1. Общие положения

1.1. Настоящий документ — Положение ООО «Брикстоун» об обработке персональных данных (далее — Положение) — разработан в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Закон) и направлен на обеспечение прав и свобод физических лиц при обработке их персональной информации, включая защиту частной жизни, персональной, семейной тайны.

1.2. Положение применяется ко всем персональным данным, которые обрабатываются обществом с ограниченной ответственностью «Брикстоун» (ОГРН 1155476120040, ИНН 5446017219, юридический адрес: 633203, Новосибирская обл., г. Искитим, мкр. Индустриальный, 24А, офис 7; далее — Общество, Оператор), с учетом перечня, приведенного в Приложении №1 к настоящему документу.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона Положение размещается в открытом доступе в сети Интернет на официальном сайте Оператора: https://www.brickstone.su.

1.4. Настоящий документ служит основой для разработки локальных актов, регулирующих вопросы обработки персональных данных субъектов.

1.5. Положение распространяется на любую информацию, содержащую персональные данные физических лиц, полученную Обществом в рамках осуществления основной хозяйственной деятельности.

1.6. Обработка персональных данных может осуществляться как автоматизированными средствами, так и без их использования. Неавтоматизированная обработка возможна в форме бумажных документов либо файлов, размещенных на электронных носителях.

1.7. При обработке персональных данных Оператор руководствуется следующими принципами:
• правомерность и добросовестность обработки;
• обработка на основании заранее определенных, законных целей;
• соответствие обрабатываемых данных целям их получения;
• недопустимость объединения информационных баз, созданных для несовместимых целей;
• минимизация данных, исключение обработки избыточной информации;
• обеспечение точности, актуальности и достаточности данных;
• хранение данных не дольше срока, необходимого для достижения целей обработки, если иное не установлено законом или договором;
• уничтожение данных после достижения целей обработки либо при утрате необходимости их дальнейшего применения, если иное не предусмотрено законодательством.

1.8. Действие Положения распространяется на все отношения, связанные с обработкой персональных данных у Оператора, вне зависимости от даты их возникновения.

1.9. Положение подлежит актуализации при необходимости, в частности — при изменении требований законодательства Российской Федерации или условий обработки персональных данных, включая внедрение новых технологий и информационных систем.

1.10. Контроль соблюдения положений настоящего документа осуществляет уполномоченное лицо, назначенное в Обществе ответственным за организацию обработки персональных данных.

1.11. Ответственность за нарушение правил обработки и защиты персональных данных определяется законодательством Российской Федерации, а также локальными нормативными актами Оператора.

 

2. Термины и определения

• Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

• Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

• Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.

• Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.

• Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.

• Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.

• Контролирующий орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

• Конфиденциальность ПДн - обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

• Личный кабинет - приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

• Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

• Обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

• Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

• Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

• Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

• Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

• ПДн, разрешенные субъектом ПДн для распространения, - ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом о защите персональных данных.

• Пользователь - любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте;

• Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

• Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

• Сайт Общества - официальный сайт Оператора: https://www.brickstone.su.

• Специальные категории ПДн – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

• Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

• Удаление ПДн - изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.

• Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

• Сookies - это небольшие фрагменты данных, которые Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Пользователя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя. Пользователь может удалить сохраненные сookies в настройках соответствующего браузера.

 

3. Правовые основания обработки персональных данных

3.1. Основания для обработки персональных данных субъектов определяются в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» и другими нормативными актами Российской Федерации. Обработка персональных данных Оператором допускается на основании следующих правовых источников:

• Конституция Российской Федерации;
• Трудовой кодекс РФ от 30.12.2001 №197-ФЗ;
• Гражданский кодекс РФ от 30.10.1994 №51-ФЗ;
• Налоговый кодекс РФ от 31.07.1998 №146-ФЗ;
• Гражданский процессуальный кодекс РФ от 14.11.2002 №138-ФЗ;
• Арбитражный процессуальный кодекс РФ от 24.07.2002 №95-ФЗ;
• Кодекс административного судопроизводства РФ от 08.03.2015 №21-ФЗ;
• Федеральный закон РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;
• Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 28.12.2003 №426-ФЗ «О специальной оценке условий труда»;
• Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 12.12.2023 №565-ФЗ «О занятости населения в РФ»;
• Федеральный закон от 24.11.1995 №181-ФЗ «О социальной защите инвалидов в РФ»;
• Федеральный закон от 25.07.2002 №115-ФЗ «О правовом положении иностранных граждан в РФ»;
• Федеральный закон от 28.12.2013 №400-ФЗ «О страховых пенсиях»;
• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ»;
• Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в РФ»;
• Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в РФ»;
• Федеральный закон от 10.12.1995 №196-ФЗ «О безопасности дорожного движения»;
• Закон РФ от 31.05.1996 №61-ФЗ «Об обороне»;
• Закон РФ от 26.02.1997 №31-ФЗ «О мобилизационной подготовке и мобилизации»;
• Закон РФ от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;
• Постановление Правительства РФ от 27.11.2006 №719 «Об утверждении Положения о воинском учете»;
• Постановление Правительства РФ от 21.01.2015 №29 «Об утверждении правил сообщения работодателем о заключении трудового или гражданско-правового договора с гражданином, замещавшим государственные и муниципальные должности»;
• Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований по защите персональных данных в информационных системах».

3.2. Дополнительными основаниями обработки персональных данных считаются:

• Локальные нормативные акты и учредительные документы Оператора;
• Договоры, где субъект персональных данных является стороной, выгодоприобретателем или поручителем, если обработка данных необходима для заключения договора или исполнения его условий;
• Согласие субъекта персональных данных на их обработку.

 

4. Цели обработки персональных данных

 

4.1. Обработка персональных данных осуществляется только для конкретных, заранее определённых и законных целей. Использование данных в целях, не соответствующих целям их сбора, запрещено.

4.2. Цели обработки данных определяются деятельностью Общества и соответствуют положениям Устава.

4.3. Полный перечень целей обработки персональных данных приведён в Приложении №1 к настоящему Положению.

4.4. Обработка данных сотрудников допускается исключительно для:

• соблюдения законодательства и нормативных актов;
• содействия в трудоустройстве, обучении и профессиональном росте;
• обеспечения личной безопасности работников;
• контроля объёма и качества выполняемой работы;
• сохранности имущества.

 

5. Категории, объем, сроки и условия обработки персональных данных

5.1. Обрабатываемые данные должны соответствовать заявленным целям, указанным в Приложении №1, и не содержать избыточной информации.

5.2. Для каждой цели обработки определяются:

• категории и перечень персональных данных;
• категории субъектов данных;
• способы и сроки обработки и хранения данных, отражённые в Приложении №1.

5.3. Для каждой цели, указанной в Приложении №1, применяются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Обработка может проводиться с использованием автоматизированных средств или без них, включая передачу данных через информационно-телекоммуникационные сети.

5.4. Обработка специальных категорий данных (состояние здоровья, судимость) допускается в случаях, предусмотренных законодательством РФ.

5.5. Общество не обрабатывает биометрические данные.

5.6. Сроки обработки и хранения определяются с учётом законодательства РФ, условий договора или согласия субъекта и не превышают необходимого времени для достижения целей обработки.

5.7. Прекращение обработки и уничтожение данных осуществляется:

• по требованию субъекта;
• по требованию Роскомнадзора о недостоверных или незаконно полученных данных;
• при выявлении неправомерной обработки;
• при отзыве согласия субъекта;
• при утрате необходимости обработки;
• по достижении целей или истечении срока хранения;
• при ликвидации Оператора.

 

6. Порядок и условия обработки персональных данных

6.1. Обработка данных может включать: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

6.2. Сбор данных осуществляется у самого субъекта или его законного представителя.

6.3. Обработка требует согласия субъекта, кроме случаев, предусмотренных законом РФ, таких как:

• выполнение функций и обязанностей, возложенных законодательством;
• исполнение судебных актов и решений государственных органов;
• исполнение полномочий государственных органов и предоставление госуслуг;
• заключение и исполнение договора с участием субъекта;
• защита жизни и здоровья, если согласие невозможно;
• обработка данных, обязательных к публикации по закону.

6.4. При обязательном предоставлении данных или согласия субъекту разъясняются правовые последствия отказа.

6.5. Если данные получены у третьей стороны, субъект уведомляется заранее и предоставляет письменное согласие, включая сведения о:

• наименовании и адресе третьей стороны;
• цели и правовом основании обработки;
• перечне данных;
• предполагаемых пользователях;
• правах субъекта;
• источнике данных.

6.6. Решения, затрагивающие права субъекта, принимаются только при наличии письменного согласия или в случаях, предусмотренных законом.

6.7. Обработка данных для продвижения товаров и услуг возможна только с согласия субъекта.

6.8. Хранение данных осуществляется в информационных системах и на бумажных носителях.

6.9. Бумажные документы и резервные копии хранятся в специально выделенных помещениях с ограниченным доступом.

6.10. Хранение данных осуществляется с обеспечением сохранности и исключением неправомерного использования.

6.11. Все операции с данными выполняются сотрудниками, имеющими соответствующие должностные обязанности.

6.12. Сотрудник, имеющий доступ к данным, обязан:

• обеспечить сохранность данных от третьих лиц;
• передавать документы и носители лицу, исполняющему его обязанности при длительном отсутствии.

6.13. Передача данных третьим лицам допускается:
6.13.1. органам власти и уполномоченным органам в случаях, установленных законом;
6.13.2. между подразделениями Общества — только сотрудникам с доступом;
6.13.3. представителям субъекта — при наличии подтверждающих документов;
6.13.4. третьим лицам — только с согласия субъекта и на основании договора, включающего обязательства по конфиденциальности;
6.13.5. доступ или обработка данных третьими лицами ограничиваются только необходимыми сведениями для выполнения их функций.

6.14. Трансграничная передача данных не осуществляется.

6.15. Обработка данных граждан РФ ведётся на территории РФ.

6.16. На сайтах Оператора применяются файлы cookie и инструменты аналитики для персонализации, статистики и анализа использования сервисов.

6.17. Файлы cookie сохраняют техническую и служебную информацию о действиях пользователей, включая предпочтения, настройки и историю посещений.

6.18. Файлы cookie необходимы для:

• доступа к персонализированным ресурсам;
• обратной связи с пользователем;
• определения местоположения для безопасности платежей;
• подтверждения достоверности данных;
• информирования о заказах и обновлениях;
• рекламы и предоставления услуг (с согласия пользователя).

6.19. Сбор статистики и аналитическая обработка проводятся в анонимной форме.

6.20. Пользователь может управлять cookie через настройки браузера.

6.21. Файлы cookie уничтожаются по достижении целей обработки или при утрате необходимости.

6.22. Использование сайта подразумевает согласие пользователя с настоящим Положением.

6.23. При отказе от согласия пользователь должен покинуть сайт.

6.24. Положение распространяется только на сайты Оператора; переход по внешним ссылкам не накладывает ответственность на Оператора.

6.25. На сайте применяется система аналитики Яндекс.Метрика для анализа пользовательской активности, согласно условиям:

• Политики использования cookie: https://yandex.ru/legal/cookies_policy;
• Условий сервиса «Яндекс.Метрика»: https://yandex.ru/legal/metrica_termsofuse;
• Политики конфиденциальности: https://yandex.ru/legal/confidential.

6.26. Сервис Calltouch используется для анализа рекламных источников и обратной связи, обрабатывая персональные данные в соответствии с лицензионным договором на право использования программы и политикой конфиденциальности.

 

7. Права и обязанности субъектов персональных данных и Оператора

7.1. Права субъектов персональных данных

7.1.1. Субъект персональных данных имеет право добровольно предоставлять согласие на обработку своих персональных данных, руководствуясь требованиями Закона о персональных данных к форме и содержанию такого согласия.

7.1.2. Субъект персональных данных вправе получать информацию об обработке своих данных (при личном обращении или письменном запросе), включая:

• подтверждение факта обработки;
• правовые основания и цели обработки;
• цели и методы обработки, применяемые Оператором;
• наименование и местонахождение Оператора, сведения о лицах (кроме работников Оператора), имеющих доступ к данным или получающих их на законных основаниях;
• перечень обрабатываемых данных, источник их получения, если иной порядок не установлен законом;
• сроки обработки и хранения данных;
• порядок реализации прав субъекта персональных данных;
• сведения о проведённой или планируемой трансграничной передаче данных;
• наименование и адрес лица, обрабатывающего данные по поручению Оператора, если такое поручение имеется.

Сведения предоставляются в доступной форме, без раскрытия данных третьих лиц, кроме случаев, предусмотренных законом. Информация передаётся субъекту или его представителю уполномоченным сотрудником в течение 10 рабочих дней с момента обращения. Срок может быть продлён не более чем на 5 рабочих дней при уведомлении субъекта о причинах задержки.

7.1.3. Субъект имеет право требовать уточнения, блокирования или уничтожения своих данных, если они неполные, устаревшие, неточные, получены незаконно или не нужны для заявленной цели обработки.

7.1.4. Субъект может отозвать согласие на обработку данных, включая согласие на получение информационных и рекламных сообщений.

7.1.5. Субъект вправе реализовывать иные права, предусмотренные законодательством РФ.

 

7.2. Обязанности субъектов персональных данных

7.2.1. Субъекты обязаны:                   

• предоставлять достоверные и актуальные сведения о себе, включая контактные данные;
• своевременно сообщать об изменениях в своих данных;
• ознакомиться с актуальными версиями юридических документов Общества, доступных на внутренних и внешних ресурсах, включая настоящее Положение обработки персональных данных.

 

7.3. Обязанности Оператора персональных данных

7.3.1. Общество, как Оператор, обязано:

• при сборе данных, в том числе через интернет, обеспечивать запись, систематизацию, накопление, хранение, обновление, извлечение данных граждан РФ в базах на территории РФ (кроме случаев, установленных законом);
• публиковать в сети интернет документ о политике обработки данных и требования к их защите, обеспечивая доступ к нему;
• разъяснять юридические последствия отказа предоставить данные или согласие на обработку, если это требуется законом;
• предоставлять субъекту данные, полученные не от него, до начала обработки, с учетом исключений, предусмотренных законом;
• выполнять обязанности при запросах субъектов и/или контролирующих органов;
• принимать меры для соблюдения Закона о персональных данных;
• обеспечивать безопасность данных при обработке;
• устранять нарушения закона и осуществлять уточнение, блокирование или уничтожение данных при необходимости;
• выполнять требования закона при прекращении обработки или отзыве согласия субъектом;
• взаимодействовать с контролирующими органами по вопросам обработки и защиты данных.

 

7.4. Права Оператора персональных данных

Оператор вправе:

• обрабатывать данные без согласия субъекта в случаях, предусмотренных законом;
• передавать данные третьим лицам, государственным и муниципальным органам, учреждениям и фондам, а также поручать обработку данным лицам при наличии правовых оснований;
• отказать субъекту в предоставлении сведений в случаях, предусмотренных законом;
• самостоятельно определять меры для выполнения обязанностей по закону;
• выбирать необходимые правовые, организационные и технические меры для защиты данных, оценивать актуальные угрозы и эффективность принятых мер;
• реализовывать иные права, предусмотренные законодательством РФ.

 

8. Обращения субъектов персональных данных и порядок работы с персональными данными

8.1. В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя Общество бесплатно предоставляет информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также обеспечивает возможность ознакомления с ними.

8.1.1. Порядок и сроки ответа на обращения субъектов персональных данных устанавливаются в соответствии со статьей 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных».

8.2. Общество вправе отказать субъекту или его представителю в предоставлении информации о наличии персональных данных при обращении или запросе, при этом предоставляется мотивированный ответ с указанием основания отказа согласно ч. 8 ст. 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» или другому федеральному закону.

8.3. В случае выявления неточностей в персональных данных, по обращению субъекта, его представителя или уполномоченного органа, Общество блокирует соответствующие данные с момента обращения или получения запроса на период проверки, если это не нарушает права субъекта или третьих лиц.

8.4. При подтверждении неточности данных на основании сведений, предоставленных субъектом, его представителем или уполномоченным органом, Общество обязано уточнить данные или обеспечить их уточнение уполномоченным лицом в течение 7 рабочих дней и снять блокирование данных.

8.5. В случае выявления неправомерной обработки данных по обращениям субъекта, его представителя или уполномоченного органа, Общество блокирует соответствующие персональные данные с момента обращения или получения запроса на период проверки.

8.6. Если восстановить правомерность обработки невозможно, Общество обязано уничтожить данные или обеспечить их уничтожение в срок не более 10 рабочих дней с даты выявления нарушения.

8.7. Общество уведомляет субъекта или его представителя о принятых мерах по устранению нарушений или уничтожению данных. Если обращение поступило через уполномоченный орган, уведомление направляется также указанному органу.

8.8. При обнаружении факта неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, нарушающей права субъектов:

• Оператор уведомляет уполномоченный орган в течение 24 часов о происшествии, причинах, возможном вреде и принятых мерах, а также предоставляет контактное лицо для взаимодействия;
• В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, действия которых вызвали инцидент (при наличии).

8.9. При требовании субъекта прекратить обработку данных для продвижения товаров, работ или услуг через прямой контакт, Общество немедленно прекращает их обработку.

8.10. При отзыве согласия на обработку данных Общество прекращает их обработку и уничтожает данные в срок не более 30 дней, если иное не предусмотрено законодательством, архивными нормами или договором.

8.11. При обращении субъекта с требованием прекратить обработку данных Общество прекращает их обработку в срок не более 10 рабочих дней, за исключением случаев, предусмотренных законодательством.

8.12. При утрате необходимости в достижении целей обработки данных Общество уничтожает их в срок не более 30 дней, если иное не предусмотрено законом.

8.13. После достижения целей обработки или истечения сроков хранения данных, Общество уничтожает их в срок не более 30 дней, если иное не установлено законом.

8.14. По достижении максимальных сроков хранения документов, содержащих персональные данные, Общество уничтожает их в срок не более 30 дней, если иное не предусмотрено законодательством.

8.15. Порядок, сроки и способы уничтожения персональных данных устанавливаются локальными нормативными актами Оператора.

 

9. Конфиденциальность, безопасность и обезличивание персональных данных

9.1. Обеспечение конфиденциальности и безопасности персональных данных
Для защиты персональных данных субъектов и предотвращения неправомерного или случайного доступа, изменения, уничтожения, блокирования, копирования, предоставления и распространения данных Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие лицом, действующим по его поручению. В частности:

• определяется актуальные угрозы безопасности персональных данных и применяются соответствующие меры защиты для установленных уровней защищенности;
• используются средства защиты информации, прошедшие оценку соответствия и соответствующие установленным уровням защищенности;
• проводится оценка эффективности мер защиты, включая до ввода информационных систем в эксплуатацию;
• обеспечивается пропускной режим и управление доступом к персональным данным, техническим средствам и информационным системам;
• регистрируются и учитываются все действия с персональными данными в ИСПДн;
• ведется учет технических средств и машинных носителей, входящих в состав ИСПДн;
• актуализируется перечень лиц с доступом к персональным данным;
• реализуются меры по предупреждению, выявлению и ликвидации несанкционированного доступа и последствий компьютерных атак;
• обеспечивается восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
• контролируется использование разрешенного программного обеспечения и его обновление;
• выявляются инциденты и принимаются меры по их устранению;
• проводится контроль за выполнением мер по обеспечению безопасности персональных данных.

Кроме того, проводится оценка возможного вреда субъектам данных при нарушении законодательства и соотношение этого вреда с принимаемыми мерами безопасности.

 

9.2. Обезличивание персональных данных
9.2.1. Обезличивание данных направлено на минимизацию рисков вреда субъектам персональных данных при утечках из ИСПДн с сохранением возможности их обработки.

9.2.2. Основные свойства обезличенных данных:

• полнота, структурированность, релевантность;
• семантическая целостность;
• применимость для задач обработки;
• анонимность, исключающая однозначную идентификацию субъекта без дополнительной информации.

9.2.3. Основные характеристики методов обезличивания:

• обратимость, вариативность, изменяемость;
• стойкость к идентификации;
• возможность косвенного деобезличивания;
• совместимость и параметрический объем;
• возможность контроля качества данных.

9.2.4. Основные методы обезличивания:

• введение идентификаторов;
• изменение состава или семантики;
• декомпозиция массива данных;
• перемешивание записей.

9.2.5. Выбор методов обезличивания зависит от целей обработки, может комбинироваться и осуществляется в соответствии с требованиями Приказа Роскомнадзора № 996 от 05.09.2013, методическими рекомендациями и другими нормами действующего законодательства.

 

10. Внутренний контроль и ответственность

10.1. Внутренний контроль соблюдения законодательства и локальных нормативных актов Оператора осуществляется ответственным лицом в порядке, установленном локальными актами.

10.2. Лица, нарушившие законодательство РФ или локальные нормативные акты Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

 

11. Заключительные положения

11.1. Настоящее Положение вступает в силу с момента утверждения Генеральным директором и действует бессрочно до замены новой редакцией.

11.2. Пересмотр и актуализация Положения проводятся при:

• изменении порядка обработки персональных данных;
• выявлении несоответствий по результатам проверок органов защиты прав субъектов;
• изменении требований законодательства РФ;
• выявлении существенных нарушений по результатам внутренних проверок.

11.3. При внесении изменений указывается дата последнего обновления. Новая редакция утверждается приказом Генерального директора.

11.4. Продолжение взаимодействия субъекта персональных данных с Обществом после обновления Положения считается согласием с его действующей редакцией.