Утверждено
Индивидуальным предпринимателем Сальниковым А.В.,
приказ №1-од от 01.01.2022
Положение об обеспечении безопасности персональных данных
1 Термины и сокращения
- персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
- Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2 Область применения
2.1 Положение об обеспечении безопасности персональных данных (далее – Положение) разработано в целях выполнения требований законодательства в области персональных данных.
2.2 Настоящее Положение определяет порядок и правила организации и проведения работ по обеспечению безопасности персональных данных в ИП Сальников А.В. (ОГРН 320253600065590 от 19.11.2020, адрес места нахождения 692502, Приморский край, город Уссурийск, улица Стаханова, д.40Б квартира 12) (далее -Оператор).
2.3 Настоящий документ учитывает положения основных нормативных правовых актов в области защиты персональных данных.
2.4 Настоящее Положение предназначено для всех работников Оператора, а также третьих лиц, получающих временный или постоянный доступ к обрабатываемым у него ПДн на законном основании.
2.5 Внесение изменений в настоящее Положение либо утверждение его новой редакции производится на основании соответствующего приказа руководителя ИП Сальников А.В.
Действия Положения распространяются на все структурные подразделения Оператора.
3 Цели обработки персональных данных
Цели обработки персональных данных Пользователей, основания для их обработки, возможные действия (операции), совершаемые с персональными данными, сроки обработки и состав обрабатываемых персональных категорий субъектов персональных данных, обрабатываемых у Оператора, указаны в Оферте (глава 9).
4 Организация работ по обеспечению безопасности персональных данных
4.1 Под организацией работ по обеспечению безопасности ПДн понимается формирование и всестороннее обеспечение реализации совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию как непосредственно, так и опосредованного ущерба от реализации угроз безопасности ПДн, и осуществляемых в целях:
- предотвращения возможных (потенциальных) угроз безопасности ПДн;
- нейтрализация и/или парирования реализуемых угроз безопасности ПДн;
- ликвидация последствий реализации угроз безопасности ПДн.
4.2 Организация работ по обеспечению безопасности ПДн у Оператора должна осуществляться в соответствии с действующими нормативными правовыми актами и разработанными для этих целей организационно-распорядительными документами по обеспечению безопасности ПДн Оператором.
4.3 Задачами по приведению деятельности Оператора в соответствие с требованиями законодательства в области ПДн возлагаются на специально создаваемую для этих целей Комиссию из лиц, ответственных за организацию обработки и обеспечение безопасности ПДн, которые могут быть включены в состав данной Комиссии.
4.4 В случаях, когда Оператор на основании договора поручает обработку ПДн третьему лицу, Оператору необходимо заключить с данным лицом соглашение, предусматривающее нормы о соблюдении безопасности персональных данных, с возложением на третье лицо обязанности по обеспечению конфиденциальности и безопасности переданных Оператором ПДн (либо включить данное обязательство в заключенный /действующий договор).
4.5 Работы по обеспечению безопасности ПДн, обрабатываемых без использования средств автоматизации, ведутся по следующим направлениям:
- определения перечня лиц, допущенных к обработке ПДн;
- определение помещений, в которых обрабатываются персональные данные;
- информирование работников Оператора об установленных правилах обработки ПДн и требований по их защите, повышение осведомленности в вопросах обеспечения безопасности ПДн;
- учет и защита носителей ПДн;
- разграничение доступа к носителям ПДн;
- уничтожение ПДн.
4.6 Организация и выпонение мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн Оператора, осуществляются в рамках системы защиты персональных данных ИСПДн (далее - СЗПДн), развертываемой в ИСПДн в процессе ее создания или модернизации.
4.7 СЗПДн представляет собой совокупность организационных мер и технических средств защиты информации, а также используемых в ИСПДн информационных технологий, функционирующих в соответствии с определенными целями и задачами обеспечения безопасности ПДн.
4.8 СЗПДн должна являться неотъемлемой составной частью каждой вновь создаваемой ИСПДн Оператора.
5 Проведение работ по обеспечению безопасности персональных данных
5.1 В целях оценки уровня защищенности обрабатываемых у Оператора ПДн и своевременного устранения несоответствий требованиям законодательства в области защиты ПДн у Оператора раз в год должен проводиться анализ изменений процессов защиты ПДн.
5.2 Анализ изменений проводится по следующим основным направлениям:
- перечень работников и третьих лиц, допущенных в обработке ПДн, степень их участия в обработке ПДн и характер взаимодействия между собой;
- перечень помещений, в которых обрабатываются персональные данные;
- перечень и объемы обрабатываемых ПДн;
- цели обработки ПДн;
- процедура сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн;
- способы обработки ПДн (автоматизированная, неавтоматизированная);
- перечень уполномоченных органов, в рамках отношений с которыми осуществляется обработка ПДн;
- перечень программно-технических средств, используемых для обработки ПДн;
- перечень организационно-распорядительной документации, определяющий порядок обработки и защиты ПДн у Оператора;
- физические меры защиты ПДн, организация пропускного режима.
5.3 Доступ к ПДн осуществляется в соответствии с Регламентом по допуску работников и третьих лиц к обработке персональных данных, утвержденным Оператором.
5.4 Лица, допущенные к обработке ПДн должны быть проинформированы:
- о допуске к обработке ПДн путем ознакомления с Перечнем должностей и третьих лиц, имеющих доступ к персональным данным, обрабатываемым у Оператора;
- о категориях, обрабатываемых ПДн путем ознакомления с утвержденным Перечнем обрабатываемых персональных данных;
- о правилах осуществления обработки ПДн путем ознакомления под роспись с Положением об обработке персональных данных.
5.5 Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения материальных носителей и установить перечень лиц, допущенных к обработке ПДн. У Оператора должен вестись учет носителей ПДн.
5.6 Фиксация ПДн должна осуществляться на отдельных материальных носителях (отдельных документах). ПДн должны отделяться от иной информации.
5.7 Правила учета, хранения и уничтожения ПДн при неавтоматизированной обработке описаны в Регламенте по учету, хранению и уничтожению носителей персональных данных, утвержденных Оператором.
5.8 Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации должно производиться в течении 30 дней с даты достижения цели обработки (предельного срока хранения) персональных данных. При невозможности уничтожения персональных данных в течении 30 жней с даты достижения целей обработки персональных данных, обеспечивается их блокирование и уничтожение в срок, не превышающий шести месяцев.
5.9 При возникновении условий, влияющих на безопасность ПДн (компрометация паролей, нарушение целостности и доступности персональных данных и пр.) работник обязан незамедлительно проинформировать об этом Администратора безопасности ИСПДн.
5.10 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленными законами.
5.11 Разглашение персональных данных, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) Оператора, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет материальную ответственность в случае причинения его действиями ущерба работодателю.
Работники Оператора, имеющие доступ к персональным данным, виновные в их незаконном разглашении или использовании без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность.