Положение о порядке обработки персональных данных
г. Санкт-Петербург
2022 год

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение о порядке обработки персональных данных (далее – «Положение») определяет условия, содержание и порядок обработки персональных данных с использованием средств автоматизации и без использования таковых, меры, направленные на защиту персональных данных, которые осуществляет ООО «ИГАИДПП», ОГРН 1207800105325, ИНН/КПП 7813646570/781301001, 197046, город Санкт-Петербург, Большая Посадская ул., д. 16 литер а, помещ. 6-н, №6, офис №401 (далее – «Оператор»).
1.2. Настоящее Положение определяет порядок обработки и защиты персональных данных следующих категорий субъектов персональных данных, которые обрабатывает Оператор:
1.3. Обработка персональных данных осуществляется Оператором с соблюдением порядка и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.4. Положение основано на нормах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), Постановлении Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлении Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормах 14 главы Трудового кодекса РФ и иных нормативных правовых актах.
1.5. Оператор назначает работника, ответственного за организацию обработки персональных данных, и определяет перечень лиц, допущенных к обработке персональных данных.
1.6. В целях настоящего Положения используются следующие термины и понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (без использования средств автоматизации).

2. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных осуществляется:
  • после получения согласия субъекта персональных данных за исключением случаев, предусмотренных частью 1 статьи 6 Закона о персональных данных;
  • после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), за исключением случаев, предусмотренных частью 2 статьи 22 Закона о персональных данных;
  • после принятия Оператором необходимых мер по защите персональных данных.. 3. ПОРЯДОК СБОРА И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫ
3.1. При осуществлении сбора персональных данных Оператор по требованию субъекта персональных данных предоставляет следующую информацию:
  • о факте обработки персональных данных Оператором;
  • о правовых основаниях и целях обработки персональных данных;
  • о целях и применяемых Оператором способах обработки персональных данных;
  • о наименовании и месте нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом о персональных данных;
  • о сроках обработки персональных данных, в том числе сроки их хранения;
  • о порядке осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
  • об осуществленной или о предполагаемой трансграничной передаче данных; наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иных сведениях, предусмотренных Законом о персональных данных или другими федеральными законами.
3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

4.1. Оператором определяется и утверждается перечень информационных систем персональных данных в целях обеспечения реализации прав объектов персональных данных, определяются цели и содержание обработки персональных данных, а также утверждается перечень обрабатываемых персональных данных и список лиц, допущенных к обработке персональных данных в таких информационных систем персональных данных.
4.2. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также иных нормативных правовых актов, регулирующие отношения, связанные с деятельностью Оператора.
4.3. Оператором осуществляется классификация информационных систем персональных данных в зависимости от категории обрабатываемых данных и их количества.
4.4. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4.5. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
4.5.1. Утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих:
  • акт классификации ИСПДн;
  • инструкцию пользователя ИСПДн;
  • инструкцию пользователя ИСПДн при возникновении нештатной ситуации;
  • инструкцию по антивирусной защите;
  • инструкции по организации резервирования и восстановления;
  • другие нормативные и методические документы Оператора;
4.5.2. Настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
4.5.3. Организации режима доступа работников к обработке персональных данных.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

5.1. Порядок обработки и защиты персональных данных без использования средств автоматизации определяется Правилами обработки персональных данных без использования средств автоматизации (утверждены Приказом № 03/2022-ПДн от «01» сентября 2022 г.).

6. ПЕРЕДАЧА И РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. По общему правилу, передача персональных данных субъектов персональных данных третьим лицам без его письменного согласия не допускается. Исключением являются случаи, установленные федеральным законодательством РФ.
6.2. Недопустима передача персональных данных субъекта персональных данных в коммерческих целях без его письменного согласия. Продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи возможно исключительно с его предварительного согласия.
6.3. Оператор распространяет персональные данные только в соответствии с данным на то согласием субъекта персональных данных и с соблюдением установленных им запретов. Если из данного субъектом персональных данных согласия не следует, что персональные данные разрешены к распространению, распространение не производится. Публикация информации об условиях обработки, об установленных субъектом персональных данных запретах обработки, и о наличии запретов и условий на обработку персональных данных неограниченным кругом лиц осуществляется Оператором в течение 3 (Трех) рабочих дней.

7.. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Порядок уничтожения персональных данных определяется Инструкцией по порядку уничтожения персональных данных (утверждена Приказом № 11/2022-ПДн от «01» сентября 2022 г.).

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Работники Оператора, виновные в нарушении норм, регулирующих обработку персональных данных субъектов персональных данных, несут гражданско-правовую, дисциплинарную, административную, уголовную ответственность, предусмотренную законодательством РФ.
8.2. Работники Оператора, получающие доступ к персональным данным, дополнительно несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации.
8.3. Неправомерность обработки персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных.