152 фз нарушение: Штрафы за персональные данные в 2023 году — Независимое театральное объединение "Зрительские симпатии"

Содержание

Риск нарушения требований законодательства по персональным данным из-за обработки персональных данных без согласия субъекта персональных данных в контрольно-пропускном пункте

Риски Риск нарушения требований зако…

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Угроза

из-за уязвимости

в Активе

Описание угрозы

Требования к обработке и защите персональных данных определены в ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконных актах.

Описание уязвимости

В соответствии с Статьей 9 ФЗ от 27.

07.2006 № 152-ФЗ в ряде случаев необходимо получить согласие субъекта ПДн на обработку его ПДн.

Описание типа актива

Специально оборудованное место на объекте для осуществления контроля в установленном порядке за проходом людей и проездом транспортных средств на территорию объекта.

Область действия: Вся организация

Ключевая угроза

Объекты атаки Персональные данные

Классификация

Иное: Право

..»>?

Источники угрозы

Внешний нарушитель — Низкий потенциал ^?

Внутренний нарушитель — Низкий потенциал

Каталоги

Связанные риски

Связанные защитные меры

Политика в отношении обработки и защиты персональных данных Общества с ограниченной ответственностью «РЕЛКС»

Перечень терминов и определений

В настоящем документе используются следующие термины и определения:

Автоматизированная обработка персональных данных — Обработка персональных данных с использованием компьютерных технологий.

Блокирование персональных данных — Временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для изменения персональных данных).

Система персональных данных — Содержащиеся в базах данных персональные данные и информационные технологии и технические средства, обеспечивающие их обработку.

Обезличивание персональных данных — Действия, в результате которых становится невозможным отнесение персональных данных к тому или иному субъекту без дополнительной информации.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — Государственный орган, орган местного самоуправления, юридическое или физическое лицо, организующие и (или) осуществляющие самостоятельно или совместно с другими лицами обработку персональных данных и определяющие цели обработки персональных данных, объем персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — Любая информация, относящаяся к физическому лицу (субъекту персональных данных), которое установлено или может быть установлено прямо или косвенно.

Раскрытие персональных данных — Действия, направленные на раскрытие персональных данных определенному лицу или группе лиц.

Трансграничная передача персональных данных — Передача персональных данных на территорию иностранного государства, государственному органу иностранного государства, иностранному физическому или юридическому лицу.

Распространение персональных данных — Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных — Действия, в результате которых восстановление содержания персональных данных в информационной системе персональных данных становится невозможным и (или) в результате которых уничтожаются физические носители персональных данных.

1. Общие

Настоящая Политика в отношении обработки и защиты персональных данных (далее — Политика) разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является базовым внутренним нормативным документом Общества с ограниченной ответственностью «РЕЛКС» (далее — Общество), определяющим его основные направления деятельности в области обработки и защиты персональных данных (далее — ПД), оператором которых является Общество.

Политика разработана в целях реализации требований законодательства об обращении и защите ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке их ПДн в Компании.

2.

Принципы и цели обработки персональных данных

Общество осуществляет обработку ПДн добросовестно и в соответствии с законодательством, исключительно для достижения конкретных, заранее определенных и законных целей. Обрабатываются только ПД, необходимые для поставленных целей. Содержание и объем ПДн, обрабатываемых Компанией, соответствуют заявленным целям их обработки; не допускается избыточность обрабатываемых ПДн.

При обработке ПДн в Обществе обеспечивается их достоверность, достаточность и, при необходимости, актуальность для целей обработки ПДн. Компания принимает необходимые меры (обеспечивает их принятие) для удаления или обновления неполных или некорректных ПДн.

Хранение ПДн в Обществе осуществляется в такой форме, которая позволяет определить субъекта ПДн не дольше, чем это необходимо для целей обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором стороной, выгодоприобретателем или поручителем по которым является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей их обработки либо в случае утраты необходимости в достижении таких целей, если иное не предусмотрено федеральным законом.

Цели обработки, состав и содержание ПДн, а также категории субъектов ПДн, данные которых обрабатываются Компанией, указываются в уведомлении Компании об обработке ПДн, направляемом в орган, уполномоченный в области защиты прав субъектов ПДн ( федеральный

Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)), и обновляются при возникновении в них изменений.

В ходе своей деятельности Общество вправе предоставлять и (или) поручать обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Обязательным условием предоставления и (или) делегирования обработки ПДн другому лицу является наличие сторон; обязательство по обеспечению конфиденциальности и сохранности ПДн при их обработке.

Компания не публикует ПД субъекта в общедоступных источниках без предварительного согласия субъекта.

В процессе своей деятельности Общество может передавать ПДн через границу в иностранные государства, в органы государственной власти других стран, иностранным физическим или юридическим лицам. Вопросы, связанные с обеспечением надлежащей защиты прав субъектов ПДн и сохранности их ПДн при трансграничной передаче, имеют для Компании первостепенное значение и решаются в соответствии с законодательством Российской Федерации об обработке ПДн.

Трансграничная передача ПДн в другие страны, не обеспечивающие надлежащую защиту прав субъектов ПДн, осуществляется только с письменного согласия субъектов ПДн на трансграничную передачу их ПДн или по договору, к которому субъект ПДн стороны, а также в иных случаях, предусмотренных законодательством.

3. Состав и категория обрабатываемых персональных данных, категории субъектов персональных данных

Состав и объем персональных данных, обрабатываемых Компанией по каждому субъекту, а также цели, срок хранения и правовые основания обработки указаны в «Утеря персональных данных, обрабатываемых ООО «РЕЛКС».

4. Права субъектов персональных данных

4.1. Согласие субъектов персональных данных на обработку их персональных данных

Субъекты персональных данных принимают решение о предоставлении своих персональных данных и дают согласие на обработку таких данных свободно, добровольно и в своем интересе. Субъекты персональных данных или их представители вправе давать согласие на обработку персональных данных в любой позволяющей подтвердить его получение форме, если иное не предусмотрено федеральными законами.

Компания обязана доказать получение согласия субъектов персональных данных на обработку персональных данных либо доказать наличие оснований, предусмотренных Законом 152-ФЗ.

4.2. Права субъектов персональных данных

Субъекты персональных данных имеют право на получение от Общества информации, касающейся обработки их персональных данных, если такое право не ограничено федеральными законами. Субъекты персональных данных вправе требовать от Компании уточнения, блокирования или уничтожения их персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, получены незаконным путем или не являются необходимыми для заявленных целей обработки, а также меры, предусмотренные законодательством для защиты своих прав.

Обработка персональных данных в целях продвижения продукции, работ, услуг на рынке путем установления прямого контакта с потенциальным покупателем посредством средств связи, либо в целях политической агитации допускается только с предварительного согласия субъекта персональных данных. Указанная обработка персональных данных считается осуществленной без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено.

Компания обязана незамедлительно прекратить обработку персональных данных в указанных целях по требованию субъекта персональных данных.

Запрещается принятие решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы, на основании только автоматизированной обработки персональных данных, за исключением случаев, предусмотренных федеральным законодательством или с письменного согласия субъектов персональных данных.

В случае если субъекты персональных данных считают, что Компания осуществляет обработку их персональных данных с нарушением требований Закона 152-ФЗ или иным образом нарушила их права и свободы, субъекты персональных данных вправе обжаловать действий или бездействия Компании в компетентный орган по защите прав субъектов персональных данных, либо в суд.

Субъекты персональных данных имеют право на защиту своих прав и законных интересов, на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Основные меры по обеспечению безопасности персональных данных

Для обеспечения защиты ПДн при их обработке Компания самостоятельно определяет перечень мер, необходимых и достаточных для исполнения своих юридических обязательств в связи с обработкой и защитой персональных данных. ПД. Такие меры должны включать:

назначение лица, ответственного за обработку ПДн;
выпуск документов, определяющих политику Общества в отношении обработки ПДн, внутренних положений об обработке ПДн, а также внутренних документов, устанавливающих процедуры, направленные на предупреждение и выявление нарушений законодательства, регулирующего обработку и защиту ПДн, устранение последствий таких нарушений;
принятие правовых, организационных и технических мер, направленных на обеспечение безопасности ПД;
внутренний контроль за соблюдением обработки ПДн законодательства об обработке и безопасности ПДн и соответствующих нормативных документов, требований к защите ПДн, политики Общества в отношении обработки ПДн, внутренних документов Общества;
оценка ущерба, который может быть нанесен субъектам ПДн в случае нарушения требований законодательства об обработке и защите ПДн, соответствие указанного ущерба мерам безопасности ПДн, принимаемым Компанией;
ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с требованиями законодательства об обработке и защите ПДн;
организация приема и обработки заявлений и запросов, поданных субъектами ПДн или их законными представителями, и контроль за приемом и обработкой таких заявлений и запросов.

Руководство Общества понимает важность и необходимость защиты ПДн и поощряет постоянное совершенствование системы защиты ПДн, обрабатываемых в процессе осуществления основной деятельности Общества.

6. Заключительные положения

Иные права и обязанности Общества как оператора персональных данных определяются законодательством Российской Федерации о персональных данных.

Должностные лица Общества, нарушающие положения об обработке и защите персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Вернуться на главную страницу

Политика конфиденциальности — INTILED

Политика ООО «ИНТИЛЕД» в отношении обработки персональных данных

Юридический адрес и место нахождения ООО «ИНТИЛЕД»: 192007, Санкт-Петербург, ул. Прогонная, д. 3А.

Назначение и действие документа

«Политика INTILED Ltd (далее также INTILED) в отношении обработки персональных данных» (далее — Политика) определяет позицию и намерения INTILED в данной области обработки и защиты персональных данных в целях соблюдения и защиты прав и свобод каждого человека и, в частности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и честного имени.

Политика строго соблюдается руководителями и сотрудниками всех подразделений и филиалов INTILED Ltd.

Политика распространяется на все персональные данные субъектов, обрабатываемые в Intiled, с использованием или без использования каких-либо средств автоматизации.

Любой субъект персональных данных имеет доступ к Политике.

Определения

Персональные данные: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). В частности, к такой информации относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении и другие сведения.

Обработка персональных данных: любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без использования каких-либо средств автоматизации. К таким действиям (операциям) могут быть отнесены: сбор, получение, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение любые персональные данные.

Субъекты персональных данных

INTILED Ltd обрабатывает персональные данные следующих лиц: сотрудники INTILED Ltd; субъекты, с которыми заключаются гражданско-правовые договоры; кандидаты на любые вакантные должности INTILED Ltd; клиенты и партнеры INTILED Ltd; зарегистрированные пользователи сайта INTILED Ltd.

Принципы и условия обработки персональных данных

Под безопасностью персональных данных ООО «ИНТИЛЕД» понимает защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и иных неправомерных действий в отношении персональных данных; INTILED Ltd принимает необходимые правовые, организационные и технические меры для защиты таких персональных данных.

Обработка и меры безопасности в отношении персональных данных в ООО «ИНТИЛЕД» осуществляются в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Конституции Российской Федерации, нормативными правовыми актами в соответствии с ним, иными определяющими случаями и особенности обработки персональных данных в соответствии с федеральными законами Российской Федерации, директивными и методическими документами ФСТЭК России и ФСБ России.

При обработке любых персональных данных INTILED Ltd придерживается следующих принципов: законности и справедливости; ограничение обработки персональных данных для достижения конкретных, заранее определенных и законных целей; предотвращение обработки персональных данных, несовместимой с какими-либо целями такого сбора персональных данных; недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в каких-либо несовместимых друг с другом целях; обработка персональных данных, отвечающая целям такой обработки; соответствие содержанию.

ООО «ИНТИЛЕД» осуществляет обработку персональных данных только при наличии хотя бы одного из следующих условий: обработка персональных данных осуществляется с согласия субъекта персональных данных на такую обработку его персональных данных; обработка персональных данных необходима в целях достижения целей, предусмотренных законодательством для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения любого договора, к которому субъект персональных данных представлен выгодоприобретателем или поручителем, а также для заключения любого договора по инициативе субъекта персональных данных или любого договора, в котором субъект персональных данных быть бенефициаром или поручителем; обработка персональных данных необходима для реализации прав и законных интересов ООО «ИНТИЛЕД» или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его запросу; обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.