Политика обработки и защиты персональных данных в ООО «Курьерист»

Настоящая Политика обработки и защиты персональных данных в обществе с ограниченной ответственностью «Курьерист» (далее – Политика) определяет порядок обработки персональных данных субъектов персональных данных в ООО «Курьерист».

Настоящая Политика:

• разработана в соответствии с действующим законодательством Российской Федерации в области персональных данных;
• обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в ООО «Курьерист».

Нарушение порядка обработки персональных данных, определенного данной Политикой, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с нормами действующего законодательства Российской Федерации.

Все персональные данные, обрабатываемые ООО «Курьерист», за исключением данных, включенных в общедоступные источники, признаются информацией ограниченного доступа.

1.2.1. Необходимость формирования порядка организации обработки ПДн обусловлена требованиями действующих нормативных правовых актов, устанавливающими для Оператора обязанности по соответствию объема и содержания обрабатываемых ПДн заявленным целям сбора, уточнению, хранению и уничтожению ПДн, соблюдению условий обработки ПДн, в том числе получению согласия субъектов на обработку их ПДн, установлению схем взаимодействия как внутри Оператора, так и с субъектами ПДн, третьими лицами, регуляторами (уполномоченными органами).

1.2.2. Одним из элементов указанного порядка в части вопросов организации обработки ПДн является лицо, ответственное за организацию обработки ПДн. Указанное лицо назначается в установленном Оператором порядке, и в его основные обязанности входит, в том числе:

• осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства о ПДн, в том числе требований к их защите;
• доведение до сведения работников Оператора положений законодательства РФ в области ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн, требований к их защите;
• организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

1.2.3. Оператором разрабатывается система локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.

1.2.4. Оператор разрабатывает и размещает в свободном доступе документ, определяющий политику Оператора в отношении обработки и обеспечения безопасности ПДн.

1.2.5. Оператор направляет в Роскомнадзор уведомление об обработке ПДн. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки ПДн Оператор также уведомляет об этом Роскомнадзор.

1.2.6. Форма уведомления об обработке (о намерении осуществлять обработку) ПДн, а также форма уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, устанавливается нормативными правовыми актами Роскомнадзора.

1.2.7. Работники Оператора, непосредственно осуществляющие обработку ПДн, знакомятся (инструктируются) с положениями законодательства РФ в области ПДн, локальными нормативными актами Оператора по вопросам обработки, а также проходят дополнительный инструктаж в случае изменений законодательства РФ или локальных нормативных актов Оператора в области ПДн или проходят соответствующее обучение.

1.2.8. Выполнение требований законодательства РФ в области организации обработки ПДн контролируется лицом, ответственным за организацию обработки ПДн, либо комиссией, формируемой в установленном Оператором порядке, посредством проведения внутреннего контроля.

1.3.1. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, сроки их обработки, хранения и порядок уничтожения устанавливаются приложением «Реестр процессов обработки персональных данных» к Политике и могут обновляться отдельным приказом Оператора.

1.3.2. Оператор установил следующие условия прекращения обработки ПДн:

• достижение целей обработки ПДн и максимальных сроков хранения ПДн;
• утрата необходимости в достижении целей обработки ПДн;
• предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• невозможность обеспечения правомерности обработки ПДн;
• отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;
• получение требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн;
• ликвидация или реорганизация Оператора.

1.3.3. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

1.3.4. Оператор может осуществлять обработку специальных категорий ПДн (сведения о состоянии здоровья) для целей:

• ведения кадрового, бухгалтерского, налогового и воинского учета в отношении работников;
• предоставления гарантий, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи;
• обеспечения охраны труда, техники безопасности, пожарной безопасности и защиты от чрезвычайных ситуаций;
• проведения специальной оценки условий труда;
• выявления нарушений состояния здоровья и медицинских противопоказаний к работе;
• проведения медицинских осмотров и медицинских освидетельствований;
• расследования, учета и оповещения о несчастных случаях;
• защита жизни и здоровья физических лиц, имущества и объектов недвижимости от противоправных посягательств, обеспечение внутриобъектового и пропускного режимов на объектах недвижимости Оператора.

1.6.1. Оператор на регулярной основе улучшает порядок обработки ПДн с учетом регулярных изменений требований действующего законодательства РФ и характеристик процессов организации обработки ПДн, а также по причине выработки новых подходов и практик обработки ПДн.

1.6.2. Улучшение достигается посредством уточнения (пересмотра) Политики, использования результатов внутреннего контроля и проверок (государственного надзора), корректирующих и предупреждающих действий. Порядок проведения внутреннего контроля и порядок участия в проверках (государственном надзоре) определены в локальных нормативных актах Оператора, регулирующих организацию защиты ПДн.

1.6.3. Политика и Реестр процессов обработки ПДн пересматриваются по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра. В случае внесения изменений в Реестр процессов обработки ПДн, он подлежит утверждению в новой редакции.

1.6.4. Оператор проводит мероприятия по устранению причин несоответствий требованиям действующего законодательства РФ в области ПДн и локальных нормативных актов с целью предупредить их повторное возникновение.

1.6.5. Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям действующего законодательства РФ в области ПДн и локальных нормативных актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать размеру вреда, который может быть причинен Оператору.

1.6.6. Критически важным для улучшения порядка управления и обеспечения обработки ПДн являются состав, квалификация и опыт лиц, привлекаемых к данной активности.

1.6.7. Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, может включать в себя:

• лицо, ответственное за организацию обработки ПДн;
• лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, или представителя структурного подразделения Оператора, ответственного за обеспечение безопасности ПДн в ИСПДн;
• представителей структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора;
• представителей структурного подразделения Оператора, ответственного за ведение кадрового учета;
• представителей иных заинтересованных структурных подразделения Оператора, которые вовлечены в обработку и (или) защиту ПДн;
• иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц (сторонних организаций), обладающих соответствующими компетенциями.

1.6.8. Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, должны соответствовать поставленной перед ними задаче. Указанные лица в своей совокупности должны:

• знать требования действующего законодательства РФ о ПДн;
• обладать как минимум базовыми знаниями в сфере управления и обеспечения информационной безопасности;
• иметь компетенцию по исследованию бизнес-процессов Оператора.

1.6.9.Контроли несоответствий и рекомендации по устранению несоответствий отражаются в локальных нормативных актах Оператора об организации защиты ПДн.

1.7.1. Оператором ведется перечень ИСПДн Оператора.

1.7.2. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.

1.7.3. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки.

1.7.4. Оператором не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

1.8.1. Доступ к ПДн имеют работники Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих должностных обязанностей.

1.8.2. Перечень лиц, допущенных к обработке ПДн, определяется лицом, ответственным за организацию обработки ПДн, и утверждается приказом Оператора.

1.8.3. Процедура предоставления доступа работника Оператора к ПДн предусматривает:

• согласование заявки на доступ с лицом, ответственным за организацию обработки ПДн, с указанием в заявке фамилии, имени, отчества, должности и подразделения работника, действия (действий) по обработке ПДн, в котором будет участвовать работник, описания выполняемых работником функций по обработке ПДн;
• ознакомление лицом, ответственным за организацию обработки ПДн, работника под роспись с Политикой, другими локальными нормативными актами Оператора по вопросам обработки ПДн, а также локальными нормативными актами, устанавливающими процедуры, направленные на выявление нарушений законодательства РФ в области обработки и защиты ПДн и устранение последствий таких нарушений;
• информирование работника о категориях обрабатываемых ПДн, об особенностях и правилах осуществления обработки ПДн, о способах обработки ПДн;
• фиксацию в соответствии с требованиями ч.1 ст.15 и абз.4 ч.4 ст.57 ТК РФ в трудовом договоре с работником соответствующих положений о конфиденциальности ПДн и безопасности ПДн при обработке;
• проведение первичного, текущего и внепланового инструктажа, а также регистрацию факта проведения инструктажа в «Журнале учета инструктажей по правилам обработки и защиты ПДн», в ходе которого осуществляется;
• информирование работников о факте обработки ими ПДн субъектов с использованием средств автоматизации и без использования средств автоматизации, которая осуществляется работниками при выполнении своих должностных обязанностей
• информирование работников о категориях обрабатываемых ими ПДн;
• разъяснение работникам порядка организации обработки и обеспечении безопасности ПДн, установленного действующим законодательством, нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными нормативными актами Оператора.

1.8.4. Первичный инструктаж проводится со всеми принятыми на работу работниками Оператора перед началом их рабочей деятельности и с работниками, выполняющими новую для них работу. Текущий инструктаж проводится по мере необходимости со всеми инструктируемыми работниками для повторения и закрепления необходимых знаний. Внеплановый инструктаж проводится с работниками, направленными для выполнения разовых работ, не связанных с их должностными обязанностями, или с целью изучения работниками требований вновь принятых или измененных нормативных правовых актов РФ в области ПДн или локальных нормативных актов Оператора в сфере обработки и защиты ПДн.

1.8.5. В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего ПДн, а также изменении организационно-штатной структуры, руководитель работника, обрабатывающего ПДн, уведомляет об этом лицо, ответственное за организацию обработки ПДн. Комиссией по вопросам обработки и защиты ПДн по указанию лица, ответственного за организацию обработки ПДн, осуществляется пересмотр прав доступа работника к ПДн и при необходимости вносятся соответствующие изменения в Перечень лиц, допущенных к обработке ПДн.

1.8.6. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию руководителя увольняющегося работника Оператора.

1.8.7. Лицо, ответственное за организацию обработки ПДн, по мере необходимости осуществляет проверку/актуализацию Перечня работников, допущенных к обработке ПДн, а также списка пользователей ИСПДн, электронного журнала обращений пользователей ИСПДн на получение ПДн. В случае выявления работников, допущенных к обработке ПДн, которым такой доступ больше не требуется, права доступа такого работника к ПДн незамедлительно отзываются.

1.8.8. Допуск работников к обработке ПДн до прохождения процедуры предоставления доступа запрещается.

1.8.9. Доступ работников к своим ПДн осуществляется в соответствии с положениями 152-ФЗ и трудового законодательства.

1.9.1. Обработка ПДн может осуществляться Оператором в случаях, предусмотренных действующим законодательством.

1.9.2. Оператором применяются следующие способы сбора (получения) ПДн субъектов:

• заполнение субъектом ПДн соответствующих форм;
• предоставление субъектом ПДн соответствующих документов;
• получение ПДн от третьих лиц;
• получение от третьих лиц ПДн на основании запроса Оператора;
• сбор ПДн из общедоступных источников;
• осуществление записи видеоизображения субъекта ПДн и (или) его речи.

1.9.3. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием БД, находящихся на территории РФ, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ, а также обеспечивает соблюдение следующих принципов:

• сбор Оператором ПДн граждан РФ, в том числе с территории иностранных государств, должен вестись только в БД, находящиеся на территории РФ;
• передача (в т.ч. трансграничная) Оператором ПДн граждан РФ, после их сбора, в зарубежные БД может осуществляться только при условии размещения ПДн граждан РФ в равных или больших объеме, составе и актуальности в БД, находящихся на территории РФ.

1.9.4. Оператор сообщает субъекту о целях, способах и источниках получения его ПДн, а также о характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать письменное согласие на их получение.

1.9.5. Оператор может осуществлять запись (ввод) ПДн в ИСПДн – это процедура, связанная с кодированием ПДн в компьютерно-читаемую форму и их записью в БД ИСПДн.

1.9.6. Существуют следующие способы записи ПДн в ИСПДн Оператора:

• ввод информации при помощи клавиатуры;
• сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;
• ввод существующих цифровых файлов;
• получение информации из других информационных систем.

1.9.7. ПДн субъектов могут храниться Оператором на материальных носителях информации, содержащих сведения, в том числе, в форме документов – зафиксированной на материальном носителе информации (содержащей ПДн) с реквизитами, позволяющими ее идентифицировать и определить субъекта ПДн.

1.10.1. Сроки и условия прекращения обработки ПДн закреплены в Реестре процессов обработки персональных данных.

1.10.2. ПДн подлежат уничтожению в следующие сроки, определенные 152-ФЗ:

• при отзыве субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн – в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва. При этом согласие на обработку ПДн при его отзыве не уничтожается, передается на хранение в соответствии с пунктом 441 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Росархива от 20.12.2019 № 236. По истечении установленного срока хранения согласие на обработку ПДн уничтожается в порядке, предусмотренном Политикой;
• при достижении цели обработки ПДн или утраты необходимости в достижении этих целей – в срок, не превышающий 30 календарных дней с даты достижения цели обработки ПДн;
• при истечении сроков хранения ПДн, установленных нормативными правовыми актами РФ – в сроки, установленные локальными нормативными актами Оператора для уничтожения архивных документов;
• при получении требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн – в срок, не превышающий 10 рабочих дней, если иной срок не установлен в требовании;
• при выявлении неправомерной обработки ПДн в случае, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн;
• при получении требования субъекта ПДн или его представителя, если субъект ПДн является несовершеннолетним, что ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки – в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.10.3. При невозможности уничтожения ПДн в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПДн, при достижении целей обработки ПДн, а также при отзыве субъектом согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, Оператор осуществляет блокирование ПДн и уничтожает ПДн в течение 6 месяцев, если иной срок не установлен законодательством РФ.

1.10.4. Уничтожение ПДн должно производиться под контролем комиссии, формируемой в установленном Оператором порядке. В случае возникновения необходимости по уничтожению ПДн в обособленных подразделениях Оператора или удаленных местах нахождения работников Оператора лицо, ответственное за организацию обработки ПДн, путем издания соответствующего распоряжения формирует на временной или постоянной основе локальную комиссию в составе не менее двух человек по уничтожению ПДн.

1.10.5. Факт уничтожения ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, подтверждается Актом об уничтожении ПДн.

1.10.6. Факт уничтожения ПДн, обработка которых осуществляется Оператором с использованием средств автоматизации, подтверждается Актом об уничтожении ПДн и выгрузкой из журнала регистрации событий в ИСПДн.

1.10.7. Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения ПДн.

1.10.8. В случае составления Акта об уничтожении в электронной форме, такой акт подписывается электронной подписью в соответствии с требованиями законодательства Российской Федерации об электронной подписи, локальными нормативными актами Оператора, регламентирующими использование электронных подписей в организации.

1.10.9. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн. Если ПДн невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПДн, и их материальный носитель. Уничтожение ПДн в ИСПДн, на АРМ и на отчуждаемых машинных носителях информации осуществляется с помощью штатных средств, а также, при необходимости, с применением специализированных программных или аппаратных средств.

2.1.1. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона «О персональных данных».

2.2.1. Передача является способом обработки персональных данных и должна основываться на принципах, установленных законодательством РФ в области персональных данных, а также на положениях локальных нормативных актов Оператора.

2.2.2. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ либо договором, регламентирующим правоотношения Оператора с субъектом ПДн.

2.2.3. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме, который позволяет предоставлять минимальный необходимый объем ПДн о субъектах ПДн.

2.2.4. Работники Оператора, передающие ПДн субъектов третьим лицам, могут передавать их с составлением двустороннего акта приема-передачи документов (иных материальных носителей информации), содержащих ПДн субъектов, либо иным способом, позволяющим подтвердить факт и дату передачи ПДн. При использовании любого из указанных способов должны выполняться следующие условия:

• уведомление получающего ПДн лица об его обязанности использовать полученные ПДн лишь в целях, для которых они сообщены;
• предупреждение получающего ПДн лица об его ответственности за противоправную обработку ПДн в соответствии с действующим законодательством РФ.

2.2.5. Передача документов (иных материальных носителей информации), содержащих ПДн субъектов, осуществляется при наличии у лица, уполномоченного на их получение, одного из наборов документов: первый набор документов:

• действующий договор с запрашивающим ПДн лицом, стороной которого либо выгодоприобретателем или поручителем по которому является Оператор;
• действующее соглашение Оператора с запрашивающим ПДн лицом, регулирующие порядок организации обработки и обеспечения безопасности ПДн, либо наличие в действующем договоре Оператора с запрашивающим ПДн лицом пунктов о соблюдении конфиденциальности ПДн субъекта(ов);

второй набор документов

• 1. письмо-запрос Оператору от запрашивающего ПДн лица, которое должно включать в себя указание на правовые основания получения доступа к запрашиваемой информации, содержащей ПДн субъекта, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию;
• 2. действующее соглашение Оператора с запрашивающим ПДн лицом, регулирующие порядок организации обработки и обеспечения безопасности ПДн, наличие которого является факультативным, так как у Оператора могут отсутствовать как юридические основания для заключения такого соглашения, так фактическая возможность заключить его.

2.2.6. Полномочия заключать от имени Оператора соглашения с третьими лицами, регулирующие порядок организации обработки и обеспечения безопасности ПДн, определяются как Уставом Оператора, так и надлежащим образом оформленными и выданными Оператором доверенностями.

2.3.1. Оператор имеет право осуществлять трансграничную передачу ПДн.

2.3.2. Приоритетно трансграничная передача персональных данных осуществляется в страны, обеспечивающие адекватный уровень защиты персональных данных. Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждается Роскомнадзором.

2.3.3. Передача в страны, не обеспечивающие адекватный уровень защиты персональных данных, осуществляется в случае, если это необходимо бизнес-процессом Оператора и иные страны не подходят для его организации.

2.3.4. До осуществления трансграничной передачи ПДн Оператор подает уведомление о трансграничной передаче ПДн в Роскомнадзор. Уведомление подается по форме и в соответствии с действующими нормативными правовыми актами (онлайн-формой Роскомнадзора).

2.3.5. Оператор самостоятельно или с привлечением третьих лиц осуществляет оценку соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценку соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке. Оператор вправе поручить составить данную оценку третьему лицу, которому ПДн передаются трансгранично. Оценка соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценка соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн оформляется в форме акта и хранится у Оператора. В целях составления акта, до подачи уведомления в Роскомнадзор, Оператор запрашивает у органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн следующие сведения (или получает иным образом):

• сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, мерах по защите передаваемых ПДн и об условиях прекращения их обработки;
• информацию о правовом регулировании в области ПДн иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача ПДн (в случае, если предполагается осуществление трансграничной передачи ПДн органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн);
• сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача ПДн.

2.3.6. Взаимодействие с Роскомнадзором по вопросам трансграничной передачи определяется действующими нормативными правовыми актами.

2.3.7. Запрет на трансграничную передачу. Роскомнадзор вправе запретить трансграничную передачу данных, если это необходимо в целях защиты интересов Российской Федерации. Если дается запрет на трансграничную передачу, то Оператор обеспечивает уничтожение иностранным лицом ранее переданных ему ПДн в сроки, установленные нормативными правовыми актами или запретом Роскомнадзора. Факт уничтожения иностранным лицом ранее переданных ему ПДн подтверждается актом об уничтожении, разработанным иностранным лицом. Иностранное лицо направляет акт об уничтожении Оператору в течение 3 дней с момента уничтожения ранее переданных ему персональных данных. Акт об уничтожении, разработанный иностранным лицом и полученный Оператором, направляется Оператором в Роскомнадзор.

2.4.1. В соответствии с ч.3 ст.6 152-ФЗ Оператор вправе поручить обработку ПДн другому лицу (обработчику, контрагенту) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

2.4.2. Поручение обработки ПДн может быть формализовано как в виде отдельного акта между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.

2.4.3. Поручение обработки ПДн должно содержать условия, предусмотренные ч. 3 ст. 6 152-ФЗ.

2.4.4. В поручении обработки ПДн устанавливается, что лицо, осуществляющее обработку ПДн по поручению Оператора, обязано уведомлять Оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных).

2.4.5. Состав и содержание информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных в уведомлениях могут быть ограничены с учетом требований применимого законодательства, а также для соблюдения прав и законных интересов субъектов, стороны, которая выявила факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, и третьих лиц.

2.5.1. В соответствии с ч.1 ст.6, ст.7, ч.4 ст.18, ч.1 ст.19 152-ФЗ Оператор обязан проявлять должную осмотрительность при передаче ПДн без необходимости поручения их обработки иному лицу (контрагенту).

2.5.2. Проявление должной осмотрительности может быть формализовано как в виде отдельного акта между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.

2.5.3. Необходимость в проявлении должной осмотрительности возникает в том случае, если:

• передача ПДн не является самостоятельным предметом правоотношений между Сторонами;
• обработка ПДн ограничена только передачей (предоставлением) ПДн между Сторонами.

2.5.4. Проявление должной осмотрительности должно фиксировать следующие взаимные обязательства между Сторонами:

• передача ПДн субъектов ведется на законном основании (ч.1 ст.6 152-ФЗ);
• субъекты ПДн надлежащим образом уведомлены о передаче их ПДн (ч.4 ст.18 152-ФЗ);
• обеспечивается конфиденциальность передаваемых между Сторонами ПДн (ст.7 152-ФЗ);
• обеспечивается безопасность передаваемых между Сторонами ПДн при их обработке (ст.19 152-ФЗ).

3.1. Для обеспечения конфиденциальности и безопасности ПДн субъектов ПДн, защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с 152-ФЗ Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие, если обработка ПДн осуществляется лицом, действующим по поручению Оператора.

3.2. Оператором, в частности, принимаются следующие меры, направленные на обеспечение конфиденциальности и безопасности ПДн:

• назначение лица, ответственного за организацию обработки ПДн и лица, ответственного за обеспечение безопасности ПДн, а также определение их функций и полномочий;
• разработка и поддержание актуальности комплекта локальных нормативных актов, нормативных документов в отношении обработки и защиты ПДн;
• периодический внутренний контроль, а также внешний аудит соответствия обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;
• проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
• ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и локальными нормативными актами Оператора, иными документами в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учет работников, допущенных к обработке ПДн;
• учет материальных носителей ПДн;
• обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к ПДн, обрабатываемым в ИСПДн. А также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• учет возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн;
• применение технических мер в соответствии с угрозами безопасности ПДн при их обработке в ИСПДн;
• применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

3.3. Конкретный порядок обеспечения технической безопасности ПДн определяется отдельными локальными нормативными актами Оператора.

3.4. Комплекс мероприятий и технических средств по обеспечению безопасности ПДн формируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также установления уровня защищенности ПДн.

4.1. Работники, виновные в нарушении норм, регулирующих обработку ПДн, могут нести административную ответственность в соответствии со ст.ст.13.11, 13.12, 13.14, а также иными статьями КоАП РФ.

4.2. Предоставление ПДн посторонним лицам, в том числе, работникам Оператора, не имеющим права их обрабатывать, распространение ПДн, утрата материальных носителей информации, содержащих ПДн субъекта, а также иные нарушения обязанностей по обработке ПДн, установленных Политикой и другими локальными нормативными актами Оператора, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.

4.3. Работник, имеющий доступ к ПДн субъектов и совершивший вышеуказанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Оператору (п.7 ст.243 ТК РФ).

4.4. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст.ст.137, 272, а также другими статьями УК РФ.