Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого.
Безопасность – состояние защищенности жизненно важных интересов пользователей/клиентов от внутренних и внешних угроз.
Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.
Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.
Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации (персональных данных), в том числе её передачи.
Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://cyberrlaw.ru.
Доступ к информации – возможность получения информации и ее использования.
Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития пользователей/клиентов
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Модель угроз – описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение информации – действия, в результате которого невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
1.1. Положение о защите и обработке персональных данных (далее — Положение) регулирует порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных Оператором в отношении субъектов персональных данных (посетителей/клиентов) веб-сайта https://cyberrlaw.ru.
1.2. Положение основано на нормах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), Постановлений Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. Целями данного Положения являются:
1.4. Оператор персональных данных несет ответственность за нарушение режима защиты, обработки и порядка использования этой информации: гражданскую, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации. Физические лица, в дополнение к вышеперечисленным, несут и уголовную ответственность.
1.5. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует до отзыва клиентами/посетителями. Изменения в Положение осуществляется приказами Оператора.
1.6. Работники Оператора получают доступ к персональным данным в объеме, необходимым им для выполнения служебных обязанностей, и в обязательном порядке должны ознакомиться с настоящим Положением под роспись для последующего его исполнения.
1.7. Юридические основаниями обработки персональных данных Оператором являются:
2.1 Категории субъектов персональных данных и цели обработки данных Оператором:
2.2. Цели обработки персональных данных клиента/посетителя:
2.3. Оператор как с помощью средств автоматизации, так и без использования таких средств обрабатывает следующие категории персональных данных посетителей (клиентов): фамилия, имя, отчество; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; банковские реквизиты счета клиентов/посетителей и обезличенных данных о посетителях/клиентах (в т.ч. файлов «cookie») и с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
2.4. Оператор вправе обрабатывать персональные данные пользователей/клиентов по факту заполнения и/или отправки пользователями/клиентами самостоятельно через специальные формы, расположенные на сайте https://cyberrlaw.ru или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой
2.5. Оператор вправе обрабатывать обезличенные данные о пользователях/клиентах в случае, если это разрешено в настройках браузера пользователей/клиентов (включено сохранение файлов «cookie» и использование технологии JavaScript).
3.1. Обработка персональных данных осуществляется на основе принципов:
3.2. Распространение персональных данных осуществляется исключительно в рамках данного субъектом персональных данных согласия и в соответствии с установленными им запретами.
3.3. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.1. При осуществлении сбора персональных данных Оператор по требованию субъекта персональных данных предоставляет информацию о:
4.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.
Контрагенты (клиенты) передают персональные данные при заключении договора, данные подлежат хранению в течение срока исполнения договорных обязательств и/или в сроки, установленные законодательством.
5.1. По общему правилу, передача персональных данных субъекта третьим лицам без его письменного согласия не допускается. Исключением являются случаи, установленные федеральным законодательством.
5.2. Недопустима передача персональных данных субъекта в коммерческих целях без его письменного согласия. Продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи возможно исключительно с его предварительного согласия.
5.3. Оператор распространяет персональные данные только в соответствии с данным на то согласием субъекта персональных данных и с соблюдением установленных им запретов. Если из данного субъектом согласия не следует, что персональные данные разрешены к распространению, распространение не производится.
5.4. Публикация информации об условиях обработки, об установленных субъектом персональных данных запретах обработки, и о наличии запретов и условий на обработку персональных данных неограниченным кругом лиц осуществляется Оператором в течение трех рабочих дней.
5.5. Лица в силу необходимости исполнения должностных обязанностей, получающие доступ к персональным данным, до получения доступа ознакомляются с локальными нормативными актами Оператора, устанавливающими порядок обработки и режим конфиденциальности персональных данных.
5.6. Рассмотрение запросов субъектов персональных данных, направленных в порядке ст. 14 Закона осуществляются в соответствии с Правилами рассмотрения запросов субъектов персональных данных (их представителей), утвержденных Оператором.
6.1.Оператор вправе осуществлять трансграничную передачу персональных данных;
6.2. Технические средства, задействованные для обработки персональных данных (рабочие станции и сервера), находящиеся вне пределов Российской Федерации.
7.1.Обеспечение безопасности персональных данных при их обработке подразумевает принятие Оператором организационных и технических мер на веб-сайте https://cyberrlaw.ru для защиты персональных данных, необходимых для выполнения требований к защите персональных данных (уровней защищенности), установленных Постановлением Правительства РФ от 1 ноября 2012 № 1119.
7.2. Оператором разработана Модель угроз ИСПДн, составлен акт классификации ИСПДн. На их основании для ИСПДн сформировано Техническое задание на систему защиты информации, куда внесены организационные и технические меры, которые необходимо осуществить для нейтрализации актуальных угроз и выполнения требований действующего законодательства по защите персональных данных установленного уровня защищенности.
7.3. Защита персональных данных при неавтоматизированной их обработке производится в соответствии с порядком и на условиях, установленных Оператором в рамках настоящего Положения.
7.4. Защита персональных данных при их обработке в информационной системе персональных данных (далее – ИСПДн) производится в соответствии с положениями Политики информационной безопасности, Инструкции администратора безопасности ИСПДн, Инструкции пользователя ИСПДн и другими внутренними документами Оператора по защите информации.
7.5. Приказом Оператора сформирована группа реагирования на инциденты информационной безопасности (ГРИИБ).
8.1. В случае достижения целей обработки, либо отзыва согласия на обработку персональных данных, и при условии отсутствия оснований в законодательстве, требующих продолжения обработки персональных данных, а также при поступлении от субъекта персональных данных требования прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, Оператор производит уничтожение персональных данных. Срок уничтожения ограничен 30 (тридцатью) днями с даты наступления указанных обстоятельств. Прекращение передачи персональных данных осуществляется немедленно при поступлении требования субъекта персональных данных.
8.2. Оператором сформирована комиссия по уничтожению персональных данных на бумажных носителях, состав которой утвержден приказом Оператора. Уничтожение персональных данных подлежит осуществлению по форме, установленной Оператором.
8.3. Удаление персональных данных из используемых Оператором ИСПДн производится путем стирания записи в базах данных по запросу субъекта или при достижении целей обработки персональных данных.
8.4. В случае поступления обращения субъекта персональных данных о выявлении недостоверности обрабатываемых данных, неправомерных операций в отношении его данных, производится временное блокирование персональных данных на период проверки.
8.5. Временное прекращение операций по обработке персональных данных (блокирование) должно осуществляться по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.
9.1.Обработка персональных данных контрагентов (клиентов) не требует получения от них дополнительного согласия, так как обработка их данных производится в соответствии с п.5 ч.1 ст. 6 Закона.
9.2. Получение согласий с контрагентов (клиентов) производится в случаях:
10.1. Доступ работникам Оператора к персональным данным предоставляется исключительно для цели исполнения ими своих трудовых функций.
10.2. Допуск работников к персональным данным осуществляется в соответствии с Положением о разграничении прав доступа к информационной системе. На основании его, а также данных, предоставляемых руководителями подразделений Оператора, Руководством Оператора осуществляется допуск работников к обработке персональных данных.
10.3. Условием допуска работников Оператора является ознакомление с настоящим Положением, инструкцией пользователя ИСПДн, иными локальными нормативными актами Оператора относительно обработки персональных данных, а также подписание Обязательства о неразглашении персональных данных.
10.4. Обнаружение нарушений обработки персональных данных является основанием для приостановки обработки. При обнаружении нарушений проводятся мероприятия, направленные на устранение причин нарушений. 10.5. Решение о приостановке обработки может быть принято руководством Оператора, Администратором безопасности информации и/или Ответственным за организацию обработки персональных данных.
10.5. Допуск иных лиц, не указанных в Перечнях лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы персональных данных, к персональным данным возможен только на основании приказа руководства Оператора.
11.1.В соответствии с требованиями ст. 20 Закона Оператор предоставляет субъектам персональных данных бесплатный доступ к относящимся к ним данным, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, контрразведывательной и разведывательной деятельности, в целях обороны страны, безопасности государства и охраны правопорядка, а также в иных случаях, предусмотренных федеральным законодательством.
11.2. Доступ субъекта (его представителя) к персональным данным осуществляется по запросу к Оператору, содержащему паспортные данные субъекта персональных данных, сведения, подтверждающие участие субъекта в отношениях с Оператором. Запрос оформляется в бумажной или электронной форме, подписывается собственноручно субъектом персональным данных (его представителем) или квалифицированной электронной подписью субъекта персональных данных (его представителя).
11.3. Форма предоставления информации субъекту персональных данных должна быть доступной для понимания, и не содержать персональные данные, относящиеся к другим субъектам.
11.4. Поступившие запросы от субъекта персональных данных, касающиеся выявления им факта обработки неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор рассматривает и удовлетворяет.
<11.5. Работа с запросами субъектов персональных данных производится в соответствии с утвержденными Оператором «Правилами рассмотрения запросов субъектов персональных данных (их представителей)».
12.1. Субъект персональных данных имеет право на получение следующей информации:
12.2. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях:
12.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
13.1. Обработка персональных данных осуществляется в соответствии с Законом в законных и обоснованных целях. Оператор вправе предоставлять персональные данные третьим лицам при наличии добровольного информированного согласия субъекта персональных данных, или если это предусмотрено действующим законодательством.
13.2. По факту обнаружения недостоверных персональных данных или неправомерных действий с ними Оператор обязан отреагировать на выявленные нарушения в порядке ст. 21 Закона, в том числе в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.
13.3. Оператор в порядке рассмотрения запросов субъектов персональных данных обязан предоставлять им возможность бесплатного ознакомления с относящимися к ним персональным данным в доступной форме в соответствии с Правилами рассмотрения запросов субъектов персональных данных и законодательством Российской Федерации.
13.4. При обнаружении неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан провести актуализацию персональных данных, уничтожить или блокировать их, уведомить о своих действиях субъекта персональных данных.
13.5. Оператор обязуется не принимать на основании исключительно автоматизированной обработки данных решения, порождающие юридические последствия в отношении субъектов персональных данных, или иным образом затрагивающие их права и законные интересы без получения от них соответствующего письменного добровольного информированного согласия.
14.1. Работники Оператора перед получением доступа к персональным данным обязаны ознакомиться с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, подписать соглашение о неразглашении персональных данных.
14.2. Работник Оператора имеет право:
14.3. Обязанности работника:
14.4. В части обработки персональных данных иных субъектов:
15.1. Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными граждан, привлекаются к гражданской,дисциплинарной, административной, уголовной ответственности за нарушение режима защиты, обработки и порядка использования этих персональных данных.
15.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку персональных данных субъекта, несут гражданско-правовую, дисциплинарную, административную, уголовную ответственность, предусмотренную федеральным законодательством.
15.3. При возникновении инцидента, повлекшего нарушение конфиденциальности, целостности или доступности персональных данных по вине должностных лиц Оператора, и если это повлекло за собой какие-либо финансовые потери для Оператора, виновные должностные лица обязаны возместить причиненный ущерб.
15.4. Неправомерность обработки персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных.
Должностные лица Оператора, получающие доступ к персональным данным, дополнительно несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации.
Мы свяжемся с Вами в ближайшее время