Публикатор

null Положение об обработке персональных данных

ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ИХ ОБРАБОТКЕ В ООО «КН»

1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ ПОЛОЖЕНИЯ

1.1. Настоящее Положение является дополнением к Политике защиты персональных данных Компании Kuehne+Nagel, расположенной по ссылке: https://home.kuehne-nagel.com/documents/861667/861674/KN_Web_Privacy_Policy_general_24_May_2018_final_RUS.pdf/d0dbec6d-b4b8-bc7f-fc4b-5c77c7149acc?t=1606130772657.
(«Политика Kuehne+Nagel»).

Условия настоящего Положения направлены на конкретизацию положений общей Политики Kuehne+Nagel для целей соблюдения положений и особенностей законодательства Российской Федерации о персональных данных, в частности, обеспечения соответствия Федеральному закону от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных".

Совместно они составляют единую Политику о персональных данных («Политика»). 

1.2. Настоящее Положение является локальным нормативным актом Общества с ограниченной ответственностью «Кюне+Нагель» (ИНН: 7710431565, ОГРН: 1027739488556, адрес места нахождения: 123001, г. Москва, Трехпрудный пер. д.9, стр.1, офис 006) как участника группы компаний Kuehne+Nagel.

2. ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Внутригрупповое Соглашение о передаче данных Кюне+Нагель (IGDTA) – соглашение между компаниями Группы в целях легализации трансграничной передачи персональных данных субъектов в процессе осуществления бизнес-деятельности ООО «КН».

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения ООО «КН» (его работниками) и/ или иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Материальный носитель персональных данных – материальный объект, содержащий персональные данные в электронном или графическом виде, используемый для закрепления и хранения на нем персональных данных (в том числе, бумажный носитель, машиночитаемый носитель).

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение (предоставление), уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общество – ООО КН зарегистрированное по адресу: г. Москва, Трёхпрудный пер, д. 9 стр. 1, пом. 006, являющееся оператором, организующим и осуществляющим обработку персональных данных, устанавливающим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, правила и требования по их защите.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Раскрытие персональных данных – умышленное и/или случайное нарушение конфиденциальности персональных данных лицами (в том числе работниками Общества и иными лицами, действующими по поручению), получившими доступ и/или обрабатывающими персональные данные субъектов.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъекты персональных данных – физические лица, чьи персональные данные подлежат обработке.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Настоящее Положение по организации обработки персональных данных и обеспечению безопасности при их обработке ООО «КН» (далее по тексту – Положение) принято в ООО «КН» (далее – Общество) в целях регламентации основных вопросов обработки персональных данных субъектов персональных данных, обеспечения конфиденциальности и защиты персональных данных от несанкционированного доступа, неправомерного использования, разглашения или утраты, привлечения к ответственности за нарушение требований обработки и защиты персональных данных в Обществе. Положение применяется согласно пункту 2) части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) (далее – Закона «О персональных данных»).

3.2. Положение определяет понятие и состав обрабатываемых Обществом персональных данных субъектов персональных данных, условия и принципы обработки, цели и порядок организации их обработки, регламентирует доступ к персональным данным и порядок ознакомления субъекта с ними, определяет меры защиты персональных данных, права и обязанности Общества, его работников и иных лиц, действующих по поручению (частичному поручению) или получивших доступ к персональным данным, при обработке персональных данных, ответственность Общества и иных лиц, действующих по поручению, за нарушение законодательства Российской Федерации и нормативных правовых актов в области персональных данных и их защиты, а также локальных актов Общества.

3.3. Положение разработано на основе и во исполнение Конституции Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями), Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных Федеральных Законов и подзаконных актов, с учетом методических документов регулирующих органов в области обработки и защиты персональных данных.

3.4. Положение и изменения к нему утверждаются и вводятся в действие приказами Общества.

3.5. Работники Общества должны ознакомиться с данным Положением под собственноручную подпись.

4. ПОНЯТИЕ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ И СПОСОБЫ ИХ ОБРАБОТКИ

4.1. Общество осуществляет обработку следующих типов персональных данных названных категорий субъектов ПДн:

  • Действующие и уволенные работники Общества (ФИО, включая информацию об их изменении, гражданство, дата и место рождения, паспортные данные, включая серию и номер паспорта, сведения о дате его выдачи и выдавшем его органе, дата истечения срока действия паспорта, место жительства и место фактического проживания, дата регистрации, сведения о постановке на воинский учет, в случае наличия, а также: номер ИНН, СНИЛС, номер заграничного паспорта, дата принятия на работу, сведения, связанные с оплатой труда и предоставлением компенсаций (оклад, пособия, премии, налоговые льготы, график работы, сведения об отпускных днях, больничных листах, сверхурочных и т.д., номер банковского счета, банковские реквизиты, страховые стажи, номер контактного телефона (домашнего и мобильного), адрес электронной почты, сведения о знании иностранных языков, сведения об образовании, сведения о налоговом вычете, включая имущественные, должность в иных организациях, данные о семейном положении, данные о наличии детей, отдел и должность в Обществе, фотография)
  • Представители компаний-подрядчиков (ФИО, включая информацию об их изменении, гражданство, дата и место рождения, паспортные данные (включая номер паспорта, сведения о дате его выдачи и выдавшем его органе, дата истечения срока действия паспорта), место жительства и место фактического проживания, дата регистрации, адрес электронной почты, контактный номер телефона, место работы, должность, дата начала и окончания работы).
  • Водители поставщиков услуг (компаний-перевозчиков, экспедиторов) (ФИО, дата рождения, паспортные данные, место работы, должность, контактный номер телефона, сведения о водительском удостоверении, сведения о прохождении предрейсовых медосмотров).
  • Текущие и бывшие сотрудники компаний партнеров/клиентов (ФИО, паспортные данные, включая номер паспорта, сведения о дате его выдачи и выдавшем его органе, дата истечения срока действия паспорта, адрес электронной почты, телефон, место работы, должность).
  • Индивидуальные предприниматели (ФИО, контактный номер телефона, адрес доставки, ИНН).
  • Посетители офисов Общества (ФИО, дата и время посещения, контактное лицо в Обществе, место работы).
  • Физические лица, работающие по договорам ГПХ (ФИО, сумма к выплате, лицевой счет в банке, дата рождения, паспортные данные).
  • Кандидаты на трудоустройство (сведения из резюме, ФИО, паспортные данные (включая номер паспорта, сведения о дате его выдачи и выдавшем его органе, дата истечения срока действия паспорта) сведения об образовании, сведения о семейном положении, сведения о наличии детей (не включающие ПДн), номер телефона, адрес электронной почты, сведения о предыдущих местах работы, рекомендации).
  • Родственники кандидатов на трудоустройство (степень родства, ФИО, число, месяц, год и место рождения, род занятий (компания и должность), сведения о регистрации в качестве индивидуального предпринимателя и видах соответствующей деятельности, сведения о статусе учредителя или соучредителя какой-либо компании и сведения о видах деятельности соответствующей компании).
  • Знакомые/друзья, работающие в КН, соискателей вакансий (ФИО, подразделение Общества, в котором работает субъект).
  • Родственники действующих и уволенных работников (ФИО, степень родства с работником Общества, паспортные данные (включая номер паспорта, сведения о дате его выдачи и выдавшем его органе, дату истечения срока действия паспорта), место жительства и место фактического проживания, дата регистрации, адрес электронной почты, контактный номер телефона, место работы, должность).
  • Посетители Интернет-сайта (IP-адрес технического средства, с использованием которого осуществляется доступ к сайту, дата и время посещения сайта, тип используемого браузера, тип операционной системы, тип и модель мобильного устройства, файлы куки (cookies).

5. НОСИТЕЛИ ПЕРСОНАЛЬНЫХ ДАННЫХ И МЕСТА ИХ ХРАНЕНИЯ

5.1. Для оформления и ведения личного дела работника: Трудовой договор и дополнительные соглашения к нему, анкета, личная карточка Т-2, анкета, справка 2-НДФЛ с предыдущего места работы, копия паспорта (при получении согласия работника), копия загранпаспорта, копия документа об образовании, повышении квалификации, копия ИНН, копия СНИЛС, копия военного билета, копия свидетельства о браке, копия свидетельства о рождении ребенка, копия свидетельства о смерти, трудовая книжка.

5.2. Носители, указанные в п. 5.1. хранятся в департаменте по управлению персоналом Общества.

5.3. Для оформления отчетности по персоналу, предусмотренной законодательством РФ: Отчетность в Пенсионный фонд Российской Федерации Отчетность в ИФНС России.

5.4. Носители, указанные в п. 5.3. хранятся в финансовом департаменте Общества.

5.5. Для оформления полномочий работников на осуществление деятельности от имени Общества: доверенности. Хранятся в юридическом департаменте Общества.

5.6. Для осуществления бизнес деятельности Общества: Договоры. Хранятся в административном отделе Общества.

5.7. Средства вычислительной техники (рабочие станции сотрудников, серверы, сетевое оборудование, МФУ).

6. ЦЕЛИ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Заключение и исполнение трудового договора, а также исполнение связанных с ним обязательств, предусмотренных законодательством РФ (Налоговым кодексом, пенсионным законодательством и т. д.)
  • Внесение информации во внутренние справочники Общества
  • Передача в банк с целью оформления безналичного счета, на который будет перечисляться заработная плата
  • Передача в страховую компанию с целью оформления полиса добровольного медицинского страхования
  • Передача в медицинские учреждения с целью проведения первичных и периодических медицинских осмотров и оформления личных медицинских книжек
  • Передача арендодателю с целью оформления пропуска на территорию
  • Передача Кредитным организациям, в которые Работник обращался для оформления и выдачи кредитов, получения иных услуг, при условии, что Работник заранее сообщил Работодателю наименования указанных кредитных организаций
  • Передача Третьему лицу для оформления визы, приглашения на въезд в иностранные государства, приобретение авиа и железнодорожных билетов, заказа гостиниц
  • Передача Третьему лицу с целью расчета заработной платы, пособий, вознаграждений, подготовки и сдачи отчетности и иных документов, предусмотренных законодательством РФ
  • Внутреннее информационное обеспечение взаимодействия сотрудников
  • Передача Третьим лицам с целью организации обучения, курсов, семинаров и тд.

6.1. Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), в том числе трансграничная, обезличивание, блокирование, удаление и уничтожение персональных данных, действия (операции), совершаемые с использованием средств автоматизации и без использования средств (неавтоматизированная обработка).

6.2. Срок обработки, в том числе хранения, персональных данных соответствуют срокам достижения целей обработки, если иного не предусмотрено согласиями субъектов ПДн, или законодательством РФ.

6.3. Общество не осуществляет обработку специальных категорий персональных данных, относящихся к расовой принадлежности, национальности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, установленных в ч. 2 ст. 10 Закона «О персональных данных», в частности:

  • если субъект персональных данных дал письменное согласие на обработку своих персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством; 
  • законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению и о трудовых пенсиях;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

6.4. Общество не осуществляет обработку биометрических персональных данных с учетом обрабатываемых фотографий. Фотографии, обрабатываемые и хранимые Обществом, не могут использоваться для идентификации субъекта ПДн.

6.5. Общество осуществляет обработку иных категорий персональных данных. Перечень обрабатываемых Обществом персональных данных указан в пункте 4.1. данного Положения.

6.6. Общество осуществляет обработку контактных персональных данных представителей потенциальных клиентов в целях продвижения услуг на рынке, в соответствии с применимым законодательством о персональных данных.

6.7. Общество осуществляет трансграничную передачу персональных данных на территории иностранных государств (в том числе Германии и США) в соответствии с целями, указанными в пункте 6 данного Положения, в соответствии с применимым законодательством а также Внутригрупповым Соглашением об обработке Персональных Данных Группы Компаний Кюне+Нагель.

6.8. Общество осуществляет сбор персональных данных в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Общество с соблюдением следующих условий:

  • с письменного согласия субъектов
  • копирование содержащейся в таких бланках-согласиях информации не допускается;
  • персональные данные каждого субъекта персональных данных могут заноситься в бланк не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Общество;
  • перечень лиц (поименно или по должностям), ответственных за ведение и сохранность таких бланков, определяются Ответственным за организацию безопасности персональных данных;
  • срок обработки данных составляет 30 дней;
  • по истечении указанного срока заполненные бланки уничтожаются в соответствии с настоящим Положением;

6.9. Осуществление трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться Обществом в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • предусмотренных международными договорами Российской Федерации;
  • предусмотренных Федеральными Законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

6.10. Распространение персональных данных запрещается. Режим конфиденциальности персональных данных должен соблюдаться всеми работниками и третьими лицами, которые получили санкционированный доступ и осуществляют обработку персональных данных, указанных в п. 2.3 настоящего Положения.

6.11. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

7. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных субъектов персональных данных осуществляется Обществом на основе следующих принципов:

  • законности и справедливости;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки и актуальности по отношению к целям обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленной цели их обработки;
  • принятием необходимых мер (либо обеспечением их принятия) по удалению или уничтожению неполных или неточных персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей обработки баз данных, содержащих персональные данные;
  • уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
  • личной ответственности работников Общества за сохранность и конфиденциальность персональных данных, а также их носителей;
  • наличия четкой разрешительной системы доступа работников Общества к документам и базам данных, содержащим персональные данные;
  • хранения персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является субъект персональных данных.

7.2. Соблюдение Обществом условий обработки персональных данных следующих категорий субъектов персональных данных:

7.2.1. Обработка персональных данных работников и других субъектов ПДн осуществляется при следующих условиях:

  • обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также заключения договора по инициативе субъекта персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • с согласия субъекта персональных данных на обработку его персональных данных

7.3.   Общество при необходимости может создавать в соответствии со статьей 8 Закона «О персональных данных» общедоступные источники персональных данных действующих работников как в бумажном виде, так и с использованием средств вычислительной техники. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

8. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ СБОРЕ И ДАЛЬНЕЙШЕЙ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

8.1. Общество при сборе и дальнейшей обработке персональных данных вправе:

  • Получать от субъекта персональных данных согласие на обработку его персональных данных. Устанавливать способы получения согласия субъектов персональных данных, не нарушающих их законные права и интересы, и в соответствии с Законом «О персональных данных»;
  • Устанавливать правила обработки персональных данных субъектов и вносить изменения и дополнения в настоящее Положение, самостоятельно разрабатывать и применять формы документов необходимых для исполнения настоящего Положения (согласий, уведомлений и запросов для обработки персональных данных, журналов, форм приказов, актов и прочие). Данные формы должны быть утверждены и приняты в установленном в Обществе порядке;
  • Поручать обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора;
  • Осуществлять иные права, предусмотренные законодательством, нормативными правовыми актами и локальными актами Общества;

8.2. Общество при сборе и дальнейшей обработке персональных данных обязано:

  • Осуществлять обработку персональных данных субъектов персональных данных исключительно в целях, утвержденных в разделе 6 настоящего Положения;
  • Получать персональные данные субъектов (осуществлять сбор) у него самого. Также по просьбе / запросу субъекта персональных данных предоставлять сведения, касающиеся обработки его персональных данных;
  • Вести учет обращений субъектов и уполномоченного органа по защите прав субъектов персональных данных и предоставлять субъекту доступ к его персональным данным при наличии надлежащим образом оформленного запроса или личного обращения субъекта / его законного представителя;
  • Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

8.3. Общество должно обеспечить:

  • предотвращение несанкционированного доступа к персональным данным и (или) передачи ее лицам, не имеющим права на доступ к ним;
  • обнаружение фактов несанкционированного доступа к персональным данным;
  • предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к персональным данным;
  • недопущение воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;
  • возможность восстановления информации, содержащей персональные данные, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.
  • контроль над установленным уровнем защищенности персональных данных при их обработке в информационной системе персональных данных Общества.
  • исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Общества.

9. ПОРЯДОК ДОСТУПА К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ, ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Перечень работников, допущенных к обработке персональных данных субъектов, устанавливается локальным нормативным актом Общества по утвержденной форме приказа.

9.2. В случае использования средств защиты информации от несанкционированного доступа и/или средств криптографической защиты информации, Ответственный за обеспечение безопасности персональных данных обязан организовать и контролировать учет электронных ключевых носителей и средств аутентификации.

9.3. Доступ к персональным данным субъектов может быть предоставлен органам власти в том случае, если это предусмотрено законодательством Российской Федерации (с учетом административных регламентов соответствующих органов) или международными договорами.

9.4. Общество может предоставить доступ - поручить обработку персональных данных субъектов третьим лицам только с согласия субъекта персональных данных. Третьи лица обязаны обеспечить конфиденциальность полученных ими персональных данных субъектов в соответствии с законом и / или договором, с учетом требований, указанных в ч. 3 ст. 6 и ст. 19  Закона «О персональных данных».

10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных Обществом на:

  • обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений о субъекте;
  • соблюдение конфиденциальности персональных данных;
  • реализацию права на доступ к персональным данным.

10.2. Для защиты персональных данных Общество обеспечивает безопасность и конфиденциальность персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в частности устанавливаются и соблюдаются следующие меры, в том числе обеспечительные меры согласно установленному уровню защищенности персональных данных:

  • назначение Обществом лица, ответственного за организацию обработки персональных данных субъектов персональных данных;
  • издание локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранения последствий таких нарушений;
  • избирательное и обоснованное распределение документов и информации (в том числе хранящейся в информационной системе персональных данных), содержащих персональные данные субъектов, между работниками, функциональные (должностные) обязанности которых требуют доступа к информации, содержащей персональные данные субъектов;
  • организация порядка уничтожения информации, содержащей персональные данные субъектов, если законодательством и (или) Обществом не установлены требования по хранению соответствующих данных;
  • учет машинных носителей персональных данных;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз и их нейтрализация;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты персональных данных для нейтрализации актуальных угроз безопасности персональных данных;
  • защита доступа к персональным данным, хранящимся в информационной системе персональных данных и локальных сетях, паролями доступа;
  • защита персональных компьютеров, на которых осуществляется обработка персональных данных, паролями доступа и средствами защиты информации согласно установленному уровню защищенности персональных данных;
  • проверка средств защиты информации в процессе их эксплуатации;
  • обучение сотрудников, использующих средства защиты информации применяемые в информационной системе персональных данных, правилам работы с ними;
  • проверка выполнения работниками Общества требований обработки персональных данных субъектов в информационной системе персональных данных, установленных в руководстве пользователя системы и руководстве администратора системы;
  • обеспечение и поддержание в помещениях Общества необходимых условий для работы с конфиденциальными документами и базами данных, содержащих персональные данные субъектов;
  • регулярный контроль за соблюдением требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
  • обнаружение фактов и расследование случаев несанкционированного доступа к персональным данным или разглашения персональных данных и привлечение виновных лиц к ответственности;
  • ознакомление сотрудников Общества, осуществляющих обработку персональных данных, с правилами и требованиями законодательства Российской Федерации, с локальными нормативными актами Общества, касающимися обработки персональных данных, и требованиями по обеспечению безопасности, а также, при необходимости, обучение указанных работников;
  • проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом «О персональных данных»;
  • осуществление контроля за принимаемыми (принятыми) мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных при их обработке в информационной системе персональных данных;
  • иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

10.3. В частности, реализация мер по обеспечению безопасности персональных данных осуществляется с помощью разработанной системы защиты персональных данных (далее – СЗПДн). СЗПДн нейтрализует актуальные угрозы безопасности персональных данных и обеспечивает защиту персональных данных в соответствии с уровнем их защищенности.

10.4. Для совершения таких действий, как передача персональных данных, поручение (частичное поручение) на сбор и передачу персональных данных субъектов, Общество, ответственное за обработку персональных данных, обязано соблюдать следующие требования:

  • не сообщать персональные данные субъектов третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством в области персональных данных;
  • не сообщать персональные данные субъекта персональных данных в коммерческих целях;
  • предупредить лиц, получающих персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъектов, осуществляющие обработку персональных по поручению (частичному поручению) Общества обязаны соблюдать конфиденциальность полученных ими персональных данных и обеспечить безопасность при их обработке.

10.5. При заключении Обществом договоров, предусматривающих передачу/получение ПДн в/из другие (-их) организации (-ий), в положениях соответствующих договоров учитываются следующие пункты:

  • действия (операции) с персональными данными;
  • цели обработки ПДн;
  • требования по безопасности (в том числе конфиденциальности ПДн) с учетом необходимых правовых, организационных и технических мер;
  • основания для передачи ПДн (например, наличие согласий субъектов ПДн, предусматривающих такую передачу).

11. ВРЕМЕННОЕ И ПОСТОЯННОЕ ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

11.1. Персональные данные на материальных носителях, находящихся в работе соответствующего подразделения (структурного подразделения) Общества, осуществляющего обработку персональных данных, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы или сейфы.

11.2. При работе с материальными носителями персональных данных сотрудники Общества обязаны руководствоваться Инструкцией пользователя информационной системы персональных данных.

Съемные машинные носители информации с персональными данными также должны храниться в запирающихся шкафах или сейфах.

11.3. В каждом структурном подразделении, имеющем доступ и (или) осуществляющем обработку персональных данных, должны быть определены места постоянного хранения материальных носителей персональных данных в специально отведенных сейфах и запирающихся на ключ шкафах.

Хранение материальных носителей персональных данных должно быть реализовано следующим образом: носители персональных данных, обрабатываемых без использования средств автоматизации, должны быть обособлены от иной обрабатываемой информации.

11.4. Ответственному за обеспечение безопасности персональных данных в соответствии с Инструкцией Ответственного за обеспечение безопасности персональных данных необходимо организовать учет материальных носителей персональных данных.

11.5. Персональные данные на электронных носителях защищаются паролем доступа, доступ осуществляется только через личный пароль.

11.6. Сроки обработки и постоянного хранения персональных данных указаны в разделе 2 настоящего Положения для субъектов персональных данных. При достижении цели обработки персональные данные подлежат удалению, уничтожению или обезличиванию.

11.7. В случае предоставления доступа Обществом или поручения обработки персональных данных третьим лицам в договоре (или ином документе сторон) должен быть установлен срок обработки и хранения персональных данных, не превышающий срок достижения целей обработки персональных данных.

12. УТОЧНЕНИЕ, ИЗМЕНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

12.1. Блокирование информации, содержащей персональные данные, при обращении либо по запросу субъекта или его представителя, либо по запросу уполномоченного органа по защите прав субъектов персональных данных производится в случаях выявления неправомерной обработки персональных данных, выявления неточных персональных данных (являются неполными, устаревшими, недостоверными), в том числе не являющихся необходимыми для заявленной цели обработки.

Также Общество обязано обеспечить блокирование персональных данных, если обработка персональных данных осуществляется другим лицом, действующим по поручению лица.

Персональные данные соответствующего субъекта персональных данных должны быть заблокированы с момента обращения либо запроса субъекта или его представителя, либо по запросу уполномоченного органа на период проверки.

12.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений / документов, представленных субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязано уточнить персональные данные либо обеспечить их уточнение (если обработка осуществляется другим лицом по поручению) в течение семи рабочих дней со дня предоставления сведений / документов и снять их блокирование.

12.3. В случае выявления неправомерной обработки персональных данных (совершаемых действий) Общество в срок, не превышающий трех рабочих дней с даты выявления, обязано прекратить неправомерную обработку (или обеспечить прекращение) персональных данных.

В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество обязано уничтожить такие персональные данные (или обеспечить их уничтожение) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки.

12.4. Об устранении допущенных нарушений или об уничтожении персональных данных (изменении, прекращении обработки, устранении нарушений в порядке работы с персональными данными) Общество обязано уведомить субъекта персональных данных или его представителя, направив уведомление, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.

12.5. Общество обязано прекратить обработку и уничтожить персональные данные субъекта (либо обеспечить прекращение и уничтожение персональных данных, если обработку осуществляет другое лицо по поручению) в случаях:

  • достижения цели обработки персональных данных субъектов, в том числе истечения срока хранения;
  • отзыва субъектом согласия на обработку своих персональных данных, направленного по адресу: 129090 Россия, Москва, Олимпийский пр-кт., 14, 8 этаж, если у Общества отсутствуют иные правовые основания для обработки ПДн.

12.6. Уничтожение персональных данных, в случаях, указанных в п. 12.5 настоящего Положения, должно быть осуществлено в срок, не превышающий тридцати дней с момента возникновения данных обстоятельств.

12.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 12.3 и п. 12.6 настоящего Положения, Общество осуществляет блокирование таких персональных данных (либо обеспечивает блокирование персональных данных, если обработку осуществляет другое лицо по поручению) и обеспечивает уничтожение персональных данных в срок не более шести месяцев, если иной срок не установлен федеральными законами.

13. ОТВЕТСТВЕННОСТЬ ОБЩЕСТВА И ЕГО СОТРУДНИКОВ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ, НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ЛОКАЛЬНЫХ  АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ

13.1. Общество ответственно за обеспечение безопасности персональных данных субъектов. В случае поручения (частичного поручения) обработки персональных данных третьему лицу Общество обязано предусмотреть в договоре обязанность третьего лица соблюдать требования по конфиденциальности, правила обработки и обеспечение безопасности персональных данных при их обработке.

13.2. Общество несет установленную законодательством Российской Федерации ответственность за нарушение законодательства Российской Федерации в области персональных данных, настоящего Положения и других локальных нормативных актов Общества в отношении персональных данных и их защиты.

13.3. Работники Общества, виновные в нарушении норм, регулирующих обработку, в том числе сбор (получение), хранение персональных данных, и защиту персональных данных субъектов несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством Российской Федерации.

13.4. Руководители подразделений Общества также несут ответственность за действия (бездействие) сотрудников подразделения, касающиеся обработки, в том числе сбора (получения), хранения персональных данных, и защиты персональных данных, а также несут ответственность за санкционирование (согласование) доступа к персональным данным и их обработку соответствующим сотрудником.

13.5. За нарушения законодательства Российской Федерации в области персональных данных и настоящего Положения, к работникам Общества могут применяться следующие дисциплинарные взыскания: замечание; выговор; увольнение.

13.6. Дисциплинарные взыскания, указанные в п. 13.5 настоящего Положения, применяются в соответствии с локальными нормативными актами Общества, трудовым законодательством РФ, и в зависимости от тяжести последствий нарушения (-ий) для Общества и (или) субъекта персональных данных.

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Настоящее Положение является внутренним документом Общества, является общедоступной и подлежит опубликованию на официальном интернет сайте Компании https://ru.kuehne-nagel.com/.

14.2. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.

14.3. Контроль исполнения требований настоящего Положения осуществляется сотрудником Общества, ответственным за организацию обработки персональных данных.