1. Общие положения. Настоящее Положение регулирует внутреннюю политику И П Тетерук Елена Владимировна в части обработки и защиты персональных данных работников, клиентов и иных лиц. Целью документа является установление правил обработки ПД и мер по обеспечению их безопасности. Оператор (ИП Тетерук Елена Владимировна) обеспечивает конфиденциальность и сохранность обрабатываемых ПД в соответствии с ФЗ-152, включая ст. 18.1 (назначение ответственного, локальные акты) и ст. 19 (меры по защите ПД).
2. Основные принципы обработки ПД. При обработке персональных данных И П Тетерук Елена Владимировна руководствуется следующими принципами (в дополнение к перечисленным в ст. 5 ФЗ-152):
- Законность и обоснованность: обработка ПД осуществляется только при наличии согласия субъекта или иного законного основания. Обработка недопустима, если она ставит под угрозу права и свободы человека.
- Прозрачность: субъект информируется об условиях обработки ПД (сбор, используемые технологии, передача третьим лицам и т. д.). Предусмотрены понятные формы согласия и информированного отказа.
- Минимизация и адекватность: обрабатываются только данные, непосредственно необходимые для заявленных целей; избыточные сведения не собираются.
- Точность и актуализация: ПД должны быть точными, достаточными и актуальными; при выявлении неточности они подлежат уточнению или удалению в соответствии со ст. 21 ФЗ-152.
- Ограничение хранения: ПД хранятся в форме, позволяющей идентифицировать субъектов, только до достижения целей обработки; по достижении целей данные уничтожаются или обезличиваются.
- Защита и конфиденциальность: ПД защищаются от неправомерного доступа, уничтожения, изменения и др. с помощью правовых, организационных и технических мер.
- Ответственность: за нарушение настоящего Положения предусмотрена дисциплинарная ответственность, а также меры согласно КоАП РФ и иным нормативам. ИП несёт персональную ответственность за обработку и защиту ПД.
3. Категории обрабатываемых данных и субъектов. ИП Тетерук Елена Владимировна обрабатывает персональные данные категорий:
- Сотрудников: ФИО, контактные данные, сведения из трудовых документов, банковские реквизиты, результаты аттестаций и т. д.
- Клиентов и контрагентов: имя, контактные данные, паспортные сведения, сведения о состоянии здоровья, данные контрактов, платежные реквизиты.
- Посетителей сайта и пользователей услуг: адрес электронной почты, IP-адреса, прочие предоставленные данные.
- Субъектом ПД является любое физическое лицо, персональные данные которого обрабатываются И П Тетерук Елена Владимировна. Особые (биометрические) данные не обрабатываются.
4. Организационные и технические меры защиты ПД. Оператор принимает следующие меры:
- Организационные меры:
- Утверждены локальные нормативные акты (Настоящее Положение, Инструкции, Приказы), регламентирующие порядок обработки и защиты ПД.
- Назначен ответственный за ПД и уполномоченные (при необходимости) лица, которым выданы должностные инструкции по ПД.
- Сотрудники (при наличии), имеющие доступ к ПД, проходят регулярное обучение и инструктажи. Подписываются обязательства о неразглашении ПД.
- Ведётся реестр обработок ПД, который включает перечень целей, категорий данных, сроки и способы обработки. Регулярно проводится анализ обоснованности хранения данных по каждому реестру.
- Разработаны и внедрены процедуры управления доступом: применяются должностные инструкции, режим секретности, правила доступа к помещениям и ИТ-системам. Проводится учёт и мониторинг выдачи пропусков, ключей, электронных карт.
- Технические меры:
- Используются сертифицированные средства защиты информации (антивирусы, межсетевые экраны, СУБД с шифрованием и др.) для предотвращения несанкционированного доступа.
- Все устройства (компьютеры, носители, серверы) установлены в защищённые помещения. Серверные размещены в центральном офисе или облачных сервисах с уровнем защиты не ниже 3−4 (согласно Постановлению Правительства № 1119).
- Применяется политика сложных паролей, двухфакторная аутентификация, регулярное изменение паролей и учёт мероприятий доступа к системам.
- Настроены средства шифрования данных: локальное шифрование дисков сотрудников и базы данных клиентов, защищённые каналы связи (VPN, SSL/TLS) при передаче ПД через сети.
- Внедрены системы резервного копирования и восстановления данных. Резервные копии хранятся в зашифрованном виде и в изолированном месте.
- Ведётся журналирование действий с ПД: регистрируются все случаи создания, чтения, изменения и удаления ПД в информационных системах. Регулярно анализируются логи на предмет несанкционированной активности.
- Дополнительные меры:
- Проведение регулярных тестов на уязвимости и аудитов безопасности (в том числе внешний аудит). Отслеживание новых угроз и оперативное обновление средств защиты.
- Обеспечение защиты бумажных документов: личные дела и папки с ПД хранятся в запираемых шкафах, при транспортировке защищаются конвертами. Используется шредер для уничтожения документов, содержащих ПД.
5. Внутренний контроль и аудит. ИП Тетерук Елена Владимировна осуществляет регулярный внутренний контроль и (или) аудит соответствия обработки ПД требованиям закона, собственной Политике и локальным актам. Проверки проводятся не реже одного раза в год ответственным за ПД или комиссией, включающей представителей юридического, ИТ-отдела и службы безопасности. По результатам проверок составляются акты, планы корректирующих мероприятий, которые утверждаются руководством. О ходе выполнения планов ответственность отчитывается перед директором и при необходимости направляется отчёт в Роскомнадзор.
6. Ответственность. За нарушение Положения или допущенные нарушения при обработке ПД несут дисциплинарную, административную и (в случае виновных действий) уголовную ответственность лица в соответствии с законодательством РФ (ФЗ-152, Кодексом Р Ф об административных правонарушениях и УК РФ).
Положения настоящего документа обрабатывают принципы и меры, предусмотренные ст. 18.1 (назначение ответственных, локальные акты), ст. 19 (меры по защите) ФЗ-152, а также требованиями правительственных постановлений и приказов ФСТЭК/ФСБ. 