе их обработки в ИСПДн.

Администратор безопасности ИСПДн осуществляет контроль за выполнением требований нормативно-правовых и организационно-распорядительных документов по организации обработки и обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием автоматизированных рабочих мест.

2.    Обязанности

Администратор безопасности ИСПДн обязан:

-     знать требования нормативно-правовых и организационно-распорядительных документов по обеспечению безопасности персональных данных при их обработке в ИСПДн;

-     знать перечень обрабатываемых персональных данных, состав, структуру, назначение и выполняемые задачи ИСПДн, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных.

-     уметь пользоваться средствами защиты информации и осуществлять их непосредственное администрирование;

-     еженедельно осуществлять резервное копирование информации, содержащей персональные данные (при необходимости);

-     обязан осуществлять периодический контроль за выполнением работниками, эксплуатирующими ИСПДн (пользователями ИСПДн), мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн;

-    участвовать в работе по проведению внутреннего контроля соответствия обработки персональных данных требованиям по защите информации;

-     обязан анализировать журнал системы защиты информации от несанкционированного доступа (НСД), проводить проверки электронного журнала обращений к информационным системам персональных данных;

-    обязан обеспечивать строгое выполнение требовании по обеспечению защиты информации при организации технического обслуживания АРМ(автоматизированного рабочего места) ;

-    обязан вести журнал учета средств защиты информации, используемых в ИСПДн;

-    обязан присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию АРМ (автоматизированного рабочего места);

-    обязан проводить инструктаж пользователей ИСПДн по правилам работы с используемыми техническими средствами и средствами защиты информации в соответствии с технической документацией на используемые средства защиты;

-     обязан проводить мероприятия по организации антивирусной защиты;

-    осуществлять организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями пользователей при работе с паролями, согласно инструкции по организации парольной защиты в информационных системах персональных данных;

-     обязан организовать ведение журнала учета машинных носителей информации, использующихся в ИСПДн для обработки, хранения и транспортировки информации;

-    обязан немедленно сообщать ответственному за организацию обработки персональных данных, информацию об имевших место попытках несанкционированного доступа к информации и техническим средствам АРМ, а также принимать необходимые меры по устранению нарушений:

-      установить причины, по которым стал возможным НСД;

-      установить последствия, к которым привел НСД;

-     зафиксировать случай НСД в виде документа (акта, служебной записки и т.д.) с описанием причин НСД, предполагаемых или установленных нарушителей и последствий;

-     провести проверку настроек средств защиты информации и операционных систем на соответствие требованиям руководящих документов и разрешительной системы доступа пользователей к: защищаемым информационным ресурсам и объектам доступа ИСПДн, при необходимости провести настройку;

-     провести инструктаж пользователей ИСПДн по выполнению требований по обеспечению защиты персональных данных.

3.               Права.

Администратор безопасности ИСПДн имеет право:

-     требовать от пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкции о порядке работы пользователей в ИСПДн в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;

-     инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн;

-     обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности персональных данных к ответственному за организацию обработки персональных данных в ИСПДн и/или ответственному за эксплуатацию ИСПДн;

4.               Ответственность

На Администратора безопасности ИСПДн возлагается персональная ответственность за качество проводимых им работ по обеспечению безопасности ПДн в ИСПДн;

Администратор безопасности ИСПДн несет ответственность в соответствии с действующим законодательством Российской Федерации.

Утверждено приказом ООО «Зодчий»

ИНСТРУКЦИЯ

ответственного за эксплуатацию информационных систем персональных данных
в ООО «Зодчий»

1.               Общие положения

Ответственный за эксплуатацию информационной системы персональных данных (далее - ИСПДн) в ООО «Зодчий» (далее – Учреждение) назначается руководителем Учреждения.

Методическое руководство работой ответственного за эксплуатацию ИСПДн осуществляется ответственным за организацию обработки персональных данных в Учреждении.

Ответственный за эксплуатацию в своей работе руководствуется положениями, руководящими и нормативными документами ФСТЭК и ФСБ России по защите информации и организационно-распорядительными документами для данной ИСПДн, а также иными нормативными документами в части защиты информации.

Ответственный за эксплуатацию ИСПДн несет ответственность за свои действия, и действия работников вверенного структурного подразделения в соответствии с действующим законодательством РФ.

2.               Функции.

Осуществление контроля за целевым использованием ИСПДн, всех периферийных устройств и технических средств, входящих в состав ИСПДн.

Контроль за отсутствием в период обработки защищаемой информации в помещении, где осуществляется обработка, посторонних лиц, не допущенных к обрабатываемой информации.

Контроль использования работниками структурных подразделений, эксплуатирующими ИСПДн, средств защиты информации, установленных на АРМ (автоматизированное рабочее место), входящих в состав ИСПДн. Контроль за правильностью использования и хранения работниками структурных подразделений, эксплуатирующими ИСПДн, машинных носителей информации и документов, содержащих персональные данные.

Представление заявок на пользователей, допускаемых к защищаемым ресурсам ИСПДн, с целью закрепления за ними носителей информации устройств блокировки, паролей и других средств разграничения доступа к информации, а также прав пользования средствами вычислительной техники.

Организация повышения уровня осведомленности подчиненных должностных лиц по вопросам информационной безопасности.

3.               Обязанности

Четко знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

Обеспечивать функционирование ИСПДн в пределах, возложенных на него функций.

Обеспечивать контроль выполнения установленного комплекса мероприятий по обеспечению безопасности ПДн.

Контролировать целостность печатей (пломб) на устройствах ИСПДн.

Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств ИСПДн и отправке их в ремонт.

Присутствовать при выполнении технического обслуживания ИСПДн при установке (модификации) программного обеспечения.

Информировать администратора информационной безопасности о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

Контролировать соответствие состава ИСПДн техническому паспорту на ИСПДн.

Утверждено приказом ООО «Зодчий»

ИНСТРУКЦИЯ

по обработке персональных данных без использования средств автоматизации

1.    Общие положения.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому гражданину, обратившемуся в ООО «Зодчий» (далее – Учреждение), или работнику (далее - субъекту персональных данных) Учреждения.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные настоящей Инструкцией, должны применяться с учетом требований Постановления Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 г. № 687, а также требований нормативных правовых актов федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации.

2.    Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Учреждением без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

-         типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес учреждения, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;

-         типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

-         типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

При ведении журналов (журналов регистрации, журналов посещений), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных в помещения Учреждения или в иных аналогичных целях, должны соблюдаться следующие условия:

-          необходимость ведения такого журнала должна быть предусмотрена актом Учреждения, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных;

-          копирование содержащейся в таких журналах информации не допускается;

-          персональные данные каждого субъекта персональных данных могут заноситься в такой журнал не более одного раза в каждом случае пропуска субъекта персональных данных.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.    Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Приложение № 11

Утверждено приказом ООО «Зодчий»

рассмотрения запросов субъектов персональных данных или их представителей в
ООО «Зодчий»

Настоящие «Правила рассмотрения запросов субъектов персональных данных или их представителей» (далее - Правила) регулирует отношения, возникающие при выполнении ООО «Зодчий» (далее – Учреждение) обязательств согласно требованиям статей 14, 20 и 21 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года (далее 152-ФЗ).

Положения настоящих Правил распространяются на действия Учреждения при обращении либо при получении запроса субъекта персональных данных (ПДн) или его законного представителя, при обращении уполномоченного органа по защите прав субъектов ПДн. Эти действия направлены на подтверждение наличия, ознакомление, уточнение, уничтожение или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн.

Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информационная система персональных данных (ИС) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Представитель- лицо, которое наделено правом представлять интересы субъекта ПДн в силу специального указания закона или лицо, представляющее субъекта ПДн, действующее на основании поручения (доверенности или иного документа) удостоверенного (удостоверенной) нотариально, или заверенного (заверенной) способами, приравненными к нотариальному заверению согласно ст. 185 ГК РФ.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Прием запросов от субъектов ПДн или его законных представителей, а также от уполномоченного органа, по защите прав субъектов ПДн

При получении запросов от субъектов ПДн или его законных представителей, а также от уполномоченного органа, по защите прав субъектов ПДн, работники Учреждения выполняют следующие действия:

3.1. В случае поступления Запроса субъекта ПДн или его законного представителя необходимо зарегистрировать запрос в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки ПДн» (Приложение 1 настоящих Правил).

При личном обращении субъекта ПДн в Учреждение, работник Учреждения принимает запрос, заполненный субъектом в произвольной форме. После принятия запроса работник Учреждениясверяет сведения в запросе с предоставленными ему документами.

Необходимые сведения о субъекте ПДн, которые должны присутствовать в подаваемом запросе:

- фамилия, имя и отчество субъекта ПДн;

- номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя.

Запрос может содержать дополнительные сведения о субъекте ПДн.

В случае неправильной формы запроса или отсутствии документов, удостоверяющих личность субъекта ПДн или его законного представителя, работник может отказать в приеме запроса и потребовать переделать запрос в соответствии с законом 152-ФЗ. При отказе субъекта ПД или его законного представителя переделать запрос, работник Учреждения делает об этом запись в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки ПДн» (Приложение 1 настоящих Правил).

ПДн не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению конфиденциальной информации.

Если запрос оформлен в соответствии с требованиями законодательства он принимается к обработке и передается уполномоченному лицу, в соответствии с разделом 5 настоящих Правил.

3.2. В случае поступления Запроса уполномоченного органа по защите прав субъектов ПДн необходимо зарегистрировать запрос в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки ПДн» (Приложение 1 настоящих Правил).

Запрос принимается к обработке и передается уполномоченному лицу, в соответствии с разделом 5 настоящих Правил.

4.1. В случае поступления Запроса субъекта ПДн или его законного представителя по ПДн необходимо выполнить следующие действия, обобщение которых приведено в «Сводной таблице действий в ответ запросы по ПДн» (Приложение 2 настоящих Правил):

4.1.1. При получении запроса на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) подтвердить обработку ПДн, в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе подтверждения обработки ПДн. Формы ответов на запросы на наличие ПДн приведена в Приложении 3.

4.1.2. При получении запроса на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе предоставления информации по ПДн. Формы ответов на запросы на ознакомление с ПДн приведены в Приложении 3 к настоящим Правилам.

Субъект ПД или его законный представитель имеет право получения информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые оператором способы обработки ПДн;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.

4.1.3. При получении запроса на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ), и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, то необходимо отправить уведомление об отказе осуществления изменения ПДн в срок, не превышающий 7 рабочих дней со дня поступления запроса субъекта ПДн. Формы ответов на запросы на уточнение ПДн приведены в Приложении 4 к настоящим Правилам.

4.1.4. При получении запроса субъекта ПДн или его представителя на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 7 рабочих дней с даты получения запроса отправить уведомление об отказе уничтожения ПДн. Формы ответов на запросы на уничтожение ПДн приведены в Приложении 5 к настоящим Правилам.

4.1.5. При получении запроса на отзыв согласия на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно пункту 5 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами (согласно пункту 5 статьи 21 152-ФЗ). Формы ответов на запросы на отзыв согласия на обработку ПДн приведены в Приложении 6 к настоящим Правилам.

4.1.6. При выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн или его представителя необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно пункту 2 статьи 21 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения ПДн. Формы уведомления при выявлении недостоверности ПДн приведены в Приложении 7 к настоящим Правилам.

4.1.7. При выявлении неправомерных действий с ПДн в Учреждении при обращении или по запросу субъекта ПДн или его представителя необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн (согласно пункту 3 статьи 21 152-ФЗ). В случае если обеспечить правомерность обработки ПДн невозможно, Учреждение в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно пункту 3 статьи 21 152-ФЗ), обязано уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Учреждение обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя, в случае если запрос направлен уполномоченным органом по защите прав субъектов ПДн, также указанный орган. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 8 к настоящим Правилам.

4.1.8. При достижении целей обработки ПДн Учреждение обязано незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн, либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами. Формы уведомления при достижении целей обработки ПДн приведены в Приложении 9 к настоящим Правилам.

4.2. В случае поступления Запроса Уполномоченного органа по защите прав Субъекта ПДн по ПДн необходимо выполнить следующие действия:

4.2.1. При получении запроса необходимо в течение 30 дней (согласно пункту 4 статьи 20 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа.

4.2.2. При выявлении недостоверных ПДн при обращении или по запросу Уполномоченного органа по защите прав Субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн или его законным представителем, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно пункту 2 статьи 21 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн. Формы уведомления при выявлении недостоверности ПДн приведены в Приложении 7 к настоящим Правилам.

4.2.3. При выявлении неправомерных действий с ПДн в Учреждение при обращении или по запросу Уполномоченного органа по защите прав Субъекта ПДн необходимо прекратить неправомерную обработку в срок, не превышающий 3 рабочих дней, с момента такого обращения или получения такого запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ). В случае невозможности обеспечения правомерности обработки УчреждениемПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 8 к настоящим Правилам.

4.2.4. При достижении целей обработки ПДн Учреждение обязано незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждениеми субъектом ПДн, либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами и отправить уведомление об уничтожении ПДн. Формы уведомления при достижении целей обработки ПДн приведены в Приложении 9 к настоящим Правилам.

Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению ПДн возлагается на назначенного руководителем Учреждения работника.

Ответственность за правильное применение настоящих Правил несут руководители подразделений и работники Учреждения.

к Правилам рассмотрения запросов субъектов
персональных данных или их представителей

                                                                            Утверждено приказом ООО «Зодчий»

Форма журнала учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных

Начат «____»___________ 20__ г.         Окончен «___» ____________ 20__ г.

                                                                                                              ^{Должность и ФИО                                                                                                                                  Подпись и дата}

к Правилам рассмотрения запросов субъектов
персональных данных или их представителей

                                                                            Утверждено приказом ООО «Зодчий»

№	Запрос	Действия	Срок	Ответ
I. Запрос Субъекта ПДн или его Представителя
1.1.	Наличие ПДн	Подтверждение обработки ПДн	30 дней (согласно пункту 1 статьи 20 152-ФЗ)	Подтверждение обработки ПДн
		Отказ подтверждения обработки ПДн	30 дней (согласно пункту 2 статьи 20 152-ФЗ)	Уведомление об отказе подтверждения обработки ПДн
1.2.	Ознакомление с ПДн	Предоставление информации по ПДн	30 дней (согласно пункту 1 статьи 20 152-ФЗ)	1. Подтверждение обработки ПДн, а также правовые основания и цели такой обработки. 2. Способы обработки ПДн. 3. Сведения о лицах, которые имеют доступ к ПДн. 4. Перечень обрабатываемых ПДн и источник их получения. 5. Сроки обработки ПДн, в том числе сроки их хранения. 6. Информация об осуществленных или о предполагаемой трансграничной передаче. 7. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
		Отказ предоставления информации по ПДн	30 дней (согласно пункту 2 статьи 20 152-ФЗ)	Уведомление об отказе предоставления информации
1.3.	Уточнение ПДн	Изменение ПДн	7 рабочих дней со дня предоставления уточняющих сведений (согласно пункту 3 статьи 20 152-ФЗ)	Уведомление о внесенных изменениях
		Отказ изменения ПДн		Уведомление об отказе изменения ПДн
1.4.	Уничтожение ПДн	Уничтожение ПДн	7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ)	Уведомление об уничтожении
		Отказ уничтожения ПДн		Уведомление об отказе уничтожения ПДн
1.5.	Отзыв согласия на обработку ПДн	Прекращение обработки и уничтожение ПДн	30 дней (согласно пункту 5 статьи 21 152-ФЗ)	Уведомление о прекращении обработки и уничтожении ПДн
		Отказ прекращения обработки и уничтожения ПДн		Уведомление об отказе прекращения обработки и уничтожения ПДн
1.6.	Недостоверность ПДн Субъекта	Блокировка ПДн	С момента обращения Субъекта ПДН о недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ)	Уведомление о внесенных изменениях
		Изменение ПДн	7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ)
		Снятие блокировки ПДн
		Отказ изменения ПДн		Уведомление об отказе изменения ПДн
1.7.	Неправомерность действий с ПДн Субъекта	Прекращение неправомерной обработки ПДн	3 рабочих дня (согласно пункту 3 статьи 21 152-ФЗ)	Уведомление об устранении нарушений
		Уничтожение ПДн в случае невозможности обеспечения правомерности обработки	10 рабочих дней (согласно пункту 3 статьи 21 152-ФЗ)	Уведомление об уничтожении ПДн
1.8.	Достижение целей обработки ПДн Субъекта	Прекращение обработки ПДн	30 дней (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн	Уведомление об уничтожении ПДн
		Уничтожение ПДн
II. Запрос Уполномоченного органа по защите прав Субъекта ПДн
2.1.	Информация для осуществления деятельности уполномоченного органа	Предоставление затребованной информации по ПДн	30 дней (согласно пункту 4 статьи 20 152-ФЗ)	Предоставление затребованной информации по ПДн
2.2.	Недостоверность ПДн Субъекта	Блокировка ПДн	С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ)	Уведомление о внесенных изменениях
		Изменение ПДн	7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ)	Уведомление об отказе изменения ПДн
		Снятие блокировки ПДн
		Отказ изменения ПДн
2.3.	Неправомерность действий с ПДн Субъекта	Прекращение неправомерной обработки ПДн	3 рабочих дня (согласно пункту 3 статьи 21 152-ФЗ)	Уведомление об устранении нарушений
		Уничтожение ПДн в случае невозможности обеспечения правомерности обработки	10 рабочих дней (согласно пункту 3 статьи 21 152-ФЗ)	Уведомление об уничтожении ПДн
2.4.	Достижение целей обработки ПДн Субъекта	Блокировка ПДн	30 дней (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором с субъектом ПДн	Уведомление об уничтожении ПДн
		Уничтожение ПДн

Форма № 3

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

на запрос субъекта персональных данных о наличии и на ознакомление с ПДн

Г-ну/Г-ке _____________

На Ваш запрос от «___» ________ 20__ г. относительно обработки Ваших персональных данных сообщаем следующее.

ООО «Зодчий» в период с «___» ________ 20__ г. по настоящее время обрабатывает следующие персональные данные полученные от Вас:                       

Эта информация обрабатывается в соответствии с законодательством РФ о персональных данных, в Ваших интересах и с Вашего согласия. Обработка данных включает хранение, использование и, в случае необходимости, передачу третьим сторонам. Обработкой Ваших персональных данных занимаются работники ООО «Зодчий», ознакомленные с обязанностями, возложенными на них в связи с обработкой Ваших персональных данных, и давшие подписку об их неразглашении. Никто другой к обработке Ваших персональных данных не допускается. Ваши персональные данные будут обрабатываться вплоть до достижения указанных целей либо до ______________.

Трансграничная передача персональных данных не осуществляется.

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

Г-ну/Г-ке _____________

На Ваш запрос от «___» ___________ 20__ г. относительно обработки Ваших персональных данных сообщаем следующее.

ООО «Зодчий»  не осуществляет обработки Ваших персональных данных.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМЫ ОТВЕТА

на запрос субъекта персональных данных

на уточнение ПД

Г-ну/Г-ке _____________

На Ваш запрос от «___» __________ 20__ г. относительно уточнения Ваших персональных данных сообщаем следующее.

ООО «Зодчий»  были внесены изменения в Ваши персональные данные:

                                                                                                                                             

                                                                                                                                             .

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

Г-ну/Г-ке _____________

На Ваш запрос от «___» __________ 20__ г. относительно уточнения Ваших персональных данных сообщаем следующее.

ООО «Зодчий»  не может внести изменения в Ваши персональные данные, так как Вами не было предоставлено необходимые документы, подтверждающие запрашиваемые Вами изменения.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМЫ ОТВЕТА

на запрос субъекта персональных данных

на уничтожение ПД

Г-ну/Г-ке _____________

На Ваш запрос от «___» __________ 20__ г. относительно уничтожения Ваших персональных данных сообщаем следующее.

В ООО «Зодчий»  уничтожены Ваши персональные данные:

                                                                                                                                             

                                                                                                                                             

На Ваш запрос от «___» ___________ 20__ г. относительно уничтожения Ваших персональных данных сообщаем следующее.

ООО «Зодчий» не может уничтожить Ваши персональные данные, так их обработка осуществляется согласно требованиям следующих законодательных актов:

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМЫ ОТВЕТА

на запрос субъекта персональных данных

с отзывом согласия на обработку ПД

Г-ну/Г-ке _____________

На Ваш запрос от «___» ___________ 20__ г. относительно отзыва согласия на обработку Ваших персональных данных сообщаем следующее.

ВООО «Зодчий» прекращена обработка Ваших персональных данных и произведено уничтожение персональных данных:

                                                                                                                                             

                                                                                                                                             

На Ваш запрос от «___» _________ 20__ г. относительно отзыва согласия на обработку Ваших персональных данных сообщаем следующее.

ООО «Зодчий»  не может прекратить обработку и уничтожить Ваши персональные данные, так их обработка осуществляется согласно требованиям следующих законодательных актов:

                                                                                                                                             

                                                                                                                                             

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМЫ УВЕДОМЛЕНИЯ

субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при выявлении недостоверности ПД

Г-ну/Г-ке _____________

В связи с выявлением недостоверности Ваших персональных данных (персональных данных г-на/г-ки _____________________________________) сообщаем следующее.

ООО «Зодчий» внесены изменения в Ваши персональные данные (персональные данные г-на/г-ки ____________________________________________________________________________):

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-ки ______________________________), пожалуйста, обращайтесь.

На Ваш запрос от «___» ___________ 20__ г. относительно недостоверности Ваших персональных данных (персональных данных г-на/г-ки ______________) сообщаем следующее.

ООО «Зодчий»  не может внести изменения в Ваши персональные данные (персональные данные г-на/г-ки _____________________________), так как факт недостоверности не подтвержден и не было предоставлено необходимых документов, подтверждающих недостоверность персональных данных.

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-ки _­____________________________), пожалуйста, обращайтесь.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМЫ УВЕДОМЛЕНИЯ

субъекта персональных данных, его законного представителя
или уполномоченного органа по защите прав субъектов персональных данных
при выявлении неправомерности действий с ПД

Г-ну/Г-ке _____________

В связи с выявлением неправомерности действий с Вашими персональными данными (персональными данными г-на/г-ки ________________________________) сообщаем следующее.

ООО «Зодчий» уничтожены Ваши персональные данные (персональные данные г-на/г-ки _________________________________________________________________):

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

На Ваш запрос от «___» ____________ 20__ г. относительно неправомерности действий с Вашими персональными данными (персональными данными г-на/г-ки _____________________) сообщаем следующее.

ООО «Зодчий»  не может уничтожить Ваши персональные данные (персональные данные г-на/г-ки _________________________________), так как факт неправомерности действий с Вашими персональными данными (персональными данными г-на/г-ки ________________________________________) не подтвержден и Вами не было предоставлено необходимых документов, подтверждающих неправомерность действий с Вашими персональными данными (персональными данными г-на/г-ки ____________________).

ООО «Зодчий» осуществляет обработку Ваших персональных данных (персональных данных г-на/г-ки _______________________________) согласно требованиям следующих законодательных актов:

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи _____________________________), пожалуйста, обращайтесь.

(дата, подпись, печать)

к Правилам рассмотрения запросов субъектов персональных данных или их представителей Утверждено приказом ООО «Зодчий»

ФОРМЫ УВЕДОМЛЕНИЯ

субъекта персональных данных, его законного представителя
или уполномоченного органа по защите прав субъектов персональных данных
при достижении целей обработки ПД

Г-ну/Г-ке _____________

В связи с достижением целей обработки Ваших персональных данных (персональных данных г-на/г-ки ________________________________________) сообщаем следующее.

ООО «Зодчий» прекратил обработку Ваших персональных данных и произведено уничтожение (ПДн г-на/г-ки ______________________):

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-ки ____________________________), пожалуйста, обращайтесь.

На Ваш запрос от «____» ____________ 20__ г. относительно достижения целей обработки Ваших персональных данных (персональных данных г-на/г-ки ___________________) сообщаем следующее.

ООО «Зодчий» не может прекратить обработку и уничтожить Ваши персональные данные (персональные данные г-на/г-ки _________________), так как их обработка осуществляется согласно требованиям следующих законодательных актов:

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-ки _____________________________), пожалуйста, обращайтесь.

(дата, подпись, печать)

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

ФОРМА УВЕДОМЛЕНИЯ

субъекта персональных данных, его законного представителя
о получении персональных данных от третьих лиц

Г-ну/Г-ке _____________

Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-ки ____________________________), пожалуйста, обращайтесь.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

субъекта персональных данных, его законного представителя
о наличии и ознакомлении с персональными данными

от ___________________________

В соответствии со ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я имею право получить от вас информацию, касающуюся обработки моих персональных данных. Прошу вас предоставить мне следующие сведения:

1. Подтверждение факта обработки моих персональных данных;

2. Правовые основания и цели обработки персональных данных;

4. Какие лица имеют доступ или могут получить доступ к персональным данным;

5. Перечень обрабатываемых персональных данных и источник их получения;

7. Осуществлялась ли трансграничная передача персональных данных, а, если нет, то предполагается ли такая передача. Ответ на настоящий запрос прошу направить в письменной форме по адресу: _______________________________________ в установленные законом сроки.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

субъекта персональных данных, его законного представителя
на уточнение персональных данных

от ___________________________

В соответствии с ч. 1 ст. 14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» прошу уточнить, обрабатываемые вами, мои персональные данные в соответствии со сведениями:

^{(указать уточненные персональные данные субъекта)}

^{(указать причину уточнения персональных данных)}

Ответ на настоящий запрос прошу направить в письменной форме по адресу: _______________________________________ в установленные законом сроки.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

субъекта персональных данных, его законного представителя
на блокированиеуничтожение персональных данных

от ___________________________

В соответствии с ч. 1 ст. 14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» прошу блокироватьуничтожить (нужное подчеркнуть), обрабатываемые вами, мои персональные данные в соответствии:

^{(указать персональные данные подлежащие блокированиюуничтожению)}

^{(указать причину блокированияуничтожения персональных данных)}

Ответ на настоящий запрос прошу направить в письменной форме по адресу: _______________________________________ в установленные законом сроки.

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Утверждено приказом ООО «Зодчий»

субъекта персональных данных, его законного представителя
с отзывом согласия на обработку персональных данных

от ___________________________

В соответствии с ч. 5 ст. 21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» прошу вас прекратить обработку моих персональных данных:

^{(указать перечень персональных данных)}

Ответ на настоящий запрос прошу направить в письменной форме по адресу: _______________________________________ в установленные законом сроки.

Приложение № 12

Утверждено приказом ООО «Зодчий»

работы лиц, доступ которых к персональным данным, в том числе обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей в ООО «Зодчий»

Допуск для работы на автоматизированных рабочих местах (далее - АРМ) состоящих в составе информационной системы персональных данных (далее - ИСПДн) осуществляется на основании утвержденного перечня лиц, доступ которых к персональным данным, в том числе обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей (далее - Пользователи ИСПДн).

Пользователь ИСПДн имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. При этом для хранения и записи информации, содержащей персональные данные (далее - ПДн), разрешается использовать только машинные носители информации, учтенные в журнале учета машинных носителей информации, использующихся в ИСПДн для обработки, хранения и транспортировки информации.

Пользователь несет ответственность за правильность включения и выключения АРМ, входа и выхода в систему и за все свои действия при работе в ИСПДн.

Вход пользователя в систему осуществляется по выдаваемому ему электронному идентификатору и по персональному паролю.

При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов и иных вредоносных программ с использованием штатных антивирусных средств, установленных на АРМ. В случае обнаружения вирусов либо вредоносных программ пользователь ИСПДн обязан немедленно прекратить их использование и действовать в соответствии с требованиями инструкции по организации антивирусной защиты.

Каждый работник, участвующий в рамках своих служебных обязанностей в процессах обработки персональных данных в ИСПДн и имеющий доступ к АРМ, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

-     строго соблюдать установленные соответствующими инструкциями правила обеспечения безопасности информации в ИСПДн;

-     знать и строго выполнять правила работы со средствами защиты информации, установленными на АРМ;

-     хранить в тайне свой пароль (пароли). Выполнять требования инструкции по организации парольной защиты в полном объеме;

-      хранить индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);

-      выполнять требования инструкции по организации антивирусной защиты в полном объеме;

-      немедленно известить ответственного за обеспечение безопасности персональных данных в случае утери электронного идентификатора или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

-      несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации АРМ;

-     отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию АРМ, выхода из строя или неустойчивого функционирования компонентов АРМ, а также перебоев в системе электроснабжения;

-      некорректного функционирования установленных на АРМ технических средств защиты;

-       непредусмотренных отводов кабелей и подключенных устройств.

Пользователю АРМ категорически запрещается:

-     использовать компоненты программного и аппаратного обеспечения АРМ в личных целях;

-     самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения АРМ;

-     записывать и хранить конфиденциальную информацию (содержащую персональные данные) на неучтенных машинных носителях информации (гибких магнитных дисках, флэш-накопителях и т.п.);

-     оставлять включенным без присмотра АРМ, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

-     оставлять без личного присмотра на рабочем месте или в ином месте свой электронный идентификатор, машинные носители и распечатки, содержащие персональные данные;

-     умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты;

-     размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации, содержащей персональные данные.

Утверждено приказом ООО «Зодчий»

уничтожения персональных данных при достижении целей обработки и (или) при наступлении иных законных оснований в ООО «Зодчий»

Настоящий документ устанавливает порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Документы, дела, книги и журналы учета, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению.

Уничтожение документов производится в присутствии ответственного за организацию обработки персональных данных, который несет персональную ответственность за правильность и полноту уничтожения перечисленных в акте (приложение 1 к настоящему Порядку) документов.

Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста или сжигаются.

После уничтожения материальных носителей ответственный за организацию подписывает акт в двух экземплярах, также в номенклатурах и описях дел проставляется отметка «Уничтожено. Акт №______(дата)».

Уничтожение информации на носителях необходимо осуществлять путем стирания информации с использованием сертифицированного программного обеспечения, установленного на АРМ с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

Информация, содержащая персональные данные при достижении целей обработки или при наступлении иных законных оснований (например, утратившие практическое значение, с истекшим сроком хранения) в электронном виде, подлежит уничтожению.

Приложение № 1 к

Порядку уничтожения персональных данных при достижении целей обработки и (или) при наступлении иных законных оснований

об уничтожении персональных данных субъектов персональных данных

Роль	ФИО	Должность
Председатель
Члены комиссии

№ пп	Сведения, содержащие персональные данные	Место хранения	Кол-во ед. хранения	Примечание

установила, что на основании достижения цели обработки персональных данных, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных» гл. 2, ст. 5, пункт 7, подлежат уничтожению сведения, составляющие персональные данные:

_____________________________________________________________________________

(удаления с помощью средств гарантированного удаления информации, уничтожения носителя и т.п.)

Утверждено приказом ООО «Зодчий»

осуществления внутреннего контроля соответствия обработки

персональных данных требованиям к защите персональных данных в ООО «Зодчий»

1.   Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в ООО «Зодчий» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее - Правила), устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют порядок проведения процедур внутреннего контроля исполнения требований законодательства.

2.   В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных организовывается проведение периодических проверок.

3. Проверки осуществляются ответственным за организацию обработки персональных данных с привлечением ответственных за эксплуатацию информационных систем персональных данных, ответственный за обеспечение безопасности персональных данных в ООО «Зодчий»

4. Плановые проверки проводятся не чаще чем один раз в три месяца в соответствии с утвержденным руководителем ООО «Зодчий» Планом, проведения периодического внутреннего контроля соответствия обработки персональных данных в ООО «Зодчий» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных».

5.   Внеплановые проверки проводятся по инициативе ответственного за организацию обработки персональных данных в  ООО «Зодчий».

6.   Основанием для проведения внеплановой проверки служит служебная записка, направленная в адрес руководителя   ООО «Зодчий».

7.   При проведении проверки должны быть полностью, объективно и всесторонне установлены:

-    соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;

-    соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-     достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;

-     отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

-     порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

-      порядок и условия применения средств защиты информации;

-      соблюдение правил доступа к персональным данным;

-     наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер.

8.   Ответственный за организацию обработки персональных данных и иные привлекаемые работники  ООО «Зодчий» в ходе проверки имеют право:

-     запрашивать у работников информацию, необходимую для реализации своих полномочий;

-     требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем персональных данных;

-     принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

-     вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

-     вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

9.   Ответственный за организацию обработки персональных данных в течение 3 (трех) рабочих дней направляет в адрес руководителя  ООО «Зодчий» результаты проведения проверки в форме служебной записки.

10.            

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНАВЛИВАЮЩИЕ ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ОПРЕДЕЛЯЮЩИЕ ДЛЯ КАЖДОЙ ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
В ООО «ЗОДЧИЙ»

СОДЕРЖАНИЕ