Политика Оператора в отношении обработки персональных данных

1.1. О документе
1.1.1. Настоящая Политика обработки и защиты персональных данных в обществе с
ограниченной ответственностью «ФОРМА» (далее — Политика) определяет
порядок обработки персональных данных субъектов персональных данных в ООО
«ΦΟΡΜΑ».
1.1.2. Настоящая Политика:
разработана в соответствии с действующим законодательством Российской
Федерации в области персональных данных;
обязательна для исполнения всеми лицами, непосредственно осуществляющими
обработку персональных данных в ООО «ФОРМА». Нарушение порядка
обработки персональных данных, определенного данной Политикой, влечет
материальную, дисциплинарную, гражданскую, административную и уголовную
ответственность в соответствии с нормами действующего законодательства
Российской Федерации.
1.1.3. Все персональные данные,
конфиденциальной информацией.

1.2. Список сокращений и аббревиатур
обрабатываемые Оператором, являются
1.2.1. В Политике используются следующие сокращения и аббревиатуры:
APM Автоматизированное рабочее место
БД База данных
ГК РФ Гражданский кодекс Российской Федерации
ИСПДН Информационная система персональных данных
Оператор ООО «ФОРМА»
ПДн Персональные данные
Политика Политика обработки и защиты персональных данных Оператора
Роскомнадзор Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций Российской Федерации
(уполномоченный орган по защите прав субъектов персональных данных)
ΡΦ Российская Федерация
ТК РФ Трудовой кодекс Российской Федерации
УК РФ Уголовный кодекс Российской Федерации
ФСБ России Федеральная служба безопасности Российской Федерации (федеральный
орган исполнительной власти, уполномоченный в области обеспечения
безопасности)
ФСТЭК России Федеральная служба по техническому и экспортному контролю
Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведками технической защиты информации)
152-ФЗ Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных
данных»

1.3. Список понятий и определений
1.3.1. В Политике используются следующие основные понятия и определения:
Автоматизированная обработка ПДН Обработка ПДн с помощью средств вычислительной техники
APM Комплекс средств вычислительной техники и программного обеспечения, располагающийся, непосредственно на рабочем месте работника и предназначенный для автоматизации его работы в рамках должности
БД Представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины
Блокирование ПДн Временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДН)
Доступ к ПДН Возможность получения ПДн и их использования
Запись ПДН Ввод ПДн в электронную вычислительную машину и (или) фиксация ПДн на материальном носителе
Изменение ПДн Действия, направленные на модификацию значений ПДн
Извлечение ПДн Действия, направленные на построение структурированных ПДн из неструктурированных или слабоструктурированных машиночитаемых документов
Информация Сведения (сообщения, данные) независимо от формы их
представления
Информационная система Взаимосвязанная совокупность модулей (подсистем), информационных ресурсов с содержащейся в них информацией и программно-техническими средствами для хранения и обработки этой информации, предназначенная для удовлетворения
конкретных информационных потребностей в рамках бизнесфункций различного уровня, границы которой определяет
владелец
ИСПДН Совокупность содержащихся в базах данных (БД) ПДн и
обеспечивающих их обработку информационных технологий и
технических средств
Использование ПДн Действия (операции) с ПДн, совершаемые оператором в целях
принятия решений или совершения иных действий, порождающих
юридические последствия в отношении субъекта ПДн или других
лиц, либо иным образом затрагивающих права и свободы субъекта
ПДн или других лиц
Конфиденциальность информации Обязательное для выполнения лицом, получившим доступ к
определенной информации, требование не передавать такую
информацию третьим лицам без согласия ее обладателя
Материальный носитель информации (ПДн) Материальный объект, используемый для закрепления и хранения
на нем речевой, звуковой или изобразительной информации
(ПДн), в т.ч. в преобразованном виде
Накопление ПДн Действия, направленные на формирование исходного, несистематизированного массива ПДн
Обновление ПДн Действия, направленные на приведение записанных ПДн в
соответствие с состоянием отображаемых объектов предметной
области
Обработка ПДН Любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств
автоматизации или без использования таких средств с ПДн,
включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ),
блокирование, удаление, уничтожение ПДн
Обработка ПДн без использования средств автоматизации Обработка ПДн, содержащихся в ИСПДн либо извлеченных из
такой системы, если такие действия с ПДн, как использование,
уточнение, распространение, уничтожение ПДн в отношении
каждого из субъектов ПДн, осуществляются при
непосредственном участии человека. Обработка ПДн не может
быть признана осуществляемой с использованием средств
автоматизации только на том основании, что ПДн содержатся в
ИСПДн либо были извлечены из нее
Общедоступные источники ПДн Содержащиеся B информационных системах или
зафиксированные на материальных носителях ПДн, доступ
неограниченного круга лиц к которым предоставлен с
письменного согласия субъекта этих ПДН
Оператор Государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими
лицами организующие и (или) осуществляющие обработку ПДн,
а также определяющие цели обработки ПДн, состав ПДн,
подлежащих обработке, действия (операции), совершаемые с ПДН
ПДн Любая информация, относящаяся прямо или косвенно к
определенному или определяемому физическому лицу (субъекту
ПДн)
Передача ПДн Предоставление или доступ к ПДн
Помещение Часть объема здания или сооружения, имеющая определенное
назначение и ограниченная строительными конструкциями, в
которой: осуществляется обработка ПДн; размещены средства
защиты информации и (или) носители ключевой,
аутентифицирующей и парольной информации средств
криптографической защиты информации
Предоставление ПДн Действия, направленные на раскрытие ПДн определенному лицу
или определенному кругу лиц
Распространение ПДН Действия, направленные на раскрытие персональных данных
неопределенному кругу лиц
Сбор ПДн Целенаправленные действия оператора или специально
привлеченных оператором для этого третьих лиц по получению
ПДн непосредственно от субъекта ПДн или его представителя
Систематизация ПДН Действия, направленные на объединение и расположение ПДн в определенной последовательности
Специальные категории ПДн ПДн, в т.ч., касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни
Техническое средство Изделие, оборудование, аппаратура или их составные части,
функционирование которых основано на законах электротехники,
радиотехники и (или) электроники, содержащие электронные
компоненты и (или) схемы, которые выполняют одну или
несколько следующих функций: усиление, генерирование,
преобразование, переключение и запоминание
Удаление ПДн Изъятие ПДн из информационных систем с сохранением
последующей возможности их восстановления
Уничтожение ПДн Действия, в результате которых становится невозможным
восстановить содержание ПДн в ИСПДн и (или) в результате
которых уничтожаются материальные носители ПДН
Уточнение ПДн Действия, направленные на обновление или изменение ПДн
Хранение ПДН Действия, направленные
материального носителя ПДн
на неизменность состояния

1.4. Общие положения по организации обработки и обеспечению безопасности ПДн
1.4.1. Необходимость формирования порядка организации обработки ПДн обусловлена
требованиями действующих нормативных правовых актов, устанавливающими для
Оператора обязанности по соответствию объема и содержания обрабатываемых
ПДн заявленным целям сбора, уточнению, хранению и уничтожению ПДн,
соблюдению условий обработки ПДн, в том числе получению согласия субъектов
на обработку их ПДн, установлению схем взаимодействия как внутри Оператора,
так и с субъектами ПДн, третьими лицами, регуляторами (уполномоченными органами).
1.4.2. Одним из элементов указанного порядка в части вопросов организации обработки
ПДн является лицо, ответственное за организацию обработки ПДн. Указанное лицо
назначается в установленном Оператором порядке, и в его основные обязанности
входит, в том числе:
— осуществление внутреннего контроля за соблюдением Оператором и его
работниками законодательства о ПДн, в том числе требований к их защите;
— доведение до сведения работников Оператора положений законодательства РФ
в области ПДн, локальных нормативных актов Оператора по вопросам
обработки ПДн, требований к их защите;
— организация приема и обработки обращений и запросов субъектов ПДн или их
представителей и (или) осуществление контроля за приемом и обработкой
таких обращений и запросов.
1.4.3. Оператором разрабатывается система локальных нормативных актов по вопросам
обработки ПДн, а также локальных нормативных актов, устанавливающих
процедуры, направленные на предотвращение и выявление нарушений
законодательства РФ в области ПДн, устранение последствий таких нарушений.
1.4.4. Оператор разрабатывает и размещает в свободном доступе документ,
определяющий политику Оператора в отношении обработки и обеспечения
безопасности ПДн.
1.4.5. Оператор направляет в Роскомнадзор уведомление об обработке ПДн. В случае
изменения сведений, содержащихся в уведомлении, а также в случае прекращения
обработки ПДн Оператор также уведомляет об этом Роскомнадзор.
1.4.6. Форма уведомления об обработке (о намерении осуществлять обработку) ПДн, а
также форма уведомления об изменении сведений, содержащихся в уведомлении о
намерении осуществлять обработку ПДн, устанавливается нормативными
правовыми актами Роскомнадзора.
Работники Оператора, непосредственно осуществляющие обработку ПДн,
знакомятся с положениями законодательства Российской Федерации о ПДн, в том
числе с требованиями к защите ПДн, документами, определяющими политику
Оператора в отношении обработки ПДн, локальными нормативными актами по
вопросам обработки ПДн, и (или) проходят соответствующее обучение.
1.4.7. Выполнение требований законодательства РФ в области организации обработки
ПДн контролируется лицом, ответственным за организацию обработки ПДн, либо
комиссией, формируемой в установленном Оператором порядке, посредством
проведения внутреннего контроля.

1.5. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории
субъектов ПДн, способы, сроки их обработки и хранения, порядок уничтожения
1.5.1. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории
субъектов ПДн, способы, сроки их обработки, хранения и порядок уничтожения
устанавливаются приложением «Реестр процессов обработки персональных
данных» к Политике и могут обновляться отдельным приказом Оператора.
1.5.2. Оператор установил следующие условия прекращения обработки ПДн:
— достижение целей обработки ПДн и максимальных сроков хранения ПДн;
— утрата необходимости в достижении целей обработки ПДн;
— предоставление субъектом ПДн или его законным представителем сведений,
подтверждающих, что ПДн являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленной цели
обработки;
— в случае выявления неправомерной обработки ПДн;
— отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более
не требуется для целей обработки ПДн;
— получение требования Роскомнадзора об уничтожении недостоверных или
полученных незаконным путем ПДн;
— ликвидация или реорганизация Оператора:
— иные условия, предусмотренные действующим законодательством РФ.
1.5.3. Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при
наличии оснований, предусмотренных в 152-ФЗ.
1.5.4. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ),
блокирование, удаление, уничтожение ПДН.
1.5.5. Оператор может осуществлять обработку специальных категорий ПДн (сведения о состоянии здоровья) для целей:
— ведения кадрового, бухгалтерского, налогового и воинского учета в отношении
работников; принятия управленческих и кадровых решений; контроля над
трудовой дисциплиной; выплаты заработной платы, премий и возмещений по
понесенным расходам; участия в зарплатном проекте; предоставления гарантий,
компенсаций, обязательного социального страхования, налоговых вычетов и
материальной помощи;
— обеспечения охраны труда, техники безопасности, пожарной безопасности и
защиты от чрезвычайных ситуаций; проведения специальной оценки условий
труда; выявления нарушений состояния здоровья и медицинских
противопоказаний к работе; проведения медицинских осмотров и медицинских
освидетельствований; расследования, учета и оповещения о несчастных случаях;
— защита жизни и здоровья физических лиц, имущества и объектов недвижимости от
противоправных посягательств, обеспечение внутриобъектового и пропускного
режимов на объектах недвижимости Оператора.

1.6. Улучшение порядка обработки ПДН
1.6.1. Оператор на регулярной основе улучшает порядок обработки ПДн с учетом
регулярных изменений требований действующего законодательства РФ и
характеристик процессов организации обработки ПДн, а также по причине
выработки новых подходов и практик обработки ПДн.
1.6.2. Улучшение достигается посредством уточнения (пересмотра) Политики,
использования результатов внутреннего контроля и проверок (государственного
надзора), корректирующих и предупреждающих действий. Порядок проведения
внутреннего контроля и порядок участия в проверках (государственном надзоре)
определены в локальных нормативных актах Оператора, регулирующих
организацию защиты ПДн.
1.6.3. Политика и Реестр процессов обработки ПДн пересматриваются по мере
необходимости, но не реже одного раза в три года с момента проведения
предыдущего пересмотра. В случае внесения изменений в Реестр процессов
обработки ПДн, он подлежит утверждению в новой редакции.
1.6.4. Оператор проводит мероприятия по устранению причин несоответствий
требованиям действующего законодательствав РФ в области ПДн и локальных
нормативных актов Оператора с целью предупредить их повторное возникновение.
1.6.5. Оператор определяет действия, необходимые для устранения причин
потенциальных несоответствий требованиям действующего законодательства РФ в
области ПДн и локальных нормативных актов Оператора, с целью предотвратить
их повторное появление. Предпринимаемые предупреждающие действия должны
соответствовать размеру вреда, который может быть причинен Оператору.
1.6.6. Критически важным для улучшения порядка управления и обеспечения обработки
ПДн являются состав, квалификация и опыт лиц, привлекаемых к данной
активности.
1.6.7. Состав лиц, участвующих в улучшении порядка управления и обеспечения
обработки ПДн, может включать в себя:
— лицо, ответственное за организацию обработки ПДн;
— лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, или
представителя структурного подразделения Оператора, ответственного за
обеспечение безопасности ПДн в ИСПДН;
— представителей структурного подразделения Оператора, ответственного за
обеспечение соблюдения законности и юридическую защиту интересов
Оператора;
— представителей структурного подразделения Оператора, ответственного за
подбор персонала и ведение кадрового учета:
— представителей иных заинтересованных структурных подразделений
Оператора, которые вовлечены в обработку и (или) защиту ПДн;
— иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц
(сторонних организаций), обладающих соответствующими компетенциями.
1.6.8. Квалификация и опыт лиц, участвующих в улучшении порядка управления и
обеспечения обработки ПДн, должны соответствовать поставленной перед ними
задаче. Указанные лица в своей совокупности должны:
— знать требования действующего законодательства РФ о ПДн;
— обладать как минимум базовыми знаниями в сфере управления и обеспечения
информационной безопасности;
— иметь компетенцию по исследованию бизнес-процессов Оператора.
1.6.9. Контроли несоответствий и рекомендации по устранению несоответствий
отражаются в локальных нормативных актах Оператора об организации защиты
ПДн.

1.7. Основные правила обработки ПДН
1.7.1. Оператором ведется перечень ИСПДн Оператора.
1.7.2. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.
1.7.3. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным
целям обработки.
1.7.4. Оператором не допускается объединение БД, содержащих ПДн, обработка которых
осуществляется в целях, несовместимых между собой.

1.8. Порядок предоставления доступа работников к ПДн
1.8.1. Доступ к ПДн имеют работники и структурные подразделения Оператора, которые
обязаны осуществлять их обработку в связи с исполнением своих обязанностей.
1.8.2. Перечень работников и структурных подразделений, допущенных к обработке
ПДн, определяется лицом, ответственным за организацию обработки ПДн, и
утверждается приказом Оператора.
1.8.3. Процедура предоставления доступа работника Оператора к ПДн осуществляется
на основании утвержденных процедур предоставления доступа к ПДн и процедур
ознакомления с процессом обработки ПДн у Оператора. Такие процедуры должны
включать фиксацию в соглашении о конфиденциальности с работником
соответствующих положений о конфиденциальности ПДн и безопасности ПДн при
обработке ПДн, и ознакомление работников или их представителей подод роспись с
документами Оператора, устанавливающими порядок обработки ПДн, а также об
их правах и обязанностях в этой области.
1.8.4. В случае увольнения, перевода на другую должность или изменения должностных
обязанностей работника, обрабатывающего ПДн, а также изменения
организационно-штатной структуры, о произошедших изменениях в соответствии
с установленным у Оператора порядком уведомляется лицо, ответственное за
организацию обработки ПДн. Лицо, ответственное за обработку ПДН
пересматривает права доступа работника к ПДн и при необходимости вносятся
соответствующие изменения в Перечень лиц, допущенных к обработке ПДн.
1.8.5. При увольнении работника, имеющего доступ к ПДн, документы и иные носители,
содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по
указанию непосредственного руководителя увольняющегося работника Оператора.
1.8.6. Лицо, ответственное за организацию обработки ПДн, по мере необходимости
осуществляет проверку актуализацию работников допущенных к обработке ПДн, а
также списка пользователей ИСПДн, электронного журнала обращений
пользователей ИСПДн на получение ПДн (при наличии). В случае выявления
работников, допущенных к обработке ПДн, которым такой доступ больше не
требуется, права доступа такого работника к ПДн незамедлительно отзываются.
1.8.7. Допуск работников к обработке ПДн до прохождения процедуры предоставления
доступа запрещается.
1.8.8. Доступ работников к своим ПДн осуществляется в соответствии с положениями
152-ФЗ и трудового законодательства РФ.

1.9. Порядок обработки ПДн, включая сбор, запись и хранение ПДн
1.9.1. Обработка ПДн может осуществляться Оператором в случаях, предусмотренных
действующим законодательством РФ.
1.9.2. Оператором применяются следующие способы сбора (получения) ПДн субъектов:
— заполнение субъектом ПДн соответствующих форм;
— предоставление субъектом ПДн соответствующих документов;
— получение ПДн от третьих лиц;
сбор ПДн из общедоступных источников;
— осуществление записи видеоизображения субъекта ПДн и (или) его речи.
1.9.3. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с
использованием БД, находящихся на территории РФ, за исключением случаев,
указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ, а также обеспечивает соблюдение
следующих принципов:
— сбор Оператором ПДн граждан РФ, в том числе с территории иностранных
государств, должен вестись только в БД, находящихся на территории РФ;
— передача (в т.ч. трансграничная) Оператором ПДн граждан РФ, после их сбора,
может осуществляться в зарубежные БД при соблюдении следующего условия: в
БД, находящихся на территории РФ, размещены ПДн граждан РФ в равном или
большем объеме чем в зарубежной БД, с соблюдением их состава и актуальности.
1.9.4. Оператор, в случаях предусмотренных 152-ФЗ, ТК РФ, сообщает субъекту ПДн о
целях, способах и источниках получения его ПДн, а также о характере подлежащих
получению ПДн и возможных последствиях отказа субъекта ПДн дать письменное
согласие на их получение.
1.9.5. Оператор может осуществлять запись (ввод) ПДн в ИСПДН — это процедура,
связанная с кодированием ПДн в компьютерно-читаемую форму и их записью в БД
ИСПДН.
1.9.6. Существуют следующие способы записи ПДн в ИСПДН Оператора:
— ввод информации при помощи клавиатуры;
— сканирование бумажных носителей информации, позволяющее получать их
цифровое изображение;
— ввод существующих цифровых файлов;
— получение информации из других информационных систем.
1.9.7. ПДн субъектов могут храниться Оператором на материальных носителях
информации, содержащих сведения, в том числе, в форме документов -
зафиксированной на материальном носителе информации (содержащей ПДн) с
реквизитами, позволяющими ее идентифицировать и определить субъекта ПДн.
Порядок хранения таких материальных носителей определен в Перечне
материальных носителей ПДн и мест их хранения.

1.10. Порядок уничтожения ПДН
1.10.1. ПДн подлежат уничтожению в следующие сроки, определенные 152-ФЗ:
— при отзыве субъектом ПДн согласия на обработку его ПДн, если сохранение
ПДн более не требуется для целей обработки ПДн — в срок, не превышающий
30 календарных дней с даты поступления указанного отзыва. При этом
согласие на обработку ПДн при его отзыве не уничтожается, передается на
хранение в соответствии с пунктом 441 Перечня типовых управленческих
архивных документов, образующихся в процессе деятельности
государственных органов, органов местного самоуправления и организаций, с
указанием сроков их хранения, утвержденного приказом Росархива от
20.12.2019 № 236. По истечении установленного срока хранения согласие на
обработку ПДн уничтожается в порядке, предусмотренном Политикой;
— при достижении цели обработки ПДн или утраты необходимости в достижении
этой цели в срок, не превышающий 30 календарных дней с даты достижения
цели обработки ПДн;
— при истечении сроков хранения ПДн, установленных нормативными
правовыми актами РФ — в сроки, установленные локальными нормативными
актами Оператора для уничтожения архивных документов;
— при получении требования Роскомнадзора об уничтожении недостоверных или
полученных незаконным путем ПДн в срок, не превышающий 10 рабочих
дней, если иной срок не установлен в требовании;
— при выявлении неправомерной обработки ПДн в случае, если обеспечить
правомерность обработки ПДн невозможно в срок, не превышающий 10
рабочих дней с даты выявления неправомерной обработки ПДн;
при получении требования субъекта ПДн или его представителя, если субъект
ПДн является несовершеннолетним, что ПДн являются незаконно
полученными или не являются необходимыми для заявленной цели обработки
— в срок, не превышающий 7 рабочих дней со дня представления субъектом
ПДн или его представителем сведений, подтверждающих, что ПДн являются
незаконно полученными или не являются необходимыми для заявленной цели
обработки; В случае получения требования субъекта ПДн или его
представителя, если субъект ПДн является несовершеннолетним, что ПДН
являются неполными, неточными или неактуальными — в них вносятся
изменения в срок, не превышающий 7 рабочих дней со дня предоставления
субъектом ПДн или его представителем сведений, подтверждающих, что ПДН
являются неполными, неточными или неактуальными;
иные сроки, установленные действующим законодательством РФ.
1.10.2. При невозможности уничтожения ПДн в сроки, определенные 152-ФЗ для случаев,
когда невозможно обеспечить правомерность обработки ПДн, при достижении
целей обработки ПДн, а также при отзыве субъектом согласия на обработку ПДн,
если сохранение ПДн более не требуется для целей обработки ПДн, Оператор
осуществляет блокирование ПДн и уничтожает ПДн в течение 6 месяцев, если иной
срок не установлен законодательством РФ.
1.10.3. Уничтожение ПДн должно производиться под контролем комиссии, формируемой
в установленном Оператором порядке. В случае возникновения необходимости по
уничтожению ПДн в обособленных подразделениях Оператора или удаленных
местах нахождения работников Оператора лицо, ответственное за организацию
обработки ПДн, путем издания соответствующего распоряжения формирует на
временной или постоянной основе локальную комиссию в составе не менее двух
человек по уничтожению ПДн.
1.10.4. Факт уничтожения ПДн, обработка которых осуществляется Оператором без
использования средств автоматизации, подтверждается Актом об уничтожении
ПДн
Факт уничтожения ПДн, обработка которых осуществляется Оператором с
использованием средств автоматизации, подтверждается Актом об уничтожении
ПДн и выгрузкой из журнала регистрации событий в ИСПДн.
Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДН
подлежат хранению в течение 3 лет с момента уничтожения ПДн.
В случае составления Акта об уничтожении ПДн в электронной форме, такой акт
подписывается электронной подписью в соответствии с требованиями
законодательства Российской Федерации об электронной подписи, локальными
нормативными актами Оператора, регламентирующими использование
электронных подписей в организации.
1.10.5. Уничтожение ПДн должно производиться способом, исключающим возможность
восстановления этих ПДн. Если ПДн невозможно уничтожить без такого
повреждения их материального носителя, которое будет препятствовать его
дальнейшему использованию по назначению, то уничтожению подлежат и ПДн, и
их материальный носитель.
1.10.6. Уничтожение ПДн в ИСПДн, на АРМ и на отчуждаемых машинных носителях
информации осуществляется с помощью штатных средств, а также, при
необходимости, с применением специализированных программных или
аппаратных средств.
1.10.7. Уничтожение ПДн на бумажных носителях информации осуществляется в
установленном Оператором порядке после передачи в архив и (или) истечении
сроков хранения.
Как правило, уничтожение ПДн на бумажном носителе производится путем
измельчения, сжигания или преобразования в целлюлозную массу указанного
бумажного носителя таким образом, чтобы гарантировать невозможность их
восстановления.
1.10.8. Уничтожение ПДн третьим лицом, обрабатывающим ПДн по поручению
Оператора, осуществляется в порядке, установленном договором между
Оператором и третьим лицом, а также с учетом требований раздела 4 Политики.
Как правило, третьему лицу направляется уведомление о необходимости удаления
ПДн субъекта ПДн с предоставлением Оператору документов, подтверждающих
факт удаления ПДн, если договором с третьим лицом не предусмотрено иное.
1.10.9. Для уничтожения (стирания) ПДн на машинных носителях информации
применяются средства и механизмы средств защиты информации
информационных систем, обеспечивающие невозможность восстановления и
повторного использования ПДн.
Дополнительные требования к порядку уничтожения ПДн на материальных
носителях могут быть установлены локальными нормативными актами Оператора,
в том числе в Перечне материальных носителей ПДн и мест их хранения у
Оператора.

2.1. Статус лица, ответственного за организацию обработки ПДн
2.1.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, которое
при выполнении своих функций и обязанностей руководствуется настоящей
Политикой, приказом о назначении лица, ответственного за организацию
обработки ПДн, иными локальными нормативными актами Оператора в сфере
организации обработки и обеспечения безопасности ПДн, а также требованиями
действующего законодательства РФ о ПДн.
2.1.2. Лицо, ответственное за организацию обработки ПДн получает указания
непосредственно от исполнительного органа (генерального директора или иного
единоличного исполнительного органа) Оператора и подотчетно ему.
Ответственным за организацию по обработке ПДн может являться
исполнительный орган (генеральный директор или иной единоличный
исполнительный орган) Оператора, либо иное лицо, назначенное Оператором.
2.1.3. Исполнительным органом (генеральным директором или иным единоличным
исполнительным органом) Оператора, по предложению лица, ответственного за
организацию обработки ПДн, может формироваться рабочая группа (далее -
Комиссия по вопросам обработки и защиты ПДн), состоящая из работников
Оператора. В состав Комиссии по вопросам обработки и защиты ПДн могут
входить представители структурных подразделений, в которых обрабатываются
ПДн. Руководство Комиссией по вопросам обработки и защиты ПДН
осуществляется лицом, ответственным за организацию обработки ПДН.
2.1.4. Решения об инициации Оператором новых процессов обработки ПДн или о
внесении изменений в существующие процессы обработки ПДн согласовываются
с лицом, ответственным за организацию обработки ПДн.

2.2. Функции и обязанности лица, ответственного за организацию обработки ПДн
2.2.1. Лицо, ответственное за организацию обработки ПДн, выполняет или обеспечивает
выполнение следующих функций и обязанностей:
- осуществление внутреннего контроля над соблюдением Оператором и его
работниками законодательства РФ о ПДН, в том числе требований к защите ПДн;
- подготовку перечня структурных подразделений и должностных лиц Оператора,
допущенных к обработке ПДн, в том числе в ИСПДн, для выполнения служебных
(трудовых) обязанностей;
- доведение до сведения работников Оператора, включая непосредственно
осуществляющих обработку ПДн, положений законодательства РФ о ПДн, в том
числе требований к защите ПДн, документов, определяющих политику Оператора
в отношении обработки ПДн, локальных нормативных актов Оператора по
вопросам обработки ПДн и требований к защите ПДн, и (или) обучение указанных
работников;
- принятие и обработку обращений и запросов субъектов ПДн или их представителей
и (или) осуществление контроля за приемом и обработкой таких обращений и
запросов. Регистрация обращений и запросов субъектов ПДн, а также их
рассмотрение осуществляется в соответствии с установленным у Оператора
порядком рассмотрения запросов субъектов ПДн, контрольных и надзорных
органов по вопросам обработки ПДн;
- оценку соответствия содержания и объема обрабатываемых Оператором ПДн
целям обработки ПДн;
- разработку документов, определяющих политику Оператора в отношении
обработки ПДн, локальных нормативных актов Оператора по вопросам обработки
ПДн, а также локальных нормативных актов, устанавливающих процедуры,
направленные на предотвращение и выявление нарушений законодательства РФ о
ПДн, а также устранение последствий таких нарушений;
- формирование на временной или постоянной основе локальных комиссий по
уничтожению ПДн в обособленных подразделениях Оператора или удаленных
местах нахождения работников Оператора;
- проведение мероприятий по внутреннему контролю и (или) аудиту соответствия
обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите ПДн, Политикой, локальным
нормативным актам Оператора;
- участие в оценке вреда, который может быть причинен субъектам ПДн в случае
нарушения требований 152-ФЗ, соотношение указанного вреда и принимаемых
Оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных 152-ФЗ;
- установление правил доступа работников Оператора к ПДн, обрабатываемым в
ИСПДН;
- совместно с представителями заинтересованных структурных подразделений
Оператора осуществление взаимодействия от имени Оператора с Роскомнадзором
и иными уполномоченными органами в случаях, предусмотренных
законодательством РФ о ПДн;
- своевременное формирование и направление в Роскомнадзор уведомления о
намерении Оператора осуществлять обработку (об обработке Оператором) ПДн;
- своевременное формирование и направление в Роскомнадзор уведомления об
изменении сведений, содержащихся в уведомлении о намерении осуществлять
обработку ПДн. Формирование и направление в Роскомнадзор информационного
письма об изменениях в обработке производится не позднее 15-го числа месяца,
следующего за месяцем, в котором возникли такие изменения;
- своевременное формирование и направление в Роскомнадзор уведомлений о
намерении осуществлять трансграничную передачу ПДн, уведомлений о фактах
неправомерной или случайной передачи (предоставление, распространение,
доступ) ПДн, повлекшей нарушение прав субъектов ПДн и иных уведомлений,
предусмотренных действующим законодательством РФ;
- осуществление регулярного мониторинга фактов включения Оператора в Единый
реестр контрольных (надзорных) мероприятий, Единый реестр проверок
(https://proverki.gov.ru/portal) на предмет соблюдения обязательных требований в
сфере обработки ПДн
- организация работы по получению согласия субъектов ПДн на обработку их ПДн в
случаях, предусмотренных законодательством РФ о ПДн
- ведение учета процессов обработки ПДн Оператором и перечня ИСПДн (включая
БД с ПДн), а также поддержание в актуальном состоянии описательной
документации для них:
- ведение учета мест, предназначенных для хранения материальных носителей ПДн,
и учета лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;
- организация режима безопасности помещений, в которых хранятся материальные
носители ПДН:
- совместно с представителями заинтересованных структурных подразделений
Оператора осуществление экспертизы локальных нормативных актов Оператора и
договоров Оператора с третьими лицами на предмет их соответствия требованиям
законодательством РФ о ПДн
- своевременное формирование и направление в Роскомнадзор уведомления о
прекращении обработки ПДн в течение 10 рабочих дней с даты прекращения
обработки ПДН.

2.3. Права лица, ответственного за организацию обработки ПДН
2.3.1. Лицо, ответственное за организацию обработки ПДн, обладает следующими
правами:
- требовать от работников Оператора выполнения требований локальных
нормативных актов Оператора по вопросам обработки и защиты ПДн, а также
законодательства РФ о ПДН;
- запрашивать и получать от работников Оператора информацию для
исполнения своих прав и обязанностей, приведенных в Политике;
- вносить предложения Оператору о внесении изменений в процессы обработки
ПДн и технологические процессы, связанные с обработкой ПДн в ИСПДн, если
это обусловлено необходимостью обеспечения соответствия законодательству
РФ о ПДн
- вносить предложения Оператору о поощрении или наложении взысканий на
работников Оператора в связи с исполнением ими обязанностей, связанных с
обработкой и защитой ПДн;
- давать работникам Оператора и иным лицам, входящим в Комиссию по
вопросам обработки и защиты ПДн, поручения и указания по соблюдению
требований об обработке и защите ПДн, определяемых законодательством
Российской Федерации, Политикой и требованиями локальных нормативных
актов Оператора по защите ПДн
- правами, предусмотренными приказом о назначении лица, ответственного
организацию обработки ПДн, иными локальными нормативными актами
Оператора в сфере организации обработки и обеспечения безопасности ПДн, а
также требованиями действующего законодательства РФ о ПДн.
2.4. Ответственность лица, ответственного за организацию обработки ПДн
2.4.1. Лицо, ответственное за организацию обработки ПДн, несет следующую
ответственность:
- за ненадлежащее исполнение или неисполнение своих обязанностей,
предусмотренных Политикой, приказом о назначении лица, ответственного за
организацию обработки ПДн и (или) иными локальными нормативными
актами Оператора, устанавливающими порядок работы с ПНд, в пределах,
определенных действующим трудовым законодательством РФ;
- за правонарушения, совершенные в процессе осуществления своей
деятельности в пределах, определенных действующим административным,
уголовным и гражданским законодательством РФ;
- за причинение материального ущерба и морального вреда в пределах,
определенных действующим трудовым и гражданским законодательством РФ.

3.1. Получение ПДн
3.1.1. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн,
при условии предоставления Оператору подтверждения наличия оснований,
указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи
11 152-ФЗ.

3.2. Передача ПДн
3.2.1. Передача является способом обработки ПДн и должна основываться на принципах,
установленных законодательством РФ в области ПДн, а также на положениях
локальных нормативных актов Оператора.
3.2.2. ПДн субъекта могут быть предоставлены родственникам или членам его семьи
только с письменного разрешения самого субъекта, за исключением случаев, когда
передача ПДн субъекта без его согласия допускается действующим
законодательством РФ либо договором, регламентирующим правоотношения
Оператора с субъектом ПДн.
3.2.3. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их
компетенции и предоставленных полномочий даются в письменной форме, на
бланке организации и в том объеме, который позволяет предоставлять
минимальный необходимый объем ПДн о субъектах ПДн.
3.2.4. Работники Оператора, передающие ПДн субъектов третьим лицам, могут
передавать их с составлением двустороннего акта приема-передачи документов
(иных материальных носителей информации), содержащих ПДн субъектов, либо
иным способом, позволяющим подтвердить факт и дату передачи ПДн. При
использовании любого из указанных способов должны выполняться следующие
условия:
- уведомление получающего ПДн лица об его обязанности использовать
полученные ПДн лишь в целях, для которых они сообщены;
- предупреждение получающего ПДн лица об его ответственности за
противоправную обработку ПДн в соответствии с действующим
законодательством РФ.
3.2.5. Передача документов (иных материальных носителей информации), содержащих
ПДн субъектов, осуществляется при наличии у лица, уполномоченного на их
получение, одного из наборов документов:
- первый набор документов:
- действующий договор с запрашивающим ПДн лицом, стороной которого либо
выгодоприобретателем или поручителем, по которому является Оператор:
- действующее соглашение Оператора с запрашивающим ПДн лицом,
регулирующее порядок организации обработки и обеспечения безопасности
ПДн, либо наличие в действующем договоре Оператора с запрашивающим
ПДн лицом пунктов о соблюдении конфиденциальности ПДн субъекта (ов);
- второй набор документов:
- письмо-запрос Оператору от запрашивающего ПДн лица, которое должно
включать в себя указание на правовые основания получения доступа к
запрашиваемой информации, содержащей ПДн субъекта, ее перечень, цель
использования, фамилию, имя, отчество и должность лица, которому
поручается получить данную информацию;
- действующее соглашение Оператора с запрашивающим ПДн лицом,
регулирующее порядок организации обработки и обеспечения безопасности
ПДн, наличие которого является факультативным, так как у Оператора могут
отсутствовать как юридические основания для заключения такого соглашения,
так и фактическая возможность заключить его.
3.2.6. Полномочия заключать от имени Оператора соглашения с третьими лицами,
регулирующие порядок организации обработки и обеспечения безопасности ПДн,
определяются как Уставом Оператора, так и надлежащим образом оформленными
и выданными Оператором доверенностями.
3.2.7. Для целей проведения обязательного аудита деятельности Оператора в
соответствии со статьей 5 Федерального закона от 30 декабря 2008 г. № 307-ФЗ «Об
аудиторской деятельности» договор и иные связанные с ним документы, в том
числе содержащие ПДн, могут быть переданы аудиторской организации, с которой
у Оператора заключен соответствующий договор. Перечень передаваемых ПДн при
этом будет ограничен требованиями исполнения законодательства РФ со стороны
аудиторской организации.

3.3. Трансграничная передача ПДН
3.3.1. Оператор имеет право осуществлять трансграничную передачу ПДн.
3.3.2. Приоритетно трансграничная передача ПДн осуществляется в страны,
обеспечивающие адекватный уровень защиты Пдн. Перечень иностранных
государств, обеспечивающих адекватную защиту прав субъектов ПДн,
утверждается Роскомнадзором.
3.3.3. Передача в страны, не обеспечивающие адекватный уровень защиты ПДн,
осуществляется в случае, если это необходимо бизнес-процессом Оператора и
иные страны не подходят для его организации.
3.3.4. До осуществления трансграничной передачи ПДн Оператор подает уведомление о трансграничной передаче ПДн в Роскомнадзор. Уведомление подается по форме и
в соответствии с действующими нормативными правовыми актами (онлайнформой Роскомнадзора).
3.3.5. Оператор самостоятельно или с привлечением третьих лиц осуществляет оценку
соблюдения органами власти иностранных государств, иностранными
физическими лицами, иностранными юридическими лицами, которым ПДн
передаются трансгранично, а также оценку соблюдения ими конфиденциальности
ПДн и обеспечения безопасности ПДн при их обработке. Оператор вправе
поручить составить данную оценку третьему лицу, которому ПДн передаются
трансгранично. Оценка соблюдения органами власти иностранных государств,
иностранными физическими лицами, иностранными юридическими лицами,
которым ПДн передаются трансгранично, а также оценка соблюдения ими
конфиденциальности ПДн и обеспечения безопасности ПДн оформляется в форме
акта и хранится у Оператора. В целях составления акта, до подачи уведомления в
Роскомнадзор, Оператор запрашивает у органов власти иностранного государства,
иностранных физических лиц, иностранных юридических лиц, которым
планируется трансграничная передача ПДн следующие сведения (или получает
иным образом):
- сведения о принимаемых органами власти иностранного государства,
иностранными физическими лицами, иностранными юридическими лицами,
которым планируется трансграничная передача ПДн, мерах по защите
передаваемых ПДн и об условиях прекращения их обработки;
- информацию о правовом регулировании в области ПДн иностранного
государства, под юрисдикцией которого находятся органы власти
иностранного государства, иностранные физические лица, иностранные
юридические лица, которым планируется трансграничная передача ПДн (в
случае, если предполагается осуществление трансграничной передачи ПДН
органам власти иностранного государства, иностранным физическим лицам,
иностранным юридическим лицам, находящимся под юрисдикцией
иностранного государства, не являющегося стороной Конвенции Совета
И Европы о защите физических лиц при автоматизированной обработке ПДн
не включенного в перечень иностранных государств, обеспечивающих
адекватную защиту прав субъектов ПДн);
- сведения об органах власти иностранного государства, иностранных
физических лицах, иностранных юридических лицах, которым планируется
трансграничная передача ПДн (фамилия, имя и отчество, а также номера
контактных телефонов, почтовые адреса и адреса электронной почты).
3.3.6. Взаимодействие с Роскомнадзором по вопросам трансграничной передачи
определяется действующими нормативными правовыми актами.
3.3.7. Запрет на трансграничную передачу:
Роскомнадзор вправе запретить трансграничную передачу ПДн, если это
необходимо в целях защиты интересов Российской Федерации.
Если дается запрет на трансграничную передачу, то Оператор обеспечивает
уничтожение иностранным лицом ранее переданных ему ПДн в сроки,
установленные нормативными правовыми актами или запретом Роскомнадзора.
Факт уничтожения иностранным лицом ранее переданных ему ПДН
подтверждается актом об уничтожении, разработанным иностранным лицом.
Иностранное лицо направляет акт об уничтожении Оператору в течение 3 дней с
момента уничтожения ранее переданных ему ПДн. Акт об уничтожении,
разработанный иностранным лицом и полученный Оператором, направляется
Оператором в Роскомнадзор.

3.4. Соглашение о поручении обработки ПДН
3.4.1. В соответствии с ч.3 ст.6 152-ФЗ Оператор вправе поручить обработку ПДн
другому лицу (обработчику, контрагенту) с согласия субъекта ПДн, если иное не
предусмотрено федеральным законом, на основании заключаемого с этим лицом
договора.
3.4.2. Поручение обработки ПДн может быть формализовано как в виде отдельного
документа между Оператором и иным лицом, так и в виде составной части
заключаемого или заключенного договора между указанными Сторонами.
3.4.3. Поручение обработки ПДн должно содержать условия, предусмотренные ч. 3 ст. 6
152-ФЗ.
3.4.4. В поручении обработки ПДн устанавливается, что лицо, осуществляющее
обработку ПДн по поручению Оператора, обязано уведомлять Оператора о случаях
установления факта неправомерной или случайной передачи (предоставления,
распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
3.4.5. Состав и содержание информации о факте неправомерной или случайной передачи
(предоставления, распространения, доступа) ПДн в уведомлениях могут быть
ограничены с учетом требований применимого законодательства, а также для
соблюдения прав и законных интересов субъектов ПДн, стороны, которая выявила
факт неправомерной или случайной передачи (предоставления, распространения,
доступа) ПДн, и третьих лиц.

3.5. Соглашение о защите ПДН
3.5.1. В соответствии с ч.1 ст.6, ст. 7, ч.4 ст. 18, ч.1 ст. 19 152-ФЗ Оператор обязан
проявлять должную осмотрительность при передаче ПДн без необходимости
поручения их обработки иному лицу (контрагенту).
3.5.2. Проявление должной осмотрительности может быть формализовано как в виде
отдельного документа между Оператором и иным лицом, так и в виде составной
части заключаемого или заключенного договора между указанными Сторонами.
3.5.3. Необходимость в проявлении должной осмотрительности возникает в том случае, если:
- передача ПДн не является самостоятельным предметом правоотношений между Сторонами;
- обработка ПДн ограничена только передачей (предоставлением) ПДн между Сторонами.
3.5.4. Проявление должной осмотрительности должно фиксировать следующие
взаимные обязательства между Сторонами:
- передача ПДн субъектов ведется на законном основании (ч.1 ст. 6 152-ФЗ);
- субъекты ПДн надлежащим образом уведомлены о передаче их ПДн (ч.4 ст. 18
152-Ф3);
- обеспечивается конфиденциальность передаваемых между Сторонами ПДн
(ст. 7 152-ФЗ);
- обеспечивается безопасность передаваемых между Сторонами ПДн при их
обработке (ст. 19 152-ФЗ).

4.1. Для обеспечения конфиденциальности и безопасности ПДн субъектов ПДн, защиты
ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения ПДн, а также от
иных неправомерных действий в отношении ПДн в соответствии с 152-ФЗ
Оператором принимаются необходимые правовые, организационные и
технические меры или обеспечивается их принятие, если обработка ПДн
осуществляется лицом, действующим по поручению Оператора.
4.2. Оператором, в частности, принимаются следующие меры, направленные на
обеспечение конфиденциальности и безопасности ПДн:
- назначение лица, ответственного за организацию обработки ПДн и лица,
ответственного за обеспечение безопасности ПДн, а также определение их
функций и полномочий;
- разработка и поддержание актуальности комплекта локальных нормативных
актов, нормативных документов в отношении обработки и защиты ПДн
- периодический внутренний контроль, а также внешний аудит соответствия
обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним
нормативным правовым актам;
- проведение оценки вреда, который может быть причинен субъектам ПДн в
случае нарушения 152-ФЗ, а также соотношение указанного вреда с
принимаемыми мерами по безопасности ПДн;
- ознакомление работников Оператора, непосредственно осуществляющих
обработку ПДн, с положениями законодательства РФ и локальными
нормативными актами Оператора, иными документами в отношении
обработки и защиты ПДн, периодическое обучение вопросам обработки и
защиты ПДн
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- применение прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности ПНД
до ввода в эксплуатацию ИСПДН;
- учет работников, допущенных к обработке ПДн;
- учет материальных носителей ПДн;
- обнаружение фактов несанкционированного доступа к ПДн и принятие мер:
- восстановление ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- установление правил доступа к ПДн, обрабатываемым в ИСПДн. А также
обеспечение регистрации и учета всех действий, совершаемых с ПДн в
ИСПДН:
- контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- учет возможного вреда субъекту ПДн, объема и содержания обрабатываемых
ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн,
актуальности угроз безопасности ПДн;
- применение технических мер в соответствии с угрозами безопасности ПДн при
их обработке в ИСПДн;
- применение организационных и технических мер по обеспечению
безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения
требований к защите ПДн, исполнение которых обеспечивает установленные
Правительством Российской Федерации уровни защищенности ПДн.
4.3. Конкретный порядок обеспечения технической безопасности ПДн определяется
отдельными локальными нормативными актами Оператора.
4.4. Комплекс мероприятий и технических средств по обеспечению безопасности ПДн
формируется с учетом результатов оценки возможного вреда субъекту ПДН,
который может быть нанесен в случае нарушения безопасности его ПДн,
актуальности угроз безопасности ПДн, а также установления уровня
защищенности ПДн.

5.1. Обязанности лица, ответственного за организацию обработки ПДн, при
взаимодействии с уполномоченными органами
5.1.1. Ответственность за взаимодействие с уполномоченными органами,
осуществляющими мероприятия по контролю над выполнением Оператором
требований к обеспечению надлежащей организации обработки и обеспечению
безопасности ПДн, в том числе в ИСПДн, несет лицо, ответственное за
организацию обработки ПДн.
5.1.2. Лицо, ответственное за организацию обработки ПДн, совместно с представителями
заинтересованных структурных подразделений Оператора, предоставляет
уполномоченному органу запрашиваемую им при проведении проверок
информацию.
5.1.3. При наличии соответствующего журнала лицо, ответственное за организацию
обработки ПДн, регистрирует сведения о проведении проверки уполномоченными
органами в журнале учета проверок Оператора, проводимых органами
государственного контроля (надзора), органами муниципального контроля.
5.1.4. Лицо, ответственное за организацию обработки ПДн, обязано организовать
текущее хранение нижеуказанных документов в течение пяти лет, а по истечении
указанного срока обеспечить передачу следующих документов на архивное
хранение:
- запросы и требования уполномоченных органов;
- ответы Оператора на запросы и требования уполномоченных органов;
- иные документы и копии иных документов, непосредственно связанные с
выполнением Оператором своих обязанностей по рассмотрению запросов и
требований уполномоченных органов.

5.2. Взаимодействие с органами Роскомнадзора, ФСТЭК России, ФСБ России и иными уполномоченными органами
5.2.1. При получении Оператором запроса от Роскомнадзора, ФСТЭК России или ФСБ
России (далее уполномоченные органы), касающегося исполнения Оператором
законодательства о ПДн, лицо, ответственное за организацию обработки ПДн:
- проверяет законность и обоснованность такого запроса:
- информирует исполнительный орган (генерального директора или иной
единоличный исполнительный органа) Оператора, после чего предоставляет
запрашиваемую информацию в соответствующий уполномоченный орган.
5.2.2. При получении иных запросов, выходящих за рамки полномочий уполномоченных
органов лицо, ответственное за организацию обработки ПДн, должно подготовить
и согласовать с представителями заинтересованных структурных подразделений
Оператора письменный ответ о незаконности предъявляемых требований
(запроса).
5.2.3. При включении Оператора в план проверок одного из уполномоченных органов,
лицо, ответственное за организацию обработки ПДн, незамедлительно уведомляет
о предстоящей плановой проверке исполнительного органа (генерального
Директора или иного единоличного исполнительного органа) Оператора, всех лиц,
допущенных к обработке ПДн Оператором, проводит внутреннюю проверку
защищенности ПДн. В процессе проведения проверки ФСТЭК России или ФСБ
России лицо, ответственное за организацию обработки ПДн:
- предоставляет должностным лицам уполномоченных органов информацию,
необходимую для реализации проверок;
- регистрирует сведения о проведении проверки в журнале учета проверок
Оператора, проводимых органами государственного контроля (надзора), органами
муниципального контроля (при наличии).
5.2.4. В случае незаконных или выходящих за рамки должностных обязанностей
действий должностных лиц уполномоченных органов при проведении проверки
лицо, ответственное за организацию обработки ПДн, совместно с представителями
заинтересованных структурных подразделений Оператора, готовит предложение
об обжаловании действий (бездействий) и решения должностных лиц
уполномоченных органов в порядке, установленным действующим
законодательством РФ.
5.2.5. Взаимодействие с иными уполномоченными органами организуется в порядке,
установленном действующим законодательством РФ.

6.1. Работники, виновные в нарушении норм, регулирующих обработку ПДн, могут
нести административную ответственность в соответствии со ст.ст. 13.11, 13.12,
13.14, а также иными статьями КоАП РФ.
6.2. Предоставление ПДн посторонним лицам, в том числе, работникам Оператора, не
имеющим права их обрабатывать, распространение ПДн, утрата материальных
носителей информации, содержащих ПДн субъекта, а также иные нарушения
обязанностей по обработке ПДн, установленных Политикой и другими
локальными нормативными актами Оператора, влечет наложение на работника,
имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или
увольнения.
6.3. Работник, имеющий доступ к ПДн субъектов и совершивший вышеуказанный
дисциплинарный проступок, несет полную материальную ответственность в
случае причинения его действиями ущерба Оператору (п.7 ст.243 ТК РФ).
6.4. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или
передаче ПДн, а также осуществившие неправомерный доступ к охраняемой
законом компьютерной информации, несут уголовную ответственность в
соответствии со ст.ст. 137, 272, а также другими статьями УК РФ.

Реестр процессов обработки персональных данных ООО «ФОРМА» (Ссылка)