Действующий
6.3 К обработке, передаче и хранению персональных данных, обрабатываемых в информационной системе Оператора, могут иметь доступы сотрудники следующих структурных подразделений:
• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
6.4 Использование персональных данных возможно только в соответствии с перечнем услуг, оказываемых в рамках договоров СТД ИСП-1 Договор оказания услуг консультирования в процессе исполнения инвестиционно-строительного проекта и СТД ИСП-5 Лицензионный договор о предоставлении права использования Программного продукта для управления инвестиционным проектом, Трудовых договоров, Договоров подряда.
7.1 Субъект ПД самостоятельно принимает решение о предоставлении своих ПД и дает письменное согласие на их обработку Оператору.
7.2 Для осуществления обработки ПД субъектов ПД Оператору необходимо получать согласие на обработку их ПД и на передачу ПД третьим лицам по форме, представленной в Приложении № 1 к настоящему Положению.
7.3 Согласие на обработку ПД может быть отозвано субъектом ПД. Форма отзыва согласия на обработку ПД представлена в Приложении № 2 к настоящему Положению.
7.4 Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические ПД), и которые используются Оператором для установления личности субъекта ПД, могут обрабатываться только при наличии согласия субъекта в письменной форме.
7.5 В случае смерти субъекта согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом при его жизни.
7.6 В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.
• не сообщать ПД субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
• предупреждать лица, получающие ПД субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных ПД;
• не сообщать ПД субъекта в коммерческих целях без его письменного согласия;
• передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;
• не отвечать на вопросы, связанные с передачей ПД субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
• предупреждать лица, получающие ПД субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных ПД;
• не сообщать ПД субъекта в коммерческих целях без его письменного согласия;
• передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;
• не отвечать на вопросы, связанные с передачей ПД субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
9.1.1 Безопасность ПД достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий.
9.1.2 ПД защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами РФ, нормативно-распорядительными актами и рекомендациям регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.
9.1.3 Защита персональных данных от неправомерного использования или утраты обеспечивается Оператором за счет средств Оператора в порядке, установленном федеральным законом.
• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
9.2 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
9.4 Для обеспечения защиты персональных данных, обрабатываемыми Оператором, применяются следующие меры:
• издание внутренних нормативных документов по вопросам обработки персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
10.1 Оператор обеспечивает уничтожение обрабатываемых ПД, которое осуществляется другим лицом, действующим по поручению Оператора в следующих случаях:
• в случае достижения цели обработки ПД - в срок, не превышающий тридцати дней с даты достижения цели обработки ПД;
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
10.2 Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
10.3 В случае отсутствия возможности уничтожения ПД в течении, указанных выше сроков, Оператор обеспечивает блокирование ПД, которое осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
11.1 Под обезличиванием ПД понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту Оператора.
11.2 Обезличивание ПД при обработке ПД с использованием средств автоматизации осуществляется с целью выполнения требований по предоставлению отчетности по результатам деятельности в соответствии с нормативными документами органов государственной власти и управления, а также в связи с достижением целей обработки ПД.
11.3 Допускается обезличивание ПД при обработке ПД без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12.1 Работниками Оператора, получающими доступ к ПД, должна обеспечиваться конфиденциальность таких данных, а именно Работники обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД.
12.2 Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные соответствующими Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
12.3 В случае, если Оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Оператор. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.
13.1 Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.2 Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя.
13.3 Сведения должны быть предоставлены субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
13.4 Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
13.5 Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
• подтверждение факта обработки ПД оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
13.6 Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
• подтверждение факта обработки ПД Оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.