Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
Компания нанимает на работу сотрудника — и в этот же момент получает его персональные данные.
Небольшой интернет-магазин просит покупателя указать номер телефона для связи с курьером или рекламной рассылки — и это тоже персональные данные.
Штрафы за неправильную работу с ними могут достигать сотен тысяч и даже миллионов рублей. Иногда можно ждать и репутационных потерь, и исков от пострадавших.
В общем, ни один бизнес не сможет пройти мимо персональных данных. А Роскомнадзор, который следит за соблюдением законодательства в этой сфере, не пройдет мимо нарушений.
Защита данных юридически регулируется информационным правом, нормы которого прописаны в нескольких законодательных актах.
Один из основных — Федеральный закон №
Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.
С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:
назначить ответственное лицо (структурное подразделение) за обработку ПД;
издать и опубликовать политику по ПД;
осуществлять внутренний контроль (аудит) ПД.
Для выполнения требуемых условий в организации необходимо разработать и внедрить "Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах".
Скачать: Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах.
|
УТВЕРЖДАЮ |
|
Генеральный директор ООО «________» |
|
|
|
_____________ / ____________________ |
|
«___» ___________ 20___ г. |
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах
Москва, 20____
Содержание
1 Термины, определения и сокращения
5 Требования к обработке и защите ПДн
5.1 Лицо, ответственное за организацию обработки ПДн
5.2 Обязанности Компании, связанные с взаимодействием с субъектами ПДн
5.3 Требования по обеспечению конфиденциальности и защиты ПДн
5.4 Лица, ответственные за защиту ПДн, обрабатываемых в ИСПДн
5.5 Предоставление работникам доступа к ПДн
5.6 Обработка ПДн посетителей сайта
6 Порядок взаимодействия с государственными органами
7 Организация внутреннего контроля обработки и обеспечения безопасности ПДн
8 Порядок проведения разбирательств в отношении инцидентов, связанных обработкой ПДн
Приложение 1 Шаблоны запросов субъекта ПДн
1.1 Запрос на предоставление сведений об операторе
1.3 Требование о блокировании ПДн
1.4 Требование об уничтожении ПДн
1.5 Требование об уточнении персональных данных
Приложение 2 Шаблоны ответов субъекту ПДн
2.1 Уведомление субъекта об обработке ПДн
2.2 Отказ в предоставлении сведений
2.3 Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн
2.4 Уведомление субъекта об устранении допущенных нарушений или об уничтожении ПДн
Приложение 3 Соглашение о конфиденциальности
1 Термины, определения и сокращения
персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных;
оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иными лицами, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных лицами (в т.ч. работниками Компании), получившими доступ и обрабатывающих персональные данные;
информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
материальный носитель персональных данных – материальный объект, содержащий персональные данные в электронном или графическом виде, используемый для закрепления и хранения на нем персональных данных (в том числе, бумажный носитель, машиночитаемый носитель).
ФЗ «О персональных данных» – Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2 Цель документа
2.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности и защиты ПДн при их обработке в информационных системах ПДн (далее – ИСПДн) ООО «________» (далее - Компания).
2.2. Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение и которым, в том числе, должна следовать Компания (ее работники), являются:
– Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
– Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687;
– Указание Центрального банка Российской Федерации от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»;
– Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные Приказом ФСБ России от 10.07.2014 № 378;
2.3. В случае внесения изменений, либо отмены указанных выше документов, подлежат применению нормативно-правовые акты, актуальные на дату применения настоящего Положения.
2.4. Компания руководствуется иными применимыми документами и рекомендациями контролирующих органов при осуществлении организации и проведении работ по обеспечению безопасности ПДн при их обработке, в том числе в информационных системах.
2.5. Настоящее Положение определяет порядок и условия обработки ПДн в Компании, включая порядок передачи ПДн третьим лицам, понятие и состав обрабатываемых Компанией персональных данных субъектов персональных данных, цели их обработки, задачи ответственных лиц в рамках обеспечения безопасности ПДн, особенности неавтоматизированной обработки ПДн, а также возложение ответственности за организацию обработки персональных данных, порядок организации внутреннего контроля и ответственность за нарушения обработки ПДн, регламентирует доступ к обрабатываемым персональным данным субъекта и порядок ознакомления субъекта персональных данных с ними, определяет и устанавливает меры защиты Компанией персональных данных субъектов.
2.6. Настоящее Положение предназначено для организации в Компании процесса обработки ПДн согласно нормам и принципам действующего законодательства Российской Федерации, а также международным актам, ратифицированным Россией (включая Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»).
2.7. В рамках настоящего Положения, а также во исполнение ч. 2 ст. 18.1 ФЗ «О персональных данных», разработана Политика в отношении обработки персональных данных ООО «________», которая опубликована на официальном сайте ООО «________».
3 Область применения
3.1. Действие настоящего Положения распространяется на все (любые) действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.2. Положение обязательно для ознакомления и исполнения всеми работниками Компании, допущенными к обработке ПДн. Ознакомление с Положением осуществляется под роспись.
4 Принципы обработки ПДн
4.1. Состав обрабатываемых в Компании персональных данных и цели их обработки утверждаются в установленном порядке в виде Перечня персональных данных, обрабатываемых в ООО «________».
4.2. Допуск работников ООО «________» устанавливается в соответствии с утверждаемым в установленном порядке Перечнем работников ООО «________», допущенных к обработке персональных данных. Актуализация указанного Перечня осуществляется не реже одного раза в полгода с момента его утверждения. Доступ к обработке персональных данных прекращается в случае увольнения работника или иного лица, состоящего в договорных отношениях с Компанией, при расторжении договора или истечения срока его действия.
4.3. Обработка персональных данных должна осуществляться на основе принципов, установленных законодательством о персональных данных, включая принципы:
– законности целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
– уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
– личной ответственности работников Компании за сохранность и конфиденциальность персональных данных, содержащихся в информационных системах персональных данных, так и на иных носителях информации (бумажные, съемные, электронные и т.д.);
– наличия разрешительной системы доступа работников Компании к документам и базам данных, содержащим персональные данные.
4.4. Обработка ООО «________» персональных данных допускается в следующих случаях:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– необходима для выполнения возложенных законодательством Российской Федерации на ООО «________» обязанностей (предусмотренных, например, Трудовым и Налоговым кодексами);
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
– обработка персональных данных необходима для осуществления прав и законных интересов ООО «________» или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (например, при обработке ПДн кандидатов, полученных из общедоступных источников, таких как Интернет-сайты, доски объявлений);
– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5 Требования к обработке и защите ПДн
5.1 Лицо, ответственное за организацию обработки ПДн
5.1.1. Приказом Генерального директора ООО «________» в соответствии и во исполнение требований ст. 22.1 ФЗ «О персональных данных» назначается Лицо, ответственное за организацию обработки персональных данных.
5.1.2. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
– осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
– доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
– организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5.2 Обязанности Компании, связанные с взаимодействием с субъектами ПДн
В соответствии с требованиями ФЗ «О персональных данных» Компания обязана:
5.2.1. По запросу (просьбе) субъекта ПДн (или его законного представителя) предоставлять ему необходимые бланки запросов, приведенных в Приложении 1.
5.2.2. Предоставлять субъекту ПДн (или его законному представителю) по его запросу или при обращении информацию, касающуюся обработки его ПДн по форме 2.1 (Приложение 2), либо направить отказ по форме 2.2 (Приложение 2). Предоставление / сообщение соответствующему субъекту ПДн (или его законному представителю) о наличии его ПДн, возможности ознакомления с ними или отказ в предоставлении данной информации должны производиться в течение 30 (тридцати) дней с момента получения запроса.
5.2.3. По запросу субъекта ПДн (или его законного представителя), направить ему соответствующее разъяснение о том, что в Компании не производится принятие решений, основанных исключительно на автоматизированной обработке ПДн по форме 2.3 (Приложение 2). Предоставление субъекту ответа должно производиться в течение тридцати дней с момента получения запроса.
5.2.4. По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.2.5. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, в срок, не превышающий трех рабочих дней с даты этого выявления, Компания обязана прекратить обработку таких персональных данных или обеспечить прекращение обработки (если обработку осуществляет лицо, действующее по поручению Компании). Если обеспечить правомерность невозможно, Компания обязана в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить эти персональные данные или обеспечить их уничтожение.
5.2.6. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных (или его представителя) по форме 2.4 (Приложение 2).
5.2.7. Если запрос был направлен уполномоченным органом (Роскомнадзор) в связи с обращением субъекта персональных данных, уведомить и уполномоченный орган (Роскомнадзор).
5.2.8. Ответственным за исполнение (организацию исполнения) приведенных в настоящем разделе обязанностей является Лицо, ответственное за организацию обработки персональных данных.
5.3 Требования по обеспечению конфиденциальности и защиты ПДн
5.3.1 Общие требования конфиденциальности и защиты ПДн
5.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
– обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении защищаемой информации;
– соблюдение конфиденциальности ПДн;
– реализация права на доступ к ПДн.
5.3.1.1. Компания и другие третьи лица, получающие доступ к ПДн, должны обеспечивать конфиденциальность таких данных путем реализации комплекса организационных и технических мероприятий по защите ПДн.
5.3.1.2. Для обеспечения конфиденциальности (в том числе ограничение на распространение ПДн без согласия субъекта ПДн) и защиты персональных данных от неправомочных действий необходимы следующие организационные и технические меры, реализуемые в соответствии с нормативными документами РФ по обработке и защите ПДн:
– ограничение и регламентация состава работников, функциональные (должностные) обязанности которых требуют доступа к информации, содержащей персональные данные субъектов персональных данных;
– знание работниками требований законодательства РФ, подзаконных актов Правительства РФ, нормативно-методических документов регулирующих органов по защите информации, в том числе персональных данных;
– все работники, имеющие действующие трудовые отношения с Компанией, в должностные обязанности которых входит обработка ПДн, обязаны подписать соглашение о конфиденциальности (форма соглашения указана в Приложении 3 к Положению), а также быть ознакомлены с настоящим Положением;
– своевременное выявление нарушений работниками требований к режиму конфиденциальности;
– обеспечение и поддержание в помещениях Компании условий, необходимых для работы документами и базами данных, содержащими персональные данные субъектов персональных данных;
– организация порядка уничтожения информации, содержащей персональные данные субъектов персональных данных, если законодательством не установлены требования по хранению соответствующих данных;
– проведение разъяснительной работы с работниками Компании по предупреждению утраты сведений при работе с документами, содержащими персональные данные субъектов персональных данных;
– защита технических средств, на которых содержатся персональные данные субъектов персональных данных, паролями доступа;
– защита доступа к персональным данным, хранящимся в информационных системах персональных данных, локальных сетях, паролями доступа;
– регулярный контроль за соблюдением требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
– расследование случаев несанкционированного доступа или разглашения персональных данных и привлечение виновных Работников к ответственности;
– иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.
5.3.1.3. Компания может передавать ПДн на обработку третьим лицам (принимающей стороне), если это необходимо для достижения целей обработки ПДн и существенным условием договора с третьей стороной является обязанность обеспечения третьей стороной конфиденциальности получаемой информации и ее безопасности при обработке.
5.3.1.4. В договор с третьим лицом, получающим доступ к ПДн для их обработки должно содержаться условие об ответственности указанного третьего лица за нарушение обязательств по договору в области защиты получаемой информации, нарушение порядка работы с полученной информацией, а также ее несанкционированное разглашение. Договором должно быть предусмотрено условие о возмещении третьим лицом (контрагентом) убытков, вреда Компании в полном объеме в случае нарушений, указанных выше в настоящем абзаце. В случае, если третье лицо (контрагент) не соглашается на установление ответственности в полном объеме и предлагает ее ограничить условиями договора, то в данном случае необходимо согласование со стороны Начальника юридического отдела.
5.3.2 Требования к обработке ПДн, осуществляемой с использованием средств автоматизации
5.3.2.1. В Компании до начала проведения работ по обеспечению безопасности ПДн, должна быть проведена инвентаризация ИСПДн, а также установления способа обработки (автоматизированная обработка либо без использования средств автоматизации, либо смешанная обработка).
5.3.2.2. Для всех выявленных и вводимых в эксплуатацию ИСПДн с автоматизированной / смешанной обработкой ПДн должны быть проведены следующие мероприятия:
а) Формирование перечня обрабатываемых ПДн, соответствующих целям сбора и дальнейшей обработки работниками Компании и иными уполномоченными лицами;
б) Разработка Моделей нарушителя и угроз информационной безопасности, а именно определение угроз безопасности персональных данных при их обработке в ИСПДн, в соответствии требованиям законодательства и нормативно-методическим документам уполномоченных органов исполнительной власти по вопросам обеспечения безопасности ПДн;
в) Определение требуемого уровня защищенности ПДн при их обработке в ИСПДн;
г) Разработка требований по обеспечению безопасности ПДн в соответствии с нормативно-методическими документами уполномоченных органов исполнительной власти и с учетом необходимости нейтрализации угроз безопасности ПДн и обеспечения требуемого уровня защищенности ПДн;
д) Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке, необходимых для выполнения требований к защите ПДн , исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
е) Проектирование, внедрение и введение в эксплуатацию системы защиты ПДн в соответствии с установленными требованиями по обеспечению безопасности ПДн;
ж) Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в информационной системе персональных данных.
5.3.2.3. Ответственными за организацию проведения данных мероприятий является Директор департамента информационных технологий.
5.3.2.4. Конкретные сроки и процедуры проведения данных мероприятий устанавливаются дополнительными внутренними локальными актами Компании.
5.3.3 Требования к обработке ПДн, осуществляемой без использования средств автоматизации
5.3.3.1. Работники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящем Положении.
5.3.3.2. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.3.3.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.3.3.4. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Сотрудники, использующие в своей работе материальные носители ПДн, не должны оставлять эти носители без присмотра в помещениях, куда возможен доступ посторонних лиц и работников, не имеющих допуска к ПДн, которые содержатся на материальном носителе.
5.3.3.5. В случае отсутствия / временного отсутствия на рабочем месте лиц(а), ответственных(ого) за носители ПДн, данные носители заблаговременно должны быть ими убраны в шкаф / сейф, который должен быть закрыт на ключ.
5.4 Лица, ответственные за защиту ПДн, обрабатываемых в ИСПДн
5.4.1. В число лиц, ответственных за защиту ПДн, обрабатываемых в ИСПДн, входят:
– лицо, ответственное за организацию обработки ПДн;
– лицо, ответственное за организацию защиты ПДн, обрабатываемых в ИСПДн;
– администраторы безопасности ИСПДн;
– работники Компании, допущенные к обработке ПДн в ИСПДн.
5.4.2. Обязанности лица, ответственного за организацию обработки ПДн, в рамках обеспечения защиты ПДн приведены в разделе 5.1 настоящего Положения.
5.4.3. Обязанности лица, ответственного за организацию защиты ПДн, обрабатываемых в ИСПДн, выполняет Директор департамента информационных технологий.
5.4.4. Лицо, ответственное за организацию защиты ПДн, обрабатываемых в ИСПДн, отвечает организацию выполнения следующих задач, связанных с защитой ПДн:
– разработка и утверждение модели нарушителей и угроз безопасности ИСПДн;
– определение требуемого уровня защищенности ПДн, обрабатываемых в ИСПДн;
– определение требований по обеспечению безопасности ПДн;
– проектирование и создание (модернизацию) системы защиты персональных данных;
– установка, конфигурирование и администрирование аппаратных и программных средств защиты информации ИСПДн,
– учет и хранение машинных носителей ПДн,
– периодический аудит журналов безопасности и анализ защищенности ИСПДн,
– осуществление, в случае необходимости, разъяснения положений законодательства РФ и внутренних локальных актов Компании, регламентирующих вопросы обработки и защиты ПДн;
– поддержание документов, регламентирующих вопросы защиты ПДн в ИСПДн в актуальном состоянии;
– внутренний контроль (при содействии необходимых ответственных лиц) за соблюдением Компанией и его работниками требований к защите персональных данных, предъявляемых требованиями законодательства РФ и внутренних локальных актов Компании;
– участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности ПДн;
– внесение предложений по совершенствованию принимаемых организационно-технических мер обеспечения безопасности ПДн.
5.4.5. Администраторы безопасности ИСПДн отвечают за реализацию (выполнение) задач, связанных с обеспечение безопасности ПДн, обрабатываемых в ИСПДн, в соответствии с указаниями непосредственного руководства и требованиями Инструкции администраторам безопасности информационных систем персональных данных ООО «________».
5.4.6. Администраторы безопасности ИСПДн назначаются из состава работников Компании приказом Генерального директора.
5.4.7. Допустимо совмещение одним работником Компании ролей администратора безопасности ИСПДн и лица, ответственного за организацию защиты ПДн, обрабатываемых в ИСПДн.
5.4.8. Работники Компании, допущенные к обработке ПДн в ИСПДн, отвечают за реализацию (выполнение) задач, связанных с обеспечение безопасности ПДн, обрабатываемых в ИСПДн, в соответствии с Инструкцией работнику по обеспечению безопасности при обработке персональных данных, в частности.
5.4.9. Обеспечение конфиденциальности ПДн, обрабатываемых в Компании, является обязательным требованием для всех работников Компании, которым ПДн стали известны, как в связи со служебной деятельностью (должностными обязанностями), так и по случайности или ошибке.
5.4.10. В Компании должен быть организован процесс обучения по направлению обеспечения безопасности ПДн. Обучение по данному направлению рекомендовано лицам, имеющим постоянный доступ к ПДн, и лицам, эксплуатирующим ИСПДн. В обязательном порядке обучение должны проходить лица, ответственные за эксплуатацию средств защиты информации ИСПДн.
5.4.11. В случае нарушения установленного порядка обработки ПДн работники Компании несут ответственность в соответствии с настоящим Положением.
5.5 Предоставление работникам доступа к ПДн
5.5.1. Работники Компании, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн с установленными правами доступа на срок выполнения ими соответствующих должностных обязанностей на основании Перечня работников ООО «________», допущенных к обработке персональных данных, который утверждается Генеральным директором Компании.
5.5.2. Временный или разовый допуск к обработке ПДн в связи со служебной необходимостью может быть получен работником Компании по согласованию с Руководителем службы внутреннего контроля.
5.5.3. Доступ работника к ПДн может быть прекращен или ограничен в случае нарушения требований настоящего Положения, в случае перевода сотрудника, а также нахождения в длительном (более 60 суток) отпуске / лечении.
5.5.4. В случае расторжения трудового договора с Компанией доступ работника к ПДн прекращается.
5.6 Обработка ПДн посетителей сайта
5.6.1. Обработка сведений о посетителях сайта Компании осуществляется с использованием сервиса «_____________» строго в соответствии с размещенными на сайте правилами пользования.
5.6.2. При входе посетителя на сайт Компании о нем в автоматическом режиме собираются следующие технические сведения:
– IP-адрес устройства посетителя;
– дата и время посещения;
– тип браузера и операционной системы;
– модель и тип устройства.
5.6.3. Все собираемые сведения о пользователях сайта обрабатываются исключительно с целью анализа посещаемости сайта Компании. При этом сопоставление получаемых данных с конкретным лицом не осуществляется.
5.6.4. Компания обеспечивает конфиденциальность сведений о посетителях сайта и не осуществляет их передачу третьим лицам за исключением случаев, предусмотренных законодательством РФ.
6 Порядок взаимодействия с государственными органами
6.1. В установленных федеральным законодательством случаях Компания обязана предоставлять информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти по вопросам их компетенции.
6.2. По запросу уполномоченного органа по защите прав субъектов ПДн Руководитель службы внутреннего контроля оценивает обоснованность запроса и согласовывает ответ с учетом сроков, установленных уполномоченным органом.
6.3. При получении правомерного требования об исправлении выявленных нарушений, нарушение устраняется Руководителем службы внутреннего контроля при необходимости с привлечением иных работников Компании (например, если нарушения связаны с удалением, уточнением ПДн, а также с техническими вопросами обеспечения безопасности ПДн).
6.4. Запросы на предоставление доступа к обрабатываемым ПДн могут быть обжалованы в судебном порядке в соответствии с законодательством Российской Федерации.
7 Организация внутреннего контроля обработки и обеспечения безопасности ПДн
7.1. Организация внутреннего контроля соответствия обработки персональных данных
– требованиям Федерального закона РФ от 27 июля 2006 года №152‑ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам,
– требованиям к защите персональных данных,
– Политике в отношении обработки персональных данных ООО «________»,
– локальным актам ООО «________»
осуществляется в целях оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.
7.2. Мероприятия по осуществлению внутреннего контроля соответствия обработки и обеспечения безопасности ПДн направлены на решение следующих задач:
– Обеспечение соблюдения работниками Компании требований настоящего Положения и нормативно-правовых актов, регулирующих сферу персональных данных;
– Оценка компетентности персонала, задействованного в обработке ПДн;
– Обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн;
– Выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений;
– Принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств ИСПДн;
– Разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;
– Осуществление контроля за исполнением рекомендаций и указаний по устранению нарушений.
7.3. Результаты контрольных мероприятий являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по модернизации технических средств ИСПДн и средств защиты ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн.
7.4. Мероприятия по организации внутреннего контроля обработки и обеспечения безопасности ПДн возлагаются на уполномоченных Директора департамента информационных технологий, Руководителя службы внутреннего контроля, Начальника юридического отдела, администраторов безопасности ИСПДн в частях их касающихся.
8 Порядок проведения разбирательств в отношении инцидентов, связанных обработкой ПДн
8.1. Основания для проведения разбирательств:
– запрос / претензия / обращение субъекта персональных данных;
– запрос / предписание со стороны государственного / регулирующего органа;
– сообщение от сотрудника Компании или ее партнера/контрагента о фактическом или потенциальном нарушении в отношении порядка обработки или конфиденциальности персональных данных;
– распоряжение Генерального директора;
– иные основания в соответствии с требованиями законодательства.
8.2. Предмет разбирательств:
– инциденты, связанные с несанкционированным распространением ПДн и несоблюдением правил настоящего Положения;
– факты несоблюдения условий хранения носителей персональных данных, а также использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
8.3. Лица, осуществляющие проведение разбирательства (в пределах функциональных обязанностей и зоны ответственности):
– Лицо, ответственное за организацию обработки ПДн (руководитель службы внутреннего контроля);
– Начальник юридического отдела;
– Директор департамента информационных технологий;
– Администраторы безопасности ИСПДн;
– Генеральный директор (при необходимости);
8.4. Результаты расследования
По окончании разбирательства ответственные лица, имеющие отношение к осуществлению разбирательств:
– информируют Генерального директора о результатах;
– предоставляют свои рекомендации относительно дальнейших действий и мер для ликвидации нарушений, а также для уменьшения / предотвращения риска возникновения подобных ситуаций в будущем;
– осуществляют иные необходимые действия в соответствии с требованиями законодательства и/или внутренних нормативных документов Компании.
9 Ответственность
9.1. Компания несет ответственность за обеспечение конфиденциальности ПДн, а также соблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
9.2. Работники Компании несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.
9.3. Работник Компании может быть привлечен к ответственности в случае нарушения норм, регулирующих получение, обработку и защиту персональных данных, включая:
– умышленное или неосторожное раскрытие ПДн;
– утрату материальных носителей ПДн;
– нарушение требований настоящего Положения и других внутренних локальных актов Компании, регламентирующих вопросы доступа и работы с ПДн и их обработки.
9.4. Работники Компании должны быть ознакомлены с локальными нормативными актами Компании, регламентирующими порядок обработки и защиту персональных данных, при приеме на работу, а также по мере необходимости при внесении изменений в действующие положения. Работники Компании обязаны обеспечить самостоятельное ознакомление с локальными нормативными актами, размещенными на внутреннем сетевом ресурсе Компании, а также изменениями в указанные акты.
9.5. За нарушения законодательства Российской Федерации в области персональных данных, настоящего Положения и иных внутренних локальных актов Компании, касающихся обработки персональных данных субъектов, Компания (работодатель) имеет право применять дисциплинарные взыскания в соответствии с трудовым законодательством РФ.
9.6. Дисциплинарные взыскания могут применяться к работнику в зависимости от тяжести последствий нарушения (-ий) для Компании и (или) субъекта персональных данных, чьи права были нарушены по вине работника.
9.7. Также в случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Компании, ее работникам, клиентам и контрагентам материального или иного ущерба, вреда, убытка виновные лица несут гражданскую, уголовную, административную, - и иную, предусмотренную законодательством Российской Федерации, ответственность.
Приложение 1 Шаблоны запросов субъекта ПДн
|
|
|
|
|
(дата) |
|
(подпись) (расшифровка подписи) |
1.1 Запрос на предоставление сведений об операторе
|
|
Оператору персональных данных: |
|||||
|
|
Адрес: |
|||||
|
|
||||||
|
От |
|
|||||
|
(фамилия, имя, отчество) |
||||||
|
паспорт |
|
выданный |
|
|||
|
|
(серия и номер) |
|
(дата выдачи) |
|||
|
|
||||||
|
(орган, выдавший паспорт) |
||||||
|
Адрес: |
|
|||||
|
|
(адрес места жительства с указанием индекса) |
|||||
Запрос на предоставление сведений об операторе персональных данных, а также информации, касающейся обработки персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу подтвердить факт обработки моих персональных данных и предоставить следующие сведения:
- правовые основания и цели обработки персональных данных;
- способы обработки моих персональных данных;
- сведения о лицах, которые имеют доступ к моим персональным данным или которым может быть предоставлен такой доступ;
- перечень относящихся ко мне персональных данных и источник их получения;
- сроки обработки моих персональных данных, в том числе сроки их хранения;
- порядок осуществления своих прав, предусмотренных федеральным законом;
- информацию об осуществляемой или о предполагаемой трансграничной передаче моих данных;
- наименование (или фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению ООО «________», если обработка поручена или будет поручена такому лицу.
Указанные сведения прошу направить:
по адресу:__________(индекс)_________________________________
по адресу электронной почты:___________________________________
1.2 Отзыв согласия
|
|
Оператору персональных данных:
|
|||||
|
|
Адрес:
|
|||||
|
|
||||||
|
От |
|
|||||
|
(фамилия, имя, отчество) |
||||||
|
паспорт |
|
выданный |
|
|||
|
|
(серия и номер) |
|
(дата выдачи) |
|||
|
|
||||||
|
(орган, выдавший паспорт) |
||||||
|
Адрес: |
|
|||||
|
|
(адрес места жительства с указанием индекса) |
|||||
ЗАЯВЛЕНИЕ
об отзыве согласия на обработку
персональных данных
|
Прошу прекратить обработку моих персональных данных, осуществляемую ООО «________» |
||
|
в целях: |
|
|
|
|
(цели обработки персональных данных, в отношении которых отзывается согласие) |
|
|
по причине: |
|
|
|
|
(НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия) |
|
|
|
|
|
|
(дата) |
|
(подпись) (расшифровка подписи) |
1.3 Требование о блокировании ПДн
|
|
Оператору персональных данных:
|
|||||
|
|
Адрес:
|
|||||
|
|
||||||
|
От |
|
|||||
|
(фамилия, имя, отчество) |
||||||
|
паспорт |
|
выданный |
|
|||
|
|
(серия и номер) |
|
(дата выдачи) |
|||
|
|
||||||
|
(орган, выдавший паспорт) |
||||||
|
Адрес: |
|
|||||
|
|
(адрес места жительства с указанием индекса) |
|||||
Требование о блокировании персональных данных
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу осуществить блокирование моих персональных данных в связи с тем, что:
|
|
|
(указать причину: персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие; иная причина – указать) |
1.4 Требование об уничтожении ПДн
|
|
Оператору персональных данных:
|
|||||
|
|
Адрес:
|
|||||
|
|
||||||
|
От |
|
|||||
|
(фамилия, имя, отчество) |
||||||
|
паспорт |
|
выданный |
|
|||
|
|
(серия и номер) |
|
(дата выдачи) |
|||
|
|
||||||
|
(орган, выдавший паспорт) |
||||||
|
Адрес: |
|
|||||
|
|
(адрес места жительства с указанием индекса) |
|||||
Требование об уничтожении персональных данных
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу уничтожить мои персональные данные в связи с тем, что:
|
|
|
|
|
(дата) |
|
(подпись) (расшифровка) |
(указать причину: персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие; иная причина – указать)
1.5 Требование об уточнении персональных данных
|
|
Оператору персональных данных:
|
|||||
|
|
Адрес:
|
|||||
|
|
||||||
|
От |
|
|||||
|
(фамилия, имя, отчество) |
||||||
|
паспорт |
|
выданный |
|
|||
|
|
(серия и номер) |
|
(дата выдачи) |
|||
|
|
||||||
|
(орган, выдавший паспорт) |
||||||
|
Адрес: |
|
|||||
|
|
(адрес места жительства) |
|||||
Требование об уточнении персональных данных
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и на основании:
|
|
|
(документ(ы), на основании которого(ых) оператор обязан уточнить персональные данные) |
Прошу произвести уточнение моих персональных данных согласно представленным документам.
|
|
|
|
|
(дата) |
|
(подпись) (расшифровка) |
Приложение 2 Шаблоны ответов субъекту ПДн
2.1 Уведомление субъекта об обработке ПДн
|
|
Субъекту персональных данных: (ФИО) |
||||||
|
|
Адрес: |
||||||
|
УВЕДОМЛЕНИЕ об обработке персональных данных |
|||||||
|
Оператор персональных данных ООО «________» находящийся по адресу: |
|||||||
|
руководствуясь: |
|
||||||
|
|
(правовое основание обработки персональных данных) |
||||||
|
с целью: |
|
||||||
|
|
(цель обработки персональных данных) |
||||||
|
осуществляет обработку Ваших персональных данных, включая: |
|||||||
|
|
|||||||
|
|
|||||||
|
(перечисление персональных данных, находящихся в обработке: ФИО, адрес, телефон…) |
|||||||
|
полученные: |
|
||||||
|
|
(источник получения персональных данных) |
||||||
|
Обработка вышеуказанных персональных данных осуществляется путем: |
|||||||
|
|
|||||||
|
(перечень действий с персональными данными, |
|||||||
|
|
|||||||
|
общее описание используемых оператором способов обработки персональных данных) |
|||||||
|
К персональным данным имеют или могут получить доступ следующие лица: |
|||||||
|
|
|||||||
|
|
|||||||
|
(перечень конкретных лиц или должностей, за исключением работников) |
|||||||
|
Обработка указанных персональных данных будет являться основанием для: |
|||||||
|
|
|||||||
|
(решения, принимаемые на основании обработки; возможные юридические последствия обработки) |
|||||||
|
Дата начала обработки персональных данных: |
|
||||||
|
Срок или условие прекращения обработки персональных данных: |
|||||||
|
|
|||||||
|
|
|
|
|||||
|
(должность) |
(подпись) |
(Ф.И.О.) |
|||||
|
«__» _____________ 20___ г. |
|||||||
2.2 Отказ в предоставлении сведений
|
|
Субъекту персональных данных: (ФИО) |
||||
|
|
Адрес: |
||||
|
ОТКАЗ в предоставлении сведений |
|||||
|
Оператор персональных данных: ООО «________» Адрес: |
|||||
|
Вам отказано в предоставлении сведений по запросу от |
|
||||
|
|
(дата запроса) |
||||
|
на основании |
|
||||
|
|
(ссылка на нормы ФЗ «О персональных данных» или иных федеральных законов)
Либо Ваше право на доступ к своим персональным данным ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» |
||||
|
|
|
|
|||
|
(должность) |
(подпись) |
(Ф.И.О.) |
|||
|
«__» _____________ 20__ г. |
|||||
2.3 Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн
|
|
Субъекту персональных данных: (ФИО) |
||||
|
|
Адрес: |
||||
|
РАЗЪЯСНЕНИЕ порядка принятия решений на основании исключительно автоматизированной обработки персональных данных |
|||||
|
Оператор персональных данных ООО «________» находящийся по адресу: |
|||||
|
руководствуясь: |
|
||||
|
|
(правовое основание обработки персональных данных) |
||||
|
с целью: |
|
||||
|
|
(цель обработки персональных данных) |
||||
|
осуществляет обработку Ваших персональных данных, включая: |
|||||
|
|
|||||
|
|
|||||
|
(перечисление персональных данных, находящихся в обработке: ФИО, адрес, телефон…) |
|||||
|
Указанные персональные данные обрабатываются в информационных системах оператора в исключительно автоматизированном режиме. В ходе такой обработки с персональными данными могут совершаться следующие действия: |
|||||
|
|
|||||
|
|
|||||
|
(действия с персональными данными, которые совершаются в ходе автоматизированной обработки) |
|||||
|
При выполнении указанных действий, Оператор не принимает решений, порождающих юридические последствия для субъекта персональных данных, основываясь исключительно на автоматизированной обработке персональных данных.. |
|||||
|
|
|||||
|
|
|
|
|||
|
(должность) |
(подпись) |
(Ф.И.О.) |
|||
|
«__» _____________ 20__ г. |
|||||
2.4
2.4 Уведомление субъекта об устранении допущенных нарушений или об уничтожении ПДн
|
|
Субъекту персональных данных: (ФИО) |
||
|
|
Адрес: |
||
|
УВЕДОМЛЕНИЕ об устранении допущенных нарушений или об уничтоженииперсональных данных |
|||
|
Оператор персональных данных ООО «________» находящийся по адресу: |
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
Уважаемый(ая)____________________!
В связи с _________________________ (указать причины, например, выявлением неправомерной обработки) сообщаем Вам, что ООО «________» в целях __________________________________________________ (например, обработка персональных данных прекращена) и указанная информация _____________ (например, если обработка прекращена, то уничтожена).
«___»_______________ г. ___________________/_____________________ Подпись фамилия, имя, отчество уполномоченного лица ООО «________» Настоящее уведомление на руки получил(а)
«___»_______________ г. ___________________/_____________________ Подпись фамилия, имя, отчество субъекта персональных данных паспортные данные серия ___ № __________, выдан ___.___.______ г. ____________________________________________ (указать орган, выдавший паспорт |
|||
Приложение 3 Соглашение о конфиденциальности
Соглашение о конфиденциальности
г. Москва «___» _______ 20__ г.
Общество с ограниченной ответственностью «___________», именуемое в дальнейшем «Общество», в лице _______________________, действующего на основании _______________________, и____________________________________, именуемое в дальнейшем «Работник», совместно именуемые в дальнейшем «Стороны», заключили настоящее Соглашение о конфиденциальности (далее по тексту – «Соглашение»).
1. ЦЕЛЬ СОГЛАШЕНИЯ
1.1. Настоящее Соглашение заключено между Сторонами для защиты Конфиденциальной информации Общества, которая становится известна Работнику в связи с выполнением им своих должностных обязанностей.
2. ПРЕДМЕТ СОГЛАШЕНИЯ
2.1. Предметом настоящего Договора являются обязательства Работника, заключившего трудовой договор с Обществом, по неразглашению Конфиденциальной информации.
3. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
3.1. В настоящем Соглашении под Конфиденциальной информацией понимается информация, составляющая коммерческую тайну; информация для внутреннего пользования, конфиденциальная и строго конфиденциальная информация согласно локальным актам Общества; конфиденциальная информация контрагентов и клиентов; персональные данные, ставшие известными Работнику в связи с выполнением им своих должностных обязанностей, за исключением информации, полученной им из общедоступных источников, а также другая информация, которая не опубликована Обществом в открытых источниках и/или не передана Работодателем третьим лицам без применения режима конфиденциальности.
3.2. В настоящем Соглашении под «персональными данными» понимается информация, представленная Работнику в письменном, электронном или любом другом виде и относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
3.3. В настоящем соглашении к информации, составляющей коммерческую тайну Общества, относятся сведения любого характера, в том числе сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых Обществом введен режим коммерческой тайны.
3.4. В настоящем соглашении под конфиденциальной информацией контрагентов Общества понимается любая конфиденциальная информация о контрагентах и их деятельности, переданная Обществу на основании договоров, содержащих положения о конфиденциальности / заключенных соглашений (договоров) о конфиденциальности и ставшая известной Работнику в связи с выполнением им своих должностных обязанностей, за исключением информации, полученной им из общедоступных источников.
3.5. К конфиденциальной информации в том числе также относится информация, связанная с деятельностью Общества или любыми из аффилированных лиц Общества, если указанная информация была создана или получена Работником в ходе исполнения последним своих должностных обязанностей, включая без ограничения.
Такая информация включает в себя: финансовую информацию, информацию и данные о клиентах, технологиях, методиках, процедурах, формулах, проектах, программах развития, планах, исследовательских данных, типовых и стандартных формах документов, программных данных, финансовых данных, инвесторах, текущих механизмах финансирования, данных о персонале, сметах, данных о затратах, компьютерных программах, стратегии маркетинга.
3.6. Общество информирует Работника обо всех изменениях и дополнениях, вносимых в внутренние нормативные документы по защите информации, составляющей коммерческую тайну, и иной конфиденциальной информации.
4. ПОРЯДОК ИСПОЛЬЗОВАНИЯ КОНФИДЕЦИАЛЬНОЙ ИНФОРМАЦИИ
4.1. Работник не имеет право в соответствии с условиями настоящего Соглашения разглашать третьим лицам полученную от Общества Конфиденциальную информацию без предварительного согласия Общества (уполномоченного представителя Общества).
4.2. Работник не имеет право использовать Конфиденциальную информацию при занятии другой деятельностью, в том числе при работе в иных организациях, а также в научной и педагогической деятельности.
4.3. Работник имеет право использовать Конфиденциальную информацию только для целей и в связи с исполнением своих должностных обязанностей.
4.4. Работник обязуется соблюдать установленные требования по обеспечению конфиденциальности персональных данных и безопасности персональных данных при их обработке в соответствии с требованиями действующего законодательства.
4.5. Работник должен предпринимать все необходимые меры для сохранности, а также надлежащего использования Конфиденциальной информации.
4.6. По запросу Общества Работник обязан:
- незамедлительно прекратить использование полученной Конфиденциальной информации и/или передать ее указанному лицу;
- подтвердить в письменной форме, что Работник выполнил обязательства, изложенные в пункте 4.2., 4.3. настоящего Соглашения.
4.7. Работник обязуется незамедлительно сообщить Обществу о допущенном Работником нарушении в отношении Конфиденциальной информации, либо ставшем известным Работнику факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании переданной Конфиденциальной информацией.
4.8. Работник обязуется устранить выявленные нарушения в отношении Конфиденциальной информации, если от Общества не было получено иного указания.
4.9. Настоящим Работник подтверждает:
- свою осведомленность о том, что вся информация, содержащаяся в электронных и иных базах данных Общества, корпоративных компьютерах, иных носителях информации, а также полученная либо переданная с использованием корпоративной электронной почты является собственностью Общества;
- свое согласие на проверку Обществом порядка обращения с информацией, принадлежащей Обществу, содержащейся в корпоративном компьютере Работника, либо полученной/переданной им с использованием корпоративной электронной почты в любое время без дополнительного информирования Работника.
5. ОТВЕТСТВЕННОСТЬ СТОРОН
5.1. Стороны несут ответственность в соответствии с законодательством Российской Федерации.
5.2. Ответственность Работника по настоящему Соглашению в отношении Конфиденциальной информации Общества возникает и распространяется с момента подписания Сторонами настоящего Соглашения.
6. СРОК ДЕЙСТВИЯ И ПОРЯДОК РАСТОРЖЕНИЯ СОГЛАШЕНИЯ
6.1. Настоящее соглашение вступает в силу с момента его подписания Сторонами и действует бессрочно до момента прекращения/ расторжения трудового договора по любой причине, предусмотренной Трудовым кодексом РФ, а также в течение 5 лет после его окончания/ прекращения/ расторжения. Условия настоящего договора применяются к отношениям Сторон возникших с ______________ года.
6.2. Обязательства Работника по настоящему Соглашению в отношении Конфиденциальной информации возникают и распространяются с момента подписания Сторонами настоящего Соглашения и сохраняют силу в течение неограниченного срока.
6.3. Настоящее Соглашение может быть изменено или расторгнуто по обоюдному соглашению Сторон, в судебном порядке или в иных случаях, предусмотренных действующим законодательством Российской Федерации;
7. ПРИМЕНИМОЕ ПРАВО И ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ
7.1. Положения настоящего Соглашения, а также все отношения Сторон в связи с Соглашением
регулируются и истолковываются в соответствии с действующим законодательством Российской
Федерации.
7.2. Все споры и разногласия решаются первоначально путем переговоров между Сторонами. В случае невозможности разрешения споров и разногласий путем переговоров, такие споры и разногласия подлежат разрешению в порядке, предусмотренным действующим законодательством Российской Федерации.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Все изменения и дополнения к настоящему Соглашению оформляются в письменном виде и подписываются уполномоченными представителями Сторон.
8.2. Настоящее Соглашение подписано в двух экземплярах, имеющих равную юридическую силу, по одному для каждой из Сторон.
9. АДРЕСА И ПОДПИСИ СТОРОН
|
м.п. м.п.
