Закрыть
Для официальных обращений: +7 (35253) 9-18-86 office@shaaz.ru
Онлайн-каталог Каталог Меню
Главная страница Политика обработки ПД

Политика обработки ПД

ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ АКЦИОНЕРНОГО ОБЩЕСТВА «ШАДРИНСКИЙ АВТОАГРЕГАТНЫЙ ЗАВОД»



1. Область применения
1.1. Настоящая Политика разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и является основополагающим внутренним документом Акционерного общества «Шадринский автоагрегатный завод» (далее – Общество), определяющим и регулирующим ключевые направления деятельности Общества в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Общество.
Настоящая Политика определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных в Обществе от несанкционированного доступа, неправомерного их использования или утраты.
Политика является основой для разработки локальных нормативных актов Общества по обеспечению безопасности ПДн.
1.2. Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после утверждения Политики.
1.4. Политика раскрывает основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Обществом в целях защиты и обеспечения безопасности персональных данных при их обработке.
1.5. Настоящая Политика распространяется на сотрудников Общества, включая сотрудников, работающих по гражданско-правовым договорам, на сотрудников сторонних организаций, взаимодействующих с Обществом на основании соответствующих нормативных, правовых и организационно-распорядительных документов, а также на физических лиц, находящихся в гражданско-правовых отношениях с Обществом.

2. Источники нормативного правового регулирования вопросов обработки персональных данных
2.1. Политика Общества в области обработки и защиты персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
- Трудовым кодексом Российской Федерации;
- Налоговым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказом ФСБ Российской Федерации от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» и другими нормативными документами уполномоченных органов.
2.2. Во исполнение настоящей Политики в Обществе приказами руководителя утверждены локальные нормативные правовые акты.

3 Основные термины и понятия, используемые в локальных документах Общества, принимаемых по вопросу обработки персональных данных
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных, далее – Субъект ПДн).
Оператор – АО «ШААЗ» (далее – Общество, Оператор), самостоятельно или совместно с другими лицами организующие/организующее и (или) осуществляющие/осуществляющее обработку персональных данных, а также определяющие/определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Работники Общества – физические лица, состоящие с Обществом в трудовых отношениях на основании трудового договора или работающие по гражданско-правовым договорам.

4 Общие условия обработки Обществом персональных данных
4.1. Обработка персональных данных осуществляется в Обществе на основе следующих принципов:
4.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
4.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.1.5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
4.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен соответствующим федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.
4.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5 Обработка персональных данных
5.1. Получение ПДн.
5.1.1. Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлён об этом или от него должно быть получено согласие.
5.1.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение.
5.1.3. Документы, содержащие ПДн создаются путём:
- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
- внесения сведений в учётные формы;
- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
5.2. Обработка ПДн.
5.2.1. Обработка персональных данных осуществляется:
- с согласия субъекта персональных данных на обработку его персональных данных;
- в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
5.2.2. Цели обработки ПДн:
- осуществление трудовых отношений;
- осуществление гражданско-правовых отношений;
- реализация Обществом своих прав и обязанностей как юридического лица;
- взаимодействие Общества с членами органов управления и контроля.
5.2.3. Категории субъектов персональных данных:
- физические лица, состоящие (состоявшие) в трудовых взаимоотношениях с Обществом и/или работающие (работавшие) по договорам гражданско-правового характера;
- близкие родственники лиц, состоящих (состоявших) в трудовых взаимоотношениях Обществом и/или работающих (работавших) по договорам гражданско-правового характера;
- физические лица, претенденты на замещение вакантной должности;
- физические лица – практиканты/стажёры;
- физические лица – являющиеся контрагентами (возможными контрагентами) Общества, индивидуальные предприниматели.
5.2.4. ПДн, обрабатываемые Обществом:
- ПДн, полученные при осуществлении трудовых отношений;
- ПДн, полученные для осуществления отбора кандидатов на работу;
- ПДн, полученные при работе со стажёрами/практикантами;
- ПДн, полученные при осуществлении гражданско-правовых отношений и/или рассмотрении оформления гражданско-правовых отношений с физическими и/или юридическими лицами;
- ПДн, полученные при обращении граждан в Общество;
- ПДн, полученные при реализация Обществом своих прав и обязанностей как юридического лица.
Перечень персональных данных, обрабатываемых в НПФ «УГМК-Перспектива», утверждается приказом руководителя Общества и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.
5.2.5. Обработка персональных данных ведётся:
- с использованием средств автоматизации с передачей по внутренней сети юридического лица; без передачи по сети Интернет;
- без использования средств автоматизации.
5.3. Хранение ПДн.
5.3.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.3.2. ПДн, зафиксированные на бумажных носителях хранятся в запираемых шкафах.
5.3.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
5.3.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.
5.3.5. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.4. Уничтожение ПДн
5.4.1. Уничтожение документов (носителей), содержащих ПДн производится путём сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
5.4.2. ПДн на электронных носителях уничтожаются путём стирания или форматирования носителя.
5.4.3. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
5.5. Передача ПДн.
5.5.1. Общество поручает обработку ПДн третьим лицам в следующих случаях:
- субъект выразил своё согласие на такие действия;
- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
5.5.2. Третьи лица, которым передаются ПДн:
- Пенсионный фонд РФ и его территориальные подразделения (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Банки для начисления заработной платы (на основании договора).

6 Принципы обеспечения безопасности персональных данных
6.1.Основной задачей обеспечения безопасности ПДн при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
6.2. Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:
1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
2) системность: обработка ПДн в Обществе осуществляется с учётом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества и других имеющихся в Обществе систем и средств защиты;
4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Обществе с учётом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
8) минимизация прав доступа: доступ к ПДн предоставляется работникам только в объёме, необходимом для выполнения их должностных обязанностей;
9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Общества, а также объёма и состава обрабатываемых ПДн;
10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности ПДн;
11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация средств защиты ПДн осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;
13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;
14) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн.

7 Доступ к обрабатываемым персональным данным
7.1. Доступ к обрабатываемым в Обществе ПДн имеют лица, уполномоченные приказом генерального директора Общества.
Перечень работников, допущенных к работе с персональными данными, обрабатываемыми в Обществе, разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т. п.) постоянно действующей экспертной комиссией по информационной безопасности на основании заявок руководителей структурных подразделений.
Работнику Общества, должность которого не включена в список работников, допущенных к работе с персональными данными, обрабатываемыми в АО «ШААЗ», но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом генерального директора АО «ШААЗ» может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.
7.2. В целях разграничения полномочий при обработке ПДн полномочия по реализации каждой определённой функции закрепляются за соответствующими структурными подразделениями Общества.
7.3. Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних нормативных документов Общества.
Допущенные к обработке ПДн работники под роспись знакомятся с документами Общества, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников.
Работник Общества получает доступ к персональным данным субъектов персональных данных после:
- изучения и ознакомления под подпись с настоящей Политикой и иными внутренними нормативными документами Общества, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников;
- прохождения инструктажа о соблюдении правил обработки персональных данных, обрабатываемых в АО «ШААЗ»;
- ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.
7.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Обществом, определяется в соответствии с законодательством и определяется внутренними нормативными документами Общества.

8 Реализуемые требования к защите персональных данных
8.1. Общество принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2. Состав указанных в пункте 8.1 Политики мер, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние нормативные документы об обработке и защите ПДн утверждаются (издаются) Обществом, исходя из требований:
- Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федерального закона Российской Федерации от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»;
- Трудового кодекса Российской Федерации;
- постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
- постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановления Правительства Российской Федерации РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- приказа ФСБ Российской Федерации от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» и иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.
8.3. В соответствии с требованиями нормативных документов в Обществе создана система защиты персональных данных (далее – СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.
8.4. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.
8.5. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнёрами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
8.6. Подсистема технической защиты включает в себя комплекс технических, программных, программно- аппаратных средств, обеспечивающих защиту ПДн.
8.7. Обеспечение безопасности ПДн в Обществе при их обработке в ИСПДн достигается в Обществе, в частности, путём:
1) определения угроз безопасности ПДн и оценки возможностей потенциальных нарушителей информационной безопасности. Тип актуальных угроз безопасности ПДн, оценка возможностей потенциальных нарушителей и необходимый уровень защищённости ПДн определяются в соответствии с требованиями законодательства и с учётом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учётом экономической целесообразности Обществом могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки средств защиты ПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;
3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определённые уровни защищённости ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
4) применения прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации средств криптографической защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз;
5) проведения оценки эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;
6) учёта машинных носителей ПДн, обеспечение их сохранности;
7) обнаружения фактов несанкционированного доступа к ПДн и принятие соответствующих мер;
8) восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к
9) установления правил доступа к обрабатываемым в ИСПДн ПДн, а также обеспечения регистрации и учёта действий, совершаемых с ПДн в ИСПДн;
10) установления индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностным обязанностями;
11) организации режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
12) осуществления контроля за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищённости ИСПДн.
8.8. Обеспечение защиты ПДн в Обществе при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путём:
1) обособления ПДн от иной информации;
2) недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;
3) использования отдельных материальных носителей для обработки каждой категории ПДн;
4) принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;
5) соблюдения требований:
- к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;
- уточнению ПДн;
- уничтожению или обезличиванию части ПДн;
- использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;
- хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
8.9. Для обеспечения защиты ПДн в Обществе:
8.9.1. Назначено лицо, ответственное за организацию обработки ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Обществом и его работниками требований к защите ПДн;
8.9.2. Разработаны документы, определяющие политику Общества в отношении обработки ПДн, локальные нормативные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
8.9.3. Установлено сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
8.9.4. Установлено сертифицированное программное средство защиты информации от несанкционированного доступа;
8.9.5. Установлен сертифицированный межсетевой экран и средства криптографической защиты информации;
8.9.6. Соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ;
8.9.7. Осуществляется ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, Политикой и иными внутренними нормативным документами по вопросам обработки ПДн, и (или) обучение указанных работников по вопросам обработки и защиты ПДн.
8.10. Организация и проведение мероприятий по обеспечению защиты персональных данных в АО «ШААЗ» осуществляется в соответствии с Положением по организации защиты персональных данных в информационных системах персональных данных АО «ШААЗ».
8.11. Общее руководство организацией работ по защите персональных данных в Обществе осуществляет руководитель Общества.
8.12. Деятельность Общества по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.

9 Основные права субъекта ПДн и обязанности оператора
9.1. Основные права субъекта ПДн:
9.1.1. Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом ФЗ № 152 «О персональных данных» или другими федеральными законами.
9.1.3. Обращения к оператору и направлению ему запросов;
9.1.4. Обжалование действий или бездействия оператора.
9.2. Обязанности Оператора:
Оператор обязан:
- при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию о полученных ПДн;
- в случаях если ПДн были получены не от субъекта ПДн, уведомить субъекта персональных данных;
- в случае отказа субъекта ПДн в предоставлении ПДн субъекту разъясняются юридические последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн а также от иных неправомерных действий в отношении ПДн;
- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.
9.3. Иные права субъекта персональных данных определены положениями Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» и иными нормативно-правовыми актами.

Товар добавлен в корзину
alt
Наиминование
Перейти к оформлению Продолжить покупки