1. Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных ООО «ИНСАП» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных, перечень обрабатываемых персональных данных, функции ООО «ИНСАП» при обработке персональных данных, права и обязанности субъектов персональных данных, порядок запроса сведений субъектом персональных данных, а также реализуемые в ООО «ИНСАП» требования к обработке и защите персональных данных.
1.2. ООО «ИНСАП», являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами.
1.3. Настоящая Политика разработана в соответствии со следующими нормативными документами:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
— Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. заместителем директора ФСТЭК России 15 февраля 2008 г.;
— Внутренние нормативные документы ООО «ИНСАП», регламентирующие обработку и обеспечение информационной безопасности персональных данных.
1.4. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
1.5. Термины и определения, используемые в настоящей Политике:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных.
Информационная система персональных данных (далее ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных – обязательное для выполнения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, и их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – ООО «ИНСАП» (далее – Оператор), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (далее ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие ПДн данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Ответственный за организацию обработки персональных данных – должностное лицо Оператора, ответственное за организацию обработки ПДн у Оператора.
Субъект персональных данных (далее субъект ПДн) – физическое лицо, определяемое или определенное персональными данными.
Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДН и (или) в результате которых уничтожаются материальных носители ПДн.
Уровень защищенности персональных данных − комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
2. Принципы, цели, способы и условия обработки персональных данных
2.1. Обработка ПДн субъектов ПДн осуществляется Оператором в следующих целях:
— продвижения товаров, работ, услуг Оператора и/или третьих лиц на рынке, путем осуществления прямых контактов с потенциальным потребителем по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, посредством использования почтовой связи;
— обеспечения выполнения требований трудового законодательства РФ и иных нормативных правовых актов в области регулирования трудовых отношений, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения производственных процессов, а также личной безопасности работников;
— обеспечения надлежащего исполнения обязательств по договорам, заключаемых Оператором;
— организации доступа, учета и регистрации посетителей офисов Оператора;
— предоставления услуг, неразрывно связанных с услугами страхования;
— выполнения иных требований, предусмотренных законодательством РФ, Уставом и организационно-распорядительными документами Оператора.
2.2. Принципы обработки ПДн:
— обработка ПДн должна осуществляться на законной и справедливой основе;
— обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;
— не допускается обработка ПДн, несовместимая с целями сбора ПДн.
— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
— допускается обработка исключительно тех ПДн, которые отвечают целям их обработки;
— содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки;
— не допускается обработка ПДн излишних по отношению к заявленным целям обработки;
— при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Неполные или неточные данные должны быть удалены или уточнены;
— хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— по достижении целей обработки или в случае утраты необходимости в достижении этих целей, ПДн должны быть уничтожены или обезличены, если иное не предусмотрено ФЗ «О персональных данных»;
— ПДн могут обрабатываться Оператором только для целей, непосредственно связанных с деятельностью Оператора, в частности, для оказания заявленных услуг и осуществления видов деятельности, указанных в Уставе Оператора.
2.3. Обработка ПДн Оператором должна осуществляться в соответствии с требованиями ФЗ «О персональных данных», настоящей Политикой и внутренними нормативными документами Оператора, регламентирующими обработку и обеспечение информационной безопасности ПДн.
2.4. Обработка ПДн производится в следующих случаях:
— обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
— обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Опертаора функций, полномочий и обязанностей;
— обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— обработка ПДн необходима для предоставления государственной или муниципальной услуги;
— обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
— обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн;
— обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
— обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
— обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
— осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе;
— осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
2.5. Сбор, хранение, использование и распространение, в том числе передача третьим лицам ПДн субъекта ПДн без письменного его согласия или любого другого основания, установленного ФЗ «О персональных данных» и, в частности, разделом 2 настоящей Политики, Оператором запрещена.
2.6. Обработка ПДн Оператором может осуществляться работниками Оператора, а также третьими лицами, осуществляющими обработку ПДн по поручению Оператора. Обработка ПДн третьими лицами может осуществляться только на основании соответствующего договора с Оператором, в котором содержится поручение на обработку ПДн. В поручении должны быть определены: перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки. В поручении должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ «О персональных данных».
2.7. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
2.8. Обработка ПДн Оператором может осуществляться как с использованием, так и без использования средств автоматизации.
2.9. При сохранении ПДн на материальных носителях не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель. Во все договоры и анкеты Оператора, заключаемые с субъектами ПДн (физическими лицами, их представителями; индивидуальными предпринимателями; представителями юридических лиц и т.д.), должен быть включен пункт о согласии субъекта ПДн на обработку переданных им Оператору его ПДн с возможностью передачи третьим лицам (третьи лица должны быть конкретизированы).
2.10. В тех случаях, когда необходимо получение отдельного согласия субъекта ПДн (нет других оснований на обработку ПДн, установленных ФЗ «О персональных данных» и в частности разделом 2 настоящей Политики), должны соблюдаться следующие условия:
— субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе;
— согласие на обработку ПДн должно быть конкретным, информированным и сознательным;
— согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в письменной форме или в любой другой форме, позволяющей подтвердить факт его получения;
— в случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн должны быть проверены Оператором.
2.11. В случае выявления недостоверных ПДн или неправомерных действий Оператора с ними при обращении или по запросу субъекта ПДн, Оператор обязан осуществить блокирование ПДн.
2.12. В случае подтверждения факта неточности ПДн, Оператор на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
2.13. В случае достижения цели обработки ПДн, Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн, или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено законодательством или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными ФЗ «О персональных данных» и в частности разделом 3.1 настоящей Политики.
2.14. В случае отзыва субъектом ПДн согласия на обработку его ПДн, Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законом или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными Федеральным законом №152-ФЗ «О персональных данных» и в частности разделом 3.1 настоящей Политики. Об уничтожении ПДн Оператор обязан уведомить субъекта ПДн.
2.15. В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
3. Субъекты и состав персональных данных
3.1. Оператором осуществляется обработка ПДн следующих субъектов ПДн:
— лиц, заключивших договор с Оператором на оказание услуг по предоставлению возможности заключить договор страхования со страховой организацией (страховщиком) путем быстрого и простого поиска наиболее выгодного предложения посредством сайта https://insapp.ru;
— работников, имеющих договорные отношения с Оператором;
— родственников работников, имеющих договорные отношения с Оператором (в объеме личной карточки работника, форма № Т-2);
— соискателей на вакантные должности;
— физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Оператором;
— посетителей офисов Оператора;
— иных физических лиц, вступающих в отношения любых видов и форм с Оператором.
3.2. Оператором осуществляется обработка следующих ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— адрес;
— номера рабочих, домашних и мобильных телефонов или сведения о других способах связи;
— семейное положение;
— социальное положение;
— образование;
— профессия.
3.3. В Оператора также осуществляется обработка иных категорий ПДн:
— гражданство;
— информация об изменении ФИО;
— паспортные данные (данные иного документа, удостоверяющего личность);
— ИНН;
— место жительства (регистрации);
— дата регистрации по месту жительства;
— данные о семье;
— биографические сведения;
— сведения о трудовой деятельности;
— сведения о владении иностранными языками;
— сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
— сведения из страховых полисов медицинского страхования;
— сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
— содержание трудового договора с работником;
— копии отчетов, направляемые в органы статистики;
— сведения о заработной плате;
— сведения о социальных льготах и социальном статусе;
— специальность;
— занимаемая должность;
— сведения о номере, серии и дате выдачи трудовой книжки и записях в ней;
— сведения, указанные в приказах по личному составу и материалах к ним;
— сведения о наградах, почетных и специальных званиях, поощрениях;
— материалы по аттестации и оценке работников;
— материалы по внутренним служебным расследованиям;
— сведения о временной нетрудоспособности;
— табельный номер;
— адрес электронной почты;
— сведения о предоставленных услугах связи;
— сведения о лицевых счетах и способах оплаты услуг связи;
— сведения о соединениях посредством услуг связи;
— сведения о банковской карте;
— сведения о марке, модели транспортного средства;
— сведения о VIN - номер транспортного средства;
— сведения о государственном номере транспортного средства;
— сведения о дате выпуска транспортного средства;
— сведения о свидетельстве о регистрации транспортного средства, с приложением скан-копии/фотографии документа;
— сведения о паспорте транспортного средства;
— сведения о договоре купли-продажи транспортного средства;
— сведения об установке противоугонной системы;
— сведения о страховых продуктах (КАСКО, ОСАГО и т.п.).
3.4. В Оператора не ведется сбор и обработка биометрических и специальных категорий ПДн субъекта ПДн, в том числе информации его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
4. Права и обязанности субъектов персональных данных
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
— подтверждение факта обработки ПДн Оператором;
— правовые основания и цели обработки ПДн;
— применяемые Оператором способы обработки ПДн;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
— обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки ПДн, в том числе сроки их хранения;
— порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
4.2. Сведения по запросу должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Порядок запроса указанных сведений представлен в разделе 5 настоящей Политики.
4.3. Субъект ПДн имеет право на отзыв данного ранее согласия на обработку ПДн, если иное не предусмотрено условиями договора с субъектом ПДн или другими законными основаниями, предусмотренными Федеральным законом №152-ФЗ «О персональных данных» и в частности разделом 2 настоящей Политики.
4.4. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.5. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в орган по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.
4.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, а также иные права, определенные главой 3 ФЗ «О персональных данных».
4.7. Субъект ПДн обязан предоставлять Оператора ПДн только в объеме, необходимом для достижения названных целей.
4.8. Субъект ПДн обязан предоставлять Оператору достоверные ПДн, с целью соблюдения его законных прав и интересов.
5. Обязанности оператора
5.1. Оператор при обработке ПДн обязан:
— принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты ПДн;
— разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если это является обязательным в соответствии с законодательством Российской Федерации;
— осуществлять блокирование неправомерно обрабатываемых ПДн;
— осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;
— уведомлять субъекта ПДн об устранении допущенных нарушений или уничтожения его ПДн;
— предоставлять по просьбе субъекта ПДн или его представителя информацию, касающуюся обработки его ПДн, в порядке, установленном законодательством Российской Федерации и внутренними нормативными документами Оператора.
— в целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и внутренними нормативными документами Оператора, Руководством Оператора назначается ответственный за организацию обработки ПДн Оператором.
5.2. Конфиденциальность персональных данных
5.3. Информация, относящаяся к ПДн, ставшая известной Оператору, является конфиденциальной информацией и охраняется законом.
5.4. Работники Оператора и иные лица, получившие доступ к обрабатываемым ПДн, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки ПДн.
6. Меры по обеспечению безопасности обрабатываемых персональных данных
6.1. В соответствии с частью 2 статьи 19 ФЗ «О персональных данных» для обеспечения безопасности ПДн при их обработке Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.2. Обмен ПДн при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.
6.3. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях обеспечивает сохранность носителей ПДн и средств защиты информации, а также исключает возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
6.4. При обработке ПДн в информационной системе должно быть обеспечено:
— проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
— своевременное обнаружение фактов несанкционированного доступа к ПДн;
— недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
— возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— постоянный контроль за обеспечением уровня защищенности ПДн.
6.5. Обеспечение безопасности ПДн достигается, в частности:
— определением угроз безопасности ПДн при их обработке в ИСПДн;
— применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
— учетом машинных носителей ПДн;
— учетом лиц, допущенных к работе с ПДн в информационной системе;
— контролем за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
— обнаружением фактов несанкционированного доступа к ПДн и принятием мер, направленных на защиту ПДн от несанкционированного доступа;
— восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
— контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
6.6. Работники Оператора, доступ которых к ПДн, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании утвержденного Оператором списка.
6.7. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн Оператора, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности ПДн.
7. Ответственность за нарушение норм, регулирующих обработку персональных данных
7.1. Оператор и/или работники Оператора, виновные в нарушении требований законодательства РФ о ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
8. Изменение настоящей Политики и заключительные положения
8.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента утверждения уполномоченным лицом и ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
8.2. Действующая редакция Политики хранится по адресу: https://www.insapp.ru/policy. Электронная версия Политики размещена на сайте Оператора: http://www.insapp.ru. Электронный ящик для обращений пользователей по вопросам обработки и защиты ПДн: webmaster@insapp.ru.
- 1. Общие положения
- 2. Принципы, цели, способы и условия обработки персональных данных
- 3. Субъекты и состав персональных данных
- 4. Права и обязанности субъектов персональных данных
- 5. Обязанности оператора
- 6. Конфиденциальность персональных данных
- 7. Меры по обеспечению безопасности обрабатываемых персональных данных
- 8. Ответственность за нарушение норм, регулирующих обработку персональных данных
- 9. Изменение настоящей политики и заключительные положения
- 9. Нормативные документы