Положение о защите в ООО «АВС» персональных данных всех категорий субъектов персональных данных
Приложение № 7 к Приказу
Об утверждении документов
в сфере обработки персональных данных
в ООО «АВС» № 10 от «15» июня 2026 г.
ПОЛОЖЕНИЕ
о защите в ООО «АВС» персональных данных всех категорий субъектов персональных данных
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение о защите в ООО «АВС» персональных данных всех категорий субъектов персональных данных (далее – Положение) устанавливает порядок приёма, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учёта документов, содержащих сведения, отнесенные к персональным данным, обработку которых осуществляет ООО «АВС» (далее – Оператор), с использованием средств автоматизации или без использования таких средств.
1.2. Основные понятия:
1) персональный данные – любая информация, относящаяся к определенному и определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
3) распространение персональных данных – действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
4) использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих их права и свободы;
5) блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
6) уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
7) обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
8) информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
9) конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
10) общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
11) Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
12) Внутренний доступ — предоставление персональных данных отдельным работникам Оператора.
13) Внешний доступ — передача персональных данных представителям других организаций, органов и лиц.
14) Потребители (пользователи) персональных данных – третьи лица, которым при мотивированном запросе, включающем в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации, Оператором предоставляется информация о персональных данных. К потребителям персональных данных могут быть отнесены Социальный фонд России, Федеральный фонд обязательного медицинского страхования, налоговые органы, органы статистики, военные комиссариаты, органы прокуратуры, органы безопасности, иные правоохранительнные органы, государственные инспекции труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, органы местного самоуправления, уполномоченные запрашивать информацию о субъектах персональных данных в соответствии с компетенцией, предусмотренной законодательством Российской Федерации, и иные лица, уполномоченные в соответствии с законодательством запрашивать информацию о персональных данных.
1.3. Настоящее Положение и изменения к нему утверждаются генеральным директором ООО «АВС» (либо иным уполномоченным лицом) и вводятся в действие приказом по ООО «АВС». Все работники Оператора должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
- КАТЕГОРИИ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Категории и перечень персональных данных, обрабатываемых Оператором, указан в Политике Оператора в отношении обработки персональных данных, размещенной в том числе и на сайте Оператора по адресу: https://amsi.group/
2.2. Документы и сведения, указанные в п.2.1. настоящего Положения, являются конфиденциальными. Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность данных документов и сведений, за исключением случаев: обезличивания персональных данных, в отношении общедоступных персональных данных.
- ПРИНЦИПЫ ПОЛУЧЕНИЯ, ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор получает информацию о персональных данных из документов и сведений, которые субъект персональных данных предоставляет в соответствии с требованиями законодательства Российской Федерации, а также в иных случаях и способами, предусмотренными законодательством.
- Субъект персональных данных является собственником своих персональных данных и, если иное не предусмотрено законодательством, самостоятельно решает вопрос передачи своих персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, за исключением случаев, предусмотренных законодательством. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
- Не допускается получение и обработка персональных данных, либо не требуется согласие субъекта на обработку его персональных данных только в случаях, предусмотренных законодательством.
- Обработка персональных данных должна осуществляться на основе принципов:
- законность целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
3.5. Держателем персональных данных является Оператор.
3.6. Право доступа к персональным данным имеют должностные лица, указанные в приложении к настоящему Положению.
3.7. В целях информационного обеспечения деятельности структурных подразделений и работников Оператора внутри организационной структуры Оператора могут создаваться источники персональных данных (в том числе справочники, адресные книги и т.д.), в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, адрес и иные персональные данные, предоставленные субъектом персональных данных.
3.8. При обработке персональных данных Оператор вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
3.9. Получение, хранение, комбинирование, передача или любое другое использование персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе (работе), обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора.
- ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
4.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе (работе), обеспечения личной безопасности субъектов персональных данных, реализации (приобретения) Оператором товаров, работ, услуг, сервисов, контроля количества и качества выполняемой работы, обеспечения сохранности имущества и в иных целях, предусмотренных законодательством и локальными нормативными актами Оператора.
4.1.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами, заключенными с субъектом персональных данных договорами (соглашениями), согласиями на обработку персональных данных.
4.1.3. Оператор имеет права получать и обрабатывать персональные данные специальные категории персональных данных субъекта персональных данных только с его письменного согласия.
4.1.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
4.1.5. При принятии решений, затрагивающих права и законные интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки, за исключением случаев, предусмотренных законодательством.
4.1.6. Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые изменения, уничтожить или блокировать доступ (на период проверки) к соответствующим персональным данным с момента предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В случае подтверждения факта недостоверности персональных данных Оператор на основании соответствующих документов обязан уточнить персональные данные и снять их блокирование. В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающих трёх рабочих дней с даты такого выявления, обязан прекратить неправомерную обработку персональных данных. В случае невозможности прекратить неправомерную обработку персональных данных Оператор в срок, не превышающий десять рабочих дней с даты выявления неправомерности обработки персональных данных, обязан уничтожить персональные данные. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные были переданы.
4.1.8. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном законодательством.
4.1.9. Субъекты персональных данных (их представители) должны быть ознакомлены в установленном порядке с документами Оператора, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.2. При передаче персональных данных Оператор должен соблюдать следующие требования:
4.2.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных законодательством;
4.2.2. Не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных;
4.2.3. Предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными в случаях и порядке, установленных законодательством;
4.2.4. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
4.2.5. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом персональных данных трудовой функции и в иных случаях, предусмотренных законодательством;
4.3.3. Субъект персональных данных обязан:
4.3.1. Передавать Оператору (его представителю) достоверные персональные данные.
4.3.2. Своевременно, в срок, не превышающий 5 рабочих дней, сообщать Оператору об изменении своих персональных данных.
4.4. Субъект персональных данных имеет право:
4.4.1. На полную информацию о своих персональных данных и обработке этих данных.
4.4.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством.
4.4.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, установленных законодательством. При отказе Оператора исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.
4.4.4. Требовать об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Внутренний доступ к персональным данным имеют работники структурных подразделений Оператора, указанные в Приложении 1 к настоящему Положению, и которым эти данные необходимы для выполнения должностных обязанностей.
Документы, содержащие персональные данные, хранятся у Оператора в течение сроков, установленных законодательством.
5.2. Предоставление доступа третьим лицам к персональным данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, а также в иных случаях, установленных законодательством.
5.3. Работодатель обязан сообщать персональные данные работника по надлежаще оформленным запросам компетентных органов и в иных, установленных законодательством случаях.
5.4. Передача внешнему потребителю.
Передача персональных данных внешнему потребителю может допускаться в минимальных объёмах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
При передаче персональных данных потребителям в коммерческих целях Оператор не должен передавать эти данные без письменного согласия субъекта персональных данных.
Ответы на правомерные письменные запросы других лиц, касающиеся персональных данных, даются, если иное не установлено законодательством, с разрешения субъекта персональных данных и только в письменной форме и в том объеме, который позволяет не разглашать излишний объём персональных сведений.
Сведения о субъекте персональных данных могут быть предоставлены третьему лицу только в установленных законодательствлм случаях при наличии письменного запроса на бланке Оператора с грифом конфиденциальности и с приложением копии согласия на это субъекта персональных данных.
5.5. Передача внутреннему потребителю.
Оператор вправе разрешать доступ к персональным данным только специально уполномоченным должностным лицам Оператора.
Потребители персональных данных должны подписать Обязательство о неразглашении персональных данных.
5.6. Родственники и члены семей.
Персональные данные могут быть предоставлены родственникам или членам семьи субъекта персональных данных только с его письменного разрешения, если иное не предусмотрено действующим законодательством Российской Федерации.
- БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обеспечение безопасности персональных данных при их обработке Оператором достигается применением в том числе следующих мер:
6.1.1. Назначение ответственного за организацию обработки персональных.
6.1.2. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
6.1.3. Издание Оператором внутренних локальных актов по вопросам обработки персональных данных.
6.1.4. Определение перечней совокупности персональных данных, объединенных целями обработки персональных данных, используемых Оператором.
6.1.5. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными нормативными иными актами Оператора по вопросам обработки персональных данных, и (или) обучение указанных работников.
6.1.6. Обеспечение учета и хранения материальных носителей персональных данных в условиях, обеспечивающих сохранность и предотвращение несанкционированного доступа к ним.
6.1.7. Реализация разрешительной системы доступа пользователей ресурсов персональных данных к таким ресурсам, программно-аппаратным средствам обработки и защиты информации.
6.1.8. Регистрация и учет действий пользователей ресурсов персональных данных в информационных системах персональных данных Оператора.
6.1.9. Применение средств разграничения и контроля доступа к информационным системам персональных данных Оператора, коммуникационным портам, устройствам ввода-вывода информации, машинным носителям информации.
6.1.10. Реализация парольной защиты при осуществлении доступа пользователей ресурсов персональных данных к информационным системам персональных данных Оператора.
6.1.11. Реализация многофакторной аутентификации при логическом доступе пользователей ресурсов персональных данных к информационным системам персональных данных Оператора.
6.1.12. Применение средств восстановления системы защиты персональных данных.
6.1.13. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
6.1.14. Применение средств межсетевого экранирования.
6.1.15. Организация защиты информационных систем персональных данных Оператора от воздействия вредоносного кода.
6.1.16. Применение средств криптографической защиты информации для обеспечения безопасности персональных данных при их передаче по открытым каналам связи.
6.1.17. Применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации, в том числе средств гарантированного уничтожения (стирания) информации, содержащей персональные данные, или приведения носителей персональных данных в состояние, в котором чтение и (или) восстановление содержащихся в них персональных данных невозможно.
6.1.18. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, указанных в локальных нормативных актах Оператора по обеспечению информационной безопасности, направленных на предотвращение несанкционированного доступа к персональным данным.
6.1.19. Резервное копирование информации, отнесенной к персональным данным.
6.1.20. Обеспечение в информационных системах персональных данных Оператора восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним либо ошибочных действий пользователей ресурсов персональных данных.
6.1.21. Обучение работников Оператора, использующих средства защиты информации, применяемые в информационных системах персональных данных Оператора, правилам работы с ними.
6.1.22. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных Оператора.
6.1.23. Осуществление внутреннего контроля за соответствием принятых мер по защите персональных данных требованиям законодательства Российской Федерации, локальных нормативных актов Оператора по вопросам обработки персональных данных.
6.1.24. Обеспечение пропускного и внутриобъектового режимов на объектах Оператора, включая размещение технических средств обработки персональных данных в пределах границ охраняемой территории и объектов.
- ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА
Каждый работник Оператора, получающий для исполнения служебных обязанностей документ или сведения, содержащие персональные данные, несёт единоличную ответственность за сохранность носителя и конфиденциальность информации.
Нарушение установленного законодательством Российской Федерации порядка сбора, хранения, использования или распространения персональных данных влечёт дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.