Разработка документов по персональным данным в организации
Разработка пакета внутренних документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.
В целях предотвращения утечки и неправомерного использования личной информации физических лиц власти РФ законодательно закрепили обязанность каждого оператора ПДн выполнять ряд требований, связанных с обеспечением защиты персональных данных. Разработка организационно-распорядительной документации входит в комплекс мероприятий, предусмотренных ФЗ № 152 наряду с необходимостью назначения ответственных лиц, корректировки бизнес-процессов и осуществления внутреннего контроля.
Документы должны быть у каждой компании, физического лица, муниципального органа и прочих организаций, которые занимаются обработкой и другими операциями с ПДн. Их тщательно изучают в рамках проверок сотрудники Роскомнадзора и Роструда и при выявлении нарушений накладывают штрафы. Особенно серьезно к данному вопросу следует подойти тем, кто в дальнейшем будет проходить аттестацию ФСТЭК: если не привести журналы, приказы, инструкции и т.д. в соответствие с установленными требованиями, то аттестат не выдадут до исправления ошибок.
К сожалению, реалией нашего времени является отсутствие в штате компаний специалиста, хорошо разбирающегося в вопросах обработки и защиты персональных данных, а обучение уже существующего работника предполагает отрыв его от основных обязанностей и налагает серьезные финансовые затраты. Именно поэтому привлечение профессиональных исполнителей на договорной основе является сейчас наиболее выгодным выходом из сложившейся ситуации.
Оказывая полный спектр услуг в сфере обеспечения информационной безопасности, наш Центр предлагает профессиональную помощь в урегулировании любых проблем. С нами разработка документов по защите персональных данных займет минимум времени, не потребует чрезмерных финансовых затрат и выделения сотрудников из штата — наши специалисты подготовят пакет бумаг на основании предоставленных вами сведений. Сроки и стоимость услуг оговариваются в индивидуальном порядке с учетом объема и сложности работ.
Целесообразность самостоятельной подготовки документации
Обращение к специалистам при необходимости составления организационно-распорядительных бумаг и приведения их в соответствие с ФЗ-152 — оптимальное решение как для крупной компании, так и для предпринимателя, поскольку:
- весь перечень работ осуществляется в формате аутсорсинга — персонал может продолжать выполнение должностных обязанностей;
- исключена вероятность ошибок, поскольку документы составляют профессионалы, которые разбираются в статьях закона и связанных с ним подзаконных актах;
- от момента заказа услуги до получения документации проходит в среднем 7-10 дней, что позволяет быстро подготовиться к проверкам и аттестационным мероприятиям;
- есть возможность комплексного обслуживания — вы можете поручить сотрудникам центра оценку эффективности ПДн, интеграцию системы защиты персональных данных, аудит и т.д.
Разработка документов по персональным данным в организации согласно действующим правовым нормативам
Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.
Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.
Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.
В ходе работ разрабатываются общие документы (концепции, положения, приказы, инструкции, планы, перечни, формы уведомлений и запросов) и индивидуальные для каждой Информационной системы персональных данных документы (модели угроз, описания, акты классификации, технические задания и т.п.)
В зависимости от особенностей деятельности предприятия или ИП, эксперты Центра составляют уведомление в Роскомнадзор о факте обработки персональных данных для включения в реестр, а также разрабатывают индивидуальный пакет документов, который включает:
- Приказы, определяющие ответственных лиц по вопросам безопасности ПДн, границ зоны контроля, создания режима обеспечения защиты данных и ограничения доступа, организации защитных мероприятий, а также уполномоченных за проведение и анализ результатов внутренних проверок. Также в комплект входят приказы, регулирующие оборот криптографических средств защиты ПДн (если они применяются) и проведение ознакомительных мероприятий для сотрудников.
- Положения об организации процесса обработки сведений, в том числе без применения средств автоматизации, и обеспечения их безопасности.
- Списки персональных данных, сотрудников, которые имеют допуск к их обработке, и ИСПДн.
- Журналы учета сотрудников с правом доступа к СЗПДн (средствам защиты, техническим документам и т.д.), обработке персональных данных, а также проведенным надзорными органами проверок и фиксации обращений субъектов ПДн.
- Акты, определяющие вероятный вред субъектам персональных данных и оценивающие текущий уровень информационной защищенности.
- Инструкции по организации работы с персоналом для ознакомления с нормативами законодательства, защиты и правил работы в информационной системе ПДн, внедрения антивирусов и паролей, а также обновления ПО и поведения сотрудников в непредвиденных обстоятельствах.
- Регламенты осуществления внутреннего контроля на предприятии, реагирования на нарушения и правила обращения с флеш-накопителями и другими машинными носителями ПДн съемного типа.
- Форма письменного согласия субъекта на обработку личных сведений.
Разрабатываемые документы полностью соответствуют нормам действующего законодательства Российской Федерации о персональных данных.
Этапы взаимодействия с клиентом при заказе услуги
Наш Центр нацелен на предоставление максимально быстрой и квалифицированной помощи, при этом мы в индивидуальном порядке подходим к разработке документации для каждого клиента. Оказание услуги проходит в несколько этапов:
- Первичная консультация, обсуждение деталей и заключение официального соглашения, где прописаны обязанности и ответственность сторон, сроки и другие важные моменты сотрудничества.
- Сбор и анализ информации.
- Подготовка документов по защите персональных данных в течение оговоренного периода. Документация будет адаптирована под вашу деятельность и законодательные нормативы.
- Передача документации вместе с инструкциями и рекомендациями по интеграции.
Преимущества нашего решения по разработке документов
Вы получите полный комплект документов, регламентирующих вопросы защиты персональных данных для вашей компании, что позволит вам пройти проверки контролирующих органов (Роскомнадзора, Роструда) в области персональных данных.
Комплект документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей организации и состоит более чем из 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.
Документы будут разработаны «под ключ» с учетом направления деятельности вашей организации и индивидуальных внутренних бизнес-процессов. Разрабатываемые документы соответствуют нормам действующего законодательства Российской Федерации о персональных данных.
Вы получите шаблоны запросов, уведомлений и писем-ответов, необходимых для взаимодействия с контролирующими органами, субъектами персональных данных и третьими лицами.
Вы получите общее понимание вопросов обработки персональных данных и представление о дальнейших действиях по построению комплексной системы защиты персональных данных.
Приведем обработку персональных данных в вашей компании в соответствие требованиям Федерального закона №152-ФЗ |
Заказать подготовку |
АльфаДок
Удобство и функциональность программного комплекса «АльфаДок» позволили нам полностью сформировать соответствующий требованиям законодательства комплект документов для подачи во ФСТЭК России. Для этого мы использовали загруженные в сервис формы для разработки организационно-распорядительной, технической документации и документов планирования.
Краевое государственное бюджетное учреждение здравоохранения «Городская больница № 3» Министерства здравоохранения Хабаровского края
Администрация Муниципального района «Износковский район» пользуется сервисом «АльфаДок» менее года. Однако за это время сотрудники администрации уже успели оценить функциональность и удобство сервиса, автоматически актуализирующего пакет документов в соответствии с изменениями в законодательстве.
Экспертная помощь и оперативные ответы службы технической поддержки позволили в достаточно короткие сроки разобраться в возможностях сервиса и без существенных проблем пройти проверку Роскомнадзора.
Глава администрации Леонов Владимир ВикторовичАдминистрация муниципального района «Износковский район»
ГАУЗ АО «Амурская областная детская клиническая больница» была подключена к сервису «АльфаДок» в целях соблюдения требований по безопасности обработки персональных данных в ноябре 2018 года. В сжатые сроки больница получила автоматически обновляемый пакет организационно-распорядительной документации, благодаря чему последующая проверка ФСБ России была пройдена успешно. «АльфаДок» позволяет с легкостью выполнить обязательные требования законодательства по защите информации.
Главный врач Сапегина Ольга ВладиславовнаГосударственное автономное учреждение здравоохранения Амурской области «Амурская областная клиническая больница»
Благодаря службе экспертной поддержки все данные были оперативно введены в сервис, после чего был проведен внутренний аудит информационных систем гостиницы. В результате нам удалось в сжатые сроки сформировать полный пакет необходимой документации по защите информации. Проверка Роскомнадзора пройдена без штрафов.
Финансовый директор Савенок ОльгаОбщество с ограниченной ответственностью «Ренессанс Самара Отель Лизинг»
Медицинский информационно-аналитический центр Калужской области является пользователем сервиса «АльфаДок» с июля 2016 года. За два года использования «АльфаДок» стал настольным инструментом наших специалистов. Благодаря «АльфаДок» процесс формирования организационно-распорядительной документации по защите персональных данных в 52 медицинских учреждениях Калужской области находится под постоянным контролем.
Директор Вишневский Алексей МихайловичГосударственное бюджетное учреждение здравоохранения Калужской области «Медицинский информационно-аналитический центр Калужской области»
Сотрудники особенно отметили удобство импорта данных из Excel при самостоятельном вводе информации в систему. С помощью «АльфаДок» нами была оперативно актуализирована существующая в организации документация, сформировано и направлено информационное письмо в Роскомнадзор, а главное, сгенерирован необходимый пакет документов по защите персональных данных.
Начальник отдела информационных технологий и телекоммуникаций Пожидаев Сергей АльбертовичФедеральное бюджетное учреждение центр реабилитации фонда социального страхования Российской Федерации «Тараскуль»
БПОУ ОО «Ливенский строительный техникум» выражает искреннюю благодарность Арсентьевой Нине Владимировне за профессионализм, ответственность, доброжелательность, терпение и оперативность реагирования на наши вопросы в подготовке к проверке нашей организации Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Орловской области по соблюдению требований в области персональных данных.
Директор Серганов Вадим ЮрьевичБюджетное профессиональное образовательное учреждение Орловской области «Ливенский строительный техникум»
Руководство ГАУЗ АО «Белогорская больница» выражает благодарность за оперативное подключение к онлайн-сервису «АльфаДок». Все необходимые данные в систему внесли самостоятельно, трудностей не возникло. По итогу работы продукт был высоко оценен ответственным сотрудником за удобство и простоту в использовании.
Главный врач Рудь Андрей АнатольевичГосударственное автономное учреждение здравоохранения Амурской области «Белогорская больница»
Ответственные за защиту информации специалисты отметили удобство заполнения сервиса: мастер опроса позволяет без затруднений вводить данные сотрудников. Благодаря модулю по контролю подразделений можно получать сведения о текущем состоянии документации в подведомственных учреждениях. Это позволяет назвать сервис надежным и профессиональным инструментом выполнения требований по вопросам информационной безопасности в организации.
Генеральный директор Федорко Сергей АнатольевичОткрытое акционерное общество «Служба заказчика»
Выражаем благодарность разработчикам и менеджменту компании «КСБ-СОФТ» за сервис «АльфаДок», который позволяет значительно облегчить разработку организационно-распорядительной документации в сфере защиты персональных данных. По результатам аудита информационных систем нам удалось подготовить необходимый пакет документов с учетом всех тонкостей законодательства РФ.
Технический директор Шевелев Максим ИгоревичПубличное акционерное общество «Аэропорт Мурманск»
Наши сотрудники самостоятельно вводили данные в систему. В результате больница получила автоматически обновляемый пакет документации, оказавшись полностью готовой к проверкам регуляторов. Благодаря оперативному реагированию на запросы представителей ФСБ России специалистов службы экспертной поддержки «КСБ-СОФТ» проверка была пройдена без затруднений.
Начальник отдела информатизации Гарчук Михаил Александрович
ГБУЗ АО «Архангельская городская детская поликлиника»
Министерство образования и науки Алтайского края успешно прошло проверку ФСБ России в 2018 году. С помощью сервиса «АльфаДок» подготовить необходимую документацию удалось быстро и безошибочно. У проверяющих не возникло никаких замечаний к содержанию документации в ходе проверки.
Министр образования и науки Алтайского края Александр Анатольевич Жидких
Министерство образования и науки Алтайского края
Руководство ФГБОУ ВО Ижевская государственная медицинская академия Минздрава России выражает благодарность ООО «КСБ-СОФТ» за сотрудничество в рамках проекта по защите персональных данных при помощи онлайн-сервиса «АльфаДок». Высокое качество сгенерированного с помощью сервиса пакета документов было отмечено сотрудниками Роскомнадзора по Удмуртской Республике в ходе проверки, которая в результате была пройдена нами без штрафов и предписаний.
Ректор Стрелков Николай СергеевичФедеральное государственное бюджетное образовательное учреждение высшего образования «Ижевская государственная медицинская академия» Министерства здравоохранения Российской Федерации
Выражаем особую признательность разработчикам и менеджменту компании НПЦ «Кейсистемс-Безопасность» за сервис «АльфаДок», который значительно облегчает разработку организационно-распорядительной документации в сфере защиты персональных данных. Сервис позволяет быстро актуализировать документацию как в соответствии с внутренними изменениями, так и в соответствии с изменениями требований законодательства в области обработки персональных данных. Также благодарим службу технического сопровождения за отзывчивость и внимательность к клиентам
Директор Игнатов Олег БорисовичОбщество с ограниченной ответственностью «Губернский лекарь»
Благодаря удобству сервиса «АльфаДок», а также помощи сотрудников отдела экспертной поддержки с вводом информации в систему, нам удалось в срок подготовить качественную документацию, несмотря на сжатые сроки. В частности, хотелось бы особо отметить эффективную помощь Митрофановой Е.С. в период контрольно-надзорных мероприятий. Сейчас мы работаем в системе самостоятельно и уверены в прохождении любой предстоящей проверки регуляторов. Можем назвать «АльфаДок» незаменимым инструментом для поддержания документации по защите информации в актуальном состоянии.
Главный врач Богданова Марина АлексеевнаКраевое государственное бюджетное учреждение здравоохранения «Красноярская городская поликлиника № 12»
Благодарим специалистов компании «КСБ-СОФТ» за построение надежной системы защиты информации в министерстве. В короткий срок они провели экспертный аудит информационных систем, по результатам которого разработали полный комплект организационно-распорядительной и технической документации по защите информации, соответствующей требованиям законодательства Российской Федерации. Обнаруженные недостатки были исправлены в короткий срок.
Министр Моисеева Валентина АндреевнаМинистерство финансов Магаданской области
Сервис «АльфаДок» удобен и прост. Благодаря ему мы мгновенно узнаем обо всех изменениях в законодательстве и своевременно вносим изменения в документацию по защите информации, а значит, всегда готовы к проверке регуляторов.
Так, с 3 по 30 октября 2017 года мы проходили проверку Роскомнадзора. Благодаря документации, разработанной в сервисе, и консультациям службы техподдержки, мы прошли ее без штрафов.
Директор И.Р. ШороноваАвтономное учреждение «Многофункциональный центр по предоставлению государственных и муниципальных услуг» Ядринского района Чувашской Республики
Работа в сервисе поначалу вызывала ряд вопросов, но мы получали на них оперативные ответы от службы техподдержки. Подробнее изучив функционал сервиса, мы поняли, что «АльфаДок» позволяет экономить колоссальное количество времени и усилий. Кроме того, готовый портфель документов позволяет избежать ошибок при формировании документации и легко обновлять ее в случае штатных или законодательных изменений.
Генеральный директор А.С. ФатеркинОбщество с ограниченной ответственностью Микрокредитная компания «Быстрая Денежка»
Благодаря подключению к сервису «АльфаДок» мы разработали полный комплект организационно-распорядительной документации по защите информации, не имея в штате квалифицированного специалиста по информационной безопасности. Все документы легко актуализируются и сразу готовы к выгрузке, что позволяет быстро исправлять недочеты в случае законодательных или штатных изменений. Это помогло нам пройти проверку Роскомнадзора в августе 2017 года.
Директор О.А. ЧугуноваМуниципальное автономное учреждение «Полысаевский многофункциональный центр предоставления государственных и муниципальных услуг»
В феврале 2016 года мы подключились к онлайн-сервису «АльфаДок» в режиме «под ключ». Специалисты сервиса провели внутренний аудит наших информационных систем, внесли полученные данные в сервис и предоставили нам доступ к профилю с готовым пакетом организационно-распорядительной и технической документации по защите информации.
Рекомендуем онлайн-сервис «АльфаДок» как эффективный и полезный инструмент для выполнения требований законодательства в сфере защиты информации.
Начальник департамента А.В. ВеселковДепартамент финансов и налоговой политики мэрии города Новосибирска
Опыт работы с Вашим продуктом позволил нам отметить, что интерфейс сервиса понятен в использовании; внесение данных значительно облегчают подсказки, справочные материалы и консультации по горячей линии. Отдельно хотим поблагодарить специалистов компании «Кейсистемс-Урал», которые с большой ответственностью и вниманием подошли к аудиту нашего учреждения и внесли в сервис все данные, в результате чего мы получили полный комплект необходимой документации.
Это дает нам уверенность в том, что персональные данные в МАУ «ГКБ № 14» обрабатываются в соответствии с законодательством РФ.
Заместитель Главного врача по лечебной работе А.В. МартыновМуниципальное автономное учреждение «Городская клиническая больница № 14»
Полный комплект документов, разработанный в сервисе «АльфаДок» при экспертной поддержке специалистов, позволил нам выполнить требования законодательства в области защиты информации, а документация по эксплуатации криптосредств, формируемая в сервисе, оказалась необходимой при прохождении проверки ФСБ России, которая прошла с 15 по 18 мая 2017 года. Благодаря сервису «АльфаДок» мы прошли проверку без предписаний.
Надеемся на дальнейшее сотрудничество и желаем успехов!
Главный врач И.В. НардинаГосударственное учреждение здравоохранения «Детский клинический медицинский центр г. Читы»
В 2015 году мы внедрили сервис «АльфаДок» в режиме «под-ключ»: специалисты компании оперативно провели аудит информационной безопасности в управлении и предоставили доступ к сервису с внесенными сведениями. Сформированный пакет документации полностью соответствует требованиям законодательства и, что немаловажно, регулярно обновляется.
Благодарим Вас за разработку качественного сервиса и надеемся на дальнейшее развитие его функционала.
И.о. заведующей Финансового управления администрации Таборинского муниципального района В.П. КозиковаАдминистрация Таборинского муниципального района
Пошаговые подсказки и консультационная поддержка помогли нам разработать качественный пакет документов без глубоких знаний в сфере защиты информации. Особо хотим отметить широкий функционал сервиса: «АльфаДок» позволяет не только разработать документацию, но и отправить уведомление в Роскомнадзор, вести план внутренних проверок и журналы учета в электронном виде.
Благодаря сервису в июле 2017 года мы успешно прошли проверку Роскомнадзора без предписаний и замечаний. Спасибо за качественный и полезный продукт!
Начальник отдела информационного обеспечения М.Г. АлександровАдминистрация Шумерлинского района Чувашской Республики
Специалисты подключили нашу организацию к онлайн-сервису «АльфаДок», а также собрали и оперативно внесли в профиль всю необходимую информацию. Благодаря этому мы в короткие сроки получили полный комплект документации по защите персональных данных, а главное, уверенность в соблюдении требований законодательства. По результатам проверки, прошедшей с 3 по 21 июля 2017 года, нарушений выявлено не было.
Хотим отметить высокий профессионализм службы технической поддержки, которые сопровождали нас и оказывали консультации на протяжении всего процесса подготовки к проверке.
Генеральный директор В.В. КудряОбщество с ограниченной ответственностью «Потенциал»
Благодаря сервису «АльфаДок» и Вашим специалистам мы привели процесс обработки персональных данных в нашем учреждении в соответствие с требованиями российского законодательства.
Эффективность и полезность сервиса «АльфаДок» подтвердило наше успешное прохождение проверки Роскомнадзора в мае 2017 года, тогда же представители регулятора отметили отличное качество пакета документов по защите персональных данных.
Генеральный директор Хардикова Е.В.Общество с ограниченной ответственностью «Голубая птица»
Чтобы подготовиться к предстоящей проверке Роскомнадзора, в апреле 2017 года мы подключились к онлайн-сервису «АльфаДок». Подключаться решили самостоятельно, поэтому данные в сервис вносил наш системный администратор. Разобрался не сразу, но благодаря консультациям службы техподдержки и подсказкам внутри сервиса нам удалось подготовить всю необходимую документацию.
В результате использования сервиса «АльфаДок» мы успешно прошли проверку Роскомнадзора.
Руководитель А.А. ЕфименкоМуниципальное бюджетное учреждение Новоселицкого муниципального района «Многофункциональный центр предоставления государственных и муниципальных услуг»
В марте 2017 года мы узнали о предстоящей проверке Роскомнадзора и решили воспользоваться онлайн-сервисом «АльфаДок», чтобы выполнить требования законодательства в сфере защиты персональных данных. Специалисты оперативно провели аудит, не помешав работе сотрудников, и внесли необходимую информацию в профиль учреждения, в результате чего был сформирован полный комплект документов.
28 апреля 2017 года мы успешно прошли проверку Роскомнадзора без предписаний.
Президент академии борьбы Д.Г. МиндиашвилиКраевое государственное автономное учреждение «Региональный центр спортивной подготовки «Академия борьбы имени Д.Г. Миндиашвили»
В результате подключения мы получили полный комплект документации по защите персональных данных, обрабатываемых в учреждении. Формируемая при помощи сервиса документация соответствует требованиям законодательства РФ и, что важно, оперативно обновляется в случае изменения требований. Это дает нам возможность быть готовыми как к плановым, так и внеплановым проверкам Роскомнадзора и иметь актуальный пакет документации в учреждении.
Директор В.Н. МолодыхМУНИЦИПАЛЬНОЕ БЮДЖЕТНОЕ ОБЩЕОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ — СРЕДНЯЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ШКОЛА № 2 ИМ. А.С.ПУШКИНА Г. МОЗДОКА РЕСПУБЛИКИ СЕВЕРНАЯ ОСЕТИЯ- АЛАНИЯ
Консультируясь со специалистами сервиса и используя пошаговые подсказки, наш ответственный сотрудник самостоятельно провел аудит информационных систем университета и заполнил все поля в профиле. В результате мы получили необходимый пакет документов по защите персональных данных.
Осенью 2016 года наш университет успешно прошел плановую проверку Роскомнадзора. Считаем, что применение онлайн-сервиса «АльфаДок» значительно упростило ее прохождение.
Проректор по научной работе А.В. МышлявцевФедеральное государственное бюджетное образовательное учреждение высшего образования «Омский государственный технический университет»
Выражаем благодарность за оперативное подключение Департамента здравоохранения города Севастополя и всех подведомственных медицинских организаций к сервису «АльфаДок». Благодаря этому мы выполнили все требования по безопасности обработки персональных данных и получили возможность контролировать процесс защиты информации в подведомственных учреждениях в режиме реального времени.
Директор А.А. БуханикГосударственное бюджетное учреждение здравоохранения Севастополя «Медицинский информационно-аналитический и лабораторный центр»
С помощью Сервиса и консультационной поддержки специалистов мы не только получили полный комплект документации по защите персональных данных, но и возможность легко поддерживать документацию в актуальном состоянии. Для нас немаловажно, что Сервис учитывает требования Постановления Правительства РФ от 21 марта 2012 года № 211.
Документация, формируемая в Сервисе, помогла Министерству успешно пройти проверку ФСБ России в октябре 2016 года.
Министр социального развития Мурманской области С.Б. МякишевМинистерство социального развития Мурманской области
Узнав о предстоящей проверке Роскомнадзора на соответствие требованиям ФЗ-152 «О персональных данных», мы приняли решение о приобретении лицензии на пользование онлайн-сервисом «АльфаДок». Для гарантии прохождения проверки был заказан экспертный аудит, проведенный сотрудниками «Кейсистемс-Безопасность», что значительно ускорило процесс подготовки. Благодаря проведенным мероприятиям мы получили пакет организационно-распорядительной документации, готовый к выгрузке и утверждению.
Глава администрации Красноармейского района С.Л. МолотковАдминистрация Красноармейского района Чувашской Республики
Содействие при разработке документации в онлайн-сервисе «АльфаДок» позволило нашему учреждению не только выполнить все требования законодательства РФ в сфере защиты персональных данных, но и пройти проверку Роскомнадзора без единого замечания со стороны регулятора.
Хотим отметить удобство работы в сервисе, квалифицированную и грамотную поддержку помощь сотрудников компании, оперативную и профессиональную поддержку технического отдела.
Главный врач А.А. ГантимуровКраевое государственное автономное учреждение здравоохранения «Красноярская городская стоматологическая поликлиника № 8»
Благодаря поддержке специалистов организации, обучающим материалам и подсказкам в сервисе, мы смогли самостоятельно и оперативно внести необходимую информацию в пакет документов нашего учреждения. Среди достоинств сервиса «АльфаДок» особо хотим отметить возможность автоматического обновления всего пакета документов, удобство работы в системе и высокое качество формируемой документации.
Главный врач Н.Н. КрючковаГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ САРАТОВСКОЙ ОБЛАСТИ «ГОРОДСКАЯ БОЛЬНИЦА Г. БАЛАКОВО»
Кроме реализации организационных мер по защите информации, в сервисе нас привлекла возможность контроля процесса защиты информации в учреждениях, подведомственных министерству здравоохранения Калужской области. В этой связи к сервису были также подключены 46 медицинских организаций.
И.о. директора Г.Р. ЕнилееваГосударственное бюджетное учреждение здравоохранения Калужской области «Медицинский информационно-аналитический центр Калужской области»
Проведенные мероприятия дали уверенность в готовности нашего учреждения к проверке Роскомнадзора, а онлайн-сервис «АльфаДок» зарекомендовал себя качественным и надежным инструментом для формирования и поддержки всех необходимых документов в актуальном состоянии.
Главный врач В.В. ДубовБюджетное учреждение Чувашской Республики «Чебоксарская районная больница» Министерства здравоохранения Чувашской Республики
Выражаем благодарность за сотрудничество в части организации системы защиты информации и персональных данных, подготовке документов по защите информации и персональных данных, обрабатываемых в учреждении, оказании помощи в прохождении аттестации информационной системы персональных данных, оказание консультационной поддержки, а также за предоставленную возможность использовать в работе сервис «АльфаДок».
И.о. директора Е.А. Павлова
Автономное учреждение Республики Марий Эл «Дирекция многофункциональных центров предоставления государственных и муниципальных услуг в Республике Марий Эл»
Применение сервиса «АльфаДок» обеспечивает нам уверенность в выполнении требований законодательства и готовности к проверке Роскомнадзора.
Главный врач А.Н. Беликов
Государственное бюджетное учреждение здравоохранения Калужской области «Калужский областной клинический кожно-венерологический диспансер»
Доброжелательные специалисты службы поддержки клиентов сервиса всегда оперативно отвечают на вопросы и помогают корректно внести данные.
Мы довольны онлайн-сервисом «АльфаДок» и рекомендуем его как качественный и удобный инструмент для выполнения законодательных требований по защите персональных данных.
Главный врач ГБУЗКО «КОКБ» В.М. Кондюков
Государственное бюджетное учреждение здравоохранения Калужской области «Калужская областная клиническая больница»
Благодаря вебинарам «Кейсистемс-Безопасность», на которых было подробно рассказано и показано, как выполнить требования законодательства по защите персональных данных с помощью «АльфаДок», сотрудники больницы самостоятельно внесли данные и получили качественную организационно-распорядительную документацию по защите персональных данных.
Главный врач О.С. Шишов
Государственное бюджетное учреждение здравоохранения Калужской области «Центральная районная больница Мещовского района»
Сервис «АльфаДок» зарекомендовал себя как профессиональный инструмент выполнения требований Федерального закона №152-ФЗ «О персональных данных», поэтому мы рассчитываем на дальнейшее плодотворное сотрудничество в вопросах информационной безопасности.
Главный врач А.Ю. Цкаев
Государственное бюджетное учреждение здравоохранения Калужской области «Калужская областная клиническая больница скорой медицинской помощи им. К.Н. Шевченко»
Благодаря использованию онлайн-сервиса «АльфаДок» мы смогли в кратчайшие сроки подготовить комплект организационно-распорядительной документации, в части выполнения требований законодательства РФ по защите персональных данных.
И.О. Главного врача С.И. Титов
Государственное бюджетное учреждение здравоохранения Калужской области «Центральная районная больница Дзержинского района»
Благодаря пошаговым подсказкам, обучающим видеороликам и консультациям службы технической поддержки наши сотрудники собрали и внесли необходимую информацию в сервис. В результате мы получили качественный пакет документации, который позволил нам успешно пройти плановую проверку Роскомнадзора.
Заместитель генерального директора по управлению персоналом и социальным вопросам В.Ф. Миронов
АКЦИОНЕРНОЕ ОБЩЕСТВО «ЧЕБОКСАРСКОЕ ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ ИМЕНИ В.И.ЧАПАЕВА»
Документация соответствует требованиям законодательства и государственных регуляторов и поэтому не вызвала замечаний со стороны Роскомнадзора. В результате в марте 2016 года мы успешно прошли плановую проверку на выполнение требований в сфере обработки персональных данных.
Главный врач А.Ю. Субботин
Государственное автономное учреждение здравоохранения Амурской области «Городская поликлиника № 1»
Онлайн-сервис «Alfa-doc» — эффективный и удобный инструмент для разработки и поддержки в актуальном состоянии документации по защите персональных данных, а сотрудники «Кейсистемс-Безопасность» быстро и качественно оказывают необходимые консультации по вопросам защиты информации.
Начальник Финансового Управления Администрации города Тынды И.М. Борискина
Финансовое Управление Администрации города Тынды
Применение сервиса позволяет нашему учреждению соблюдать требования законодательства РФ и государственных регуляторов в сфере защиты персональных данных и быть готовым к проверке Роскомнадзора.
Директор Б.В. Помыткин
Муниципальное бюджетное общеобразовательное учреждение «Средняя общеобразовательная школа № 100»
Выражаем благодарность ООО «НПЦ «Кейсистемс-Безопасность» за профессионально проведенный аудит и экспертную поддержку в формировании необходимой документации по защите персональных данных в онлайн-сервисе «Alfa-doc».
Директор О.Л. Латышев
Государственное бюджетное профессиональное образовательное учреждение Калужской области «Калужский областной колледж культуры и искусств»
За короткий период времени мы получили полный комплект документации, соответствующий всем необходимым требованиям законодательства Российской Федерации по защите персональных данных, и надлежащим образом подготовились к проверке Управления Роскомнадзора по Калужской области.
Глава администрации городского поселения город Жуков О. В. Ким
Администрация городского поселения город Жуков
Сотрудники «Кейсистемс-Безопасность» быстро и качественно оказывали необходимые консультации по вопросам защиты информации, прохождения проверки у регулятора и проявили высокий профессионализм в сфере информационной безопасности.
Главный врач И.Б. ОртиковаМуниципальное бюджетное учреждение здравоохранения «Городская поликлиника № 7» г. Мурманска
В ходе экспертного аудита Ваши специалисты в кратчайшие сроки помогли собрать необходимую информацию и оперативно внесли ее в сервис. Благодаря этому Министерству образования и науки Удмуртской Республики удалось результативно и оперативно подготовиться к проверке Роскомнадзора.
Министр А.А. Мирошниченко
Министерство образования и науки Удмуртской Республики
Благодаря экспертному аудиту информационных систем, проведенному специалистами «Кейсистемс-Безопасность», мы оперативно получили пакеты организационно-распорядительной и технической документации, разработанной в сервисе.
Управляющий директор Е. Д. Вахитова
Публичное акционерное общество «ТНС энерго Марий Эл»
Хотим отметить высокий профессионализм службы технической поддержки «Alfa-doc», которая консультировала нас как во время подготовки, так и во время прохождения проверки. Ценные консультации специалистов позволили оперативно разобраться в вопросах защиты персональных данных.
Директор А.Ю. Черкасов
Автономное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг» муниципального образования города Чебоксары — столицы Чувашской Республики
Комплексное решение для автоматизации организационных мер по защите информации, реализованное в виде защищенного онлайн-сервиса «Alfa-doc» позволило обеспечить надежную защиту персональных данных на высоком уровне.
И.о. директора Я.А. Глинский
Государственное бюджетное учреждение здравоохранения «Медицинский информационно-аналитический центр Ямало-Ненецкого автономного округа»
Благодаря онлайн-сервису «Alfa-doc» в сжатые сроки была разработана организационно-распорядительная документация по защите персональных данных. Несомненным преимуществом данного сервиса является постоянная актуализация документации в связи с изменениями и дополнениями требований законодательства в сфере защиты информации.
Директор А.В. Игнатьев
Муниципальное казенное учреждение «Центр информационных технологий» городского округа «город Якутск»
Онлайн-сервис «Alfa-doc» позволил в сжатые сроки внести необходимые изменения в документацию, привести ее в соответствие требованиям и нормам законодательства РФ и подготовиться к проверке Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Калужской области.
Министр финансов В.И. Авдеева
Министерство финансов Калужской области
Специалисты НПЦ «КСБ» подтвердили высокий профессионализм и компетенцию в области создания систем защиты информации в государственных информационных системах. Наличие консультационной поддержки и регулярных обучающих вебинаров позволяет нашим специалистам всегда быть в курсе всех новостей и изменений законодательства в сфере информационной безопасности.
Директор С.В. Семенов
Краевое государственное казенное специализированное учреждение «Центр оценки качества образования»
Благодарим за профессионально проведенный аудит и экспертную поддержку в формировании документации по защите персональных данных в онлайн-сервисе «Alfa-doc». За короткий период времени мы получили комплект документации соответствующий всем необходимым требованиям законодательства РФ по защите персональных данных.
Главный врач Ефимова И.П.
Бюджетное учреждение Чувашской Республики «Центральная городская больница» Министерства здравоохранения и социального развития Чувашской Республики
Выражаем благодарность за проведение комплекса работ по обеспечению информационной безопасности в 27 МФЦ ЧР, а также информационный аудит и экспертную поддержку в формировании необходимой документации в онлайн-сервисе «Alfa-doc».
Руководитель Викторова Е.В.
Автономное учреждение Чувашской Республики «Многофункциональный центр предоставления государственных и муниципальных услуг» Министерства экономического развития, промышленности и торговли Чувашской Республики
Онлайн-сервис «Alfa-doc» оказался незаменимым и удобным инструментом, перечень и состав документации, полностью удовлетворяет требованиям в области защиты персональных данных и не вызвал замечаний со стороны Роскомнадзора.
Главный врач Смирнов А.В.
Государственное бюджетное учреждение Республики Марий Эл «Республиканский клинический госпиталь ветеранов войн»
В короткие сроки мы получили комплект документации соответствующий всем необходимым требованиям законодательства РФ по защите ПДн. Роскомнадзором проведена проверка без замечаний.
Министр П.А. Суслов
Министерство культуры и туризма Калужской области
За короткий период времени МП ОПАТП получило комплект документации соответствующий всем необходимым требованиям законодательства РФ по защите персональных данных и подготовились к проверке Роскомнадзора.
Директор Жилкин В.П.
Муниципальное предприятие города Обнинска Калужской области «Обнинское пассажирское автотранспортное предприятие»
Сотрудники быстро и качественно оказывали необходимые консультации по вопросам защиты информации, прохождения проверки у регулятора и проявили высокий профессионализм в сфере информационной безопасности.
Глава администрации Калиничев Н.А.
Администрация (исполнительно-распорядительный орган) муниципального района «Бабынинский район»
Работы по приведению внутренней документации учреждения по защите персональных данных в соответствие с требованиями законодательства были выполнены в полном объеме и в срок. ГБУ «Республиканская клиническая больница» Республики Марий Эл высоко оценивает профессионализм и качество предлагаемых решений и рассчитывает на сотрудничество в дальнейшем.
Заместитель главного врача Снопченко С.О.
Государственное бюджетное учреждение Республики Марий Эл «Республиканская клиническая больница»
Выражаем благодарность за профессионально проведенный аудит и экспертную поддержку в формировании необходимой документации по защите персональных данных в онлайн-сервисе «Alfa-doc». Это эффективный и удобный инструмент для разработки и поддержки в актуальном состоянии документации по защите информации.
Директор Меленьчук Е.Н.
ГОСУДАРСТВЕННОЕ ОБЛАСТНОЕ АВТОНОМНОЕ УЧРЕЖДЕНИЕ СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ НАСЕЛЕНИЯ «КИРОВСКИЙ КОМПЛЕКСНЫЙ ЦЕНТР СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ НАСЕЛЕНИЯ»
Сертификация систем защиты информации (СЗИ) и персональных данных (ПНд)
Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности. В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств. Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.
С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.
Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.
Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов. Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей. Утечка или утрата персональных данных автоматически признается виной оператора связи.
Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.
Сертификация средств защиты персональных данных по 152-ФЗ
Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.
Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:
- Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
- Опубликовать документ – политику, с описанием способов работы с персональных данных.
- Подать уведомление в Роскомнадзор.
Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов — Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.
Порядок работ по методике, утвержденной ФСТЭК, выглядит так:
- Проводится обследование информационной системы персональных данных (ИСПДн).
- Проектируется система защиты.
- Внедряется система, защищающая информацию.
- Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.
Стоимость сертификации в соответствии с 152-ФЗ складывается из:
- Наличия подключения к сети Интернет.
- Количества компьютеров.
- Наличия сервера или общей сети.
- Техподдержки.
- Юридического сопровождения.
Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.
Сертификат соответствия ФСТЭК
Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи. Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций. Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.
Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей. Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном. В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.
Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.
Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.
Аттестация систем персональных данных
Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры. Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке. Соответствующая документация получается в территориальном отделении ФСТЭКа.
Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов. В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков. В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.
Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.
После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.
Официальный сайт ГУП «Петербургский метрополитен»
Политика в отношении обработки персональных данных ГУП «Петербургский метрополитен»
1. Общие положения
2. Правовые основания обработки персональных данных
3. Цели и принципы обработки, основные категории и объём персональных данных
4. Порядок, условия и сроки обработки персональных данных
5. Категории субъектов персональных данных
6. Передача персональных данных
7. Обеспечение безопасности персональных данных
8. Права субъектов персональных данных
9. Заключительные положения
1. Общие положения |
1.1. Настоящий документ определяет политику в отношении обработки персональных данных Санкт-Петербургского государственного унитарного предприятия «Петербургский метрополитен» (далее – ГУП «Петербургский метрополитен» или Оператор).
1.2. Политика в отношении обработки персональных данных ГУП «Петербургский метрополитен» (далее — Политика) разработана и утверждена в соответствии с требованиями пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ №152-ФЗ) и действует в отношении персональных данных, обрабатываемых в ГУП «Петербургский метрополитен».
1.3. Понятия, содержащиеся в ст. 3 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных», используются в настоящей Политике с аналогичным значением.
1.4. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов ГУП «Петербургский метрополитен».
1.5. Политика определяет цели, принципы, порядок и условия обработки персональных данных работников метрополитена и иных лиц, чьи персональные данные обрабатываются в ГУП «Петербургский метрополитен», а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
1.6. Политика является общедоступным документом, декларирующим концептуальные основы деятельности ГУП «Петербургский метрополитен» при обработке персональных данных.
2. Правовые основания обработки персональных данных |
2.1. Правовой основой настоящей Политики в области обработки персональных данных является:
— Конституция РФ;
— Гражданский кодекс РФ;
— Трудовой РФ;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации; информационных технологиях и о защите информации»;
— Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
— Постановление Правительства Российской Федерации от 15.09.2008
№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
— уставные документы Оператора;
— договоры, заключаемые между Оператором и субъектами персональных данных;
— согласия субъектов персональных данных на обработку персональных данных;
— иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
2.2. Во исполнение настоящей Политики Оператором принимаются (издаются) локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.
3. Цели и принципы обработки, основные категории и объём персональных данных |
3.1. ГУП «Петербургский метрополитен» осуществляет обработку персональных данных в целях:
— осуществления функций и деятельности ГУП «Петербургский метрополитен», предусмотренной действующим законодательством РФ, нормативными актами Санкт-Петербурга, Уставом, лицензиями и локальными актами ГУП «Петербургский метрополитен»;
— регулирования трудовых и связанных с ними отношений с работниками ГУП «Петербургский метрополитен», в том числе содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, привлечении и отбора кандидатов на работу в ГУП «Петербургский метрополитен»;
— предоставления работникам ГУП «Петербургский метрополитен» и членам их семей дополнительных гарантий и компенсаций, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
— осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ГУП «Петербургский метрополитен», в том числе по предоставлению персональных данных в государственные внебюджетные фонды, Федеральную налоговую службу, а также в иные государственные органы;
— осуществления функций и обязанностей, возложенных правительством Санкт-Петербурга на метрополитен по перевозке пассажиров льготных категорий, оформления проездных документов;
— осуществления работы по обращениям граждан;
— заключения и исполнения договоров гражданско-правового характера;
— осуществления медицинской деятельности и санаторно-курортных услуг;
— обеспечения пропускного и внутриобъектового режимов на объектах ГУП «Петербургский метрополитен»;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— ведения кадрового делопроизводства и организации учета (в том числе воинского) работников ГУП «Петербургский метрополитен».
3.2. Содержание и объем обрабатываемых категорий персональных данных субъектов персональных данных определяются в соответствии с целями обработки персональных данных. ГУП «Петербургский метрополитен» не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями, и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
3.3. ГУП «Петербургский метрополитен» в своей деятельности обеспечивает соблюдение условий обработки персональных данных, указанных в статье 6 ФЗ № 152-ФЗ и следующих принципов:
— законности и справедливости целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ГУП «Петербургский метрополитен»;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
— уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
3.4. Оператор обрабатывает биометрические, специальные категории персональных данных при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
3.5. ГУП «Петербургский метрополитен» не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
3.6. В ГУП «Петербургский метрополитен» могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом персональных данных, включаются в такие источники только с письменного согласия субъекта персональных данных.
4. Порядок, условия и сроки обработки персональных данных |
4.1. ГУП «Петербургский метрополитен» обрабатывает персональные данные своих работников, а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями ФЗ № 152-ФЗ.
4.2. Обработка персональных данных ГУП «Петербургский метрополитен» осуществляется следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
4.3. Перечень действий, совершаемых ГУП «Петербургский метрополитен» с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
4.4. Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, по истечении срока действия или отзыва согласия субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в случаях, предусмотренных законодательством Российской Федерации.
4.5. В ГУП «Петербургский метрополитен» обеспечивается защита персональных данных в рамках выполнения комплекса организационно-технических и правовых мероприятий информационной безопасности. При обеспечении защиты персональных данных учитываются требования ФЗ
№ 152-ФЗ, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации.
4.6. Сроки обработки и хранения персональных данных определяются действующим законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», иными требованиями действующего законодательства РФ и Положениями об обработке и защите персональных данных в информационных системах персональных данных метрополитена.
4.7. При осуществлении хранения персональных данных ГУП «Петербургский метрополитен» использует базы данных, находящиеся на территории РФ.
4.8. ГУП «Петербургский метрополитен» прекращает обработку персональных данных в следующих случаях:
— при достижении цели обработки персональных данных;
— при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
— при выявлении неправомерной обработки персональных данных;
— при отзыве субъектом персональных данных согласия на обработку его персональных данных или истечением срока его действия, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.
4.9. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации и Положениями об обработке и защите персональных данных в информационных системах персональных данных метрополитена.
5. Категории субъектов персональных данных |
5.1. В ГУП «Петербургский метрополитен» обрабатываются персональные данные субъектов следующих категорий:
— работников метрополитена и кандидатов на вакантные должности, обработка персональных данных которых осуществляется в соответствии с Трудовым кодексом РФ и иными нормативными правовыми актами РФ;
— физических лиц, обработка персональных данных которых осуществляется в целях обеспечения исполнения контрактов и договоров, заключаемых ГУП «Петербургский метрополитен», или обратившихся с жалобой, заявлением или иным обращением;
— работников сторонних организаций, обработка персональных данных которых осуществляется в целях обеспечения пропускного и внутриобъектового режимов на объектах метрополитена;
— граждан (пассажиров), обработка персональных данных которых осуществляется для предоставления услуг по перевозке метрополитеном;
— граждан, обработка персональных данных которых осуществляется для предоставления Оператором иных услуг.
6. Передача персональных данных |
6.1. ГУП «Петербургский метрополитен» не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
6.2. ГУП «Петербургский метрополитен» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях, в объеме и в случаях, предусмотренных законодательством Российской Федерации.
6.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в государственные органы – в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
7. Права субъектов персональных данных |
7.1. Персональные данные, обрабатываемые в ГУП «Петербургский метрополитен», относятся к информации конфиденциального характера.
7.2. ГУП «Петербургский метрополитен» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
7.3. Во исполнение норм действующего законодательства, а также в соответствии с настоящей Политикой в ГУП «Петербургский метрополитен» принимаются следующие меры:
— назначаются ответственные за организацию обработки персональных данных;
— принимаются (издаются) локальные акты, определяющие правила обработки персональных данных, а также процедуры, направленные на выявление и предотвращение нарушения таких правил;
— применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ № 152-ФЗ;
— осуществляется внутренний контроль соответствия обработки персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке персональных данных и устранения последствий таких нарушений;
— с работниками ГУП «Петербургский метрополитен», непосредственно осуществляющими обработку персональных данных, проводятся мероприятия по ознакомлению с положениями законодательства Российской Федерации в области персональных данных, с требованиями по защите персональных данных, Политикой в отношении обработки персональных данных и локальными актами ГУП «Петербургский метрополитен» по вопросам обработки персональных данных;
— осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152-ФЗ.
7.4. Обработка персональных данных работниками ГУП «Петербургский метрополитен» может вестись только в служебных помещениях и на оборудовании ГУП «Петербургский метрополитен», включенном в состав информационных систем персональных данных.
7.5. Работники ГУП «Петербургский метрополитен», доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных. Лица, виновные в нарушении требований закона, несут гражданскую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
8. Права субъектов персональных данных |
8.1. В соответствии с ФЗ №152-ФЗ субъект персональных данных имеет право:
— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— получать информацию, касающуюся обработки его персональных данных, обрабатываемых ГУП «Петербургский метрополитен», за исключением случаев, предусмотренных федеральным законом;
— требовать извещения ГУП «Петербургский метрополитен» всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
— отозвать согласие на обработку своих персональных данных.
8.2. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя (в случае направления запроса представителем субъекта), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
8.3. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.4. Порядок приема, регистрации, рассмотрения и учета запросов, указанных в пункте 8.2 настоящей Политики регламентирован Положением о порядке рассмотрения обращений граждан и юридических лиц в ГУП «Петербургский метрополитен».
9. Заключительные положения |
9.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте ГУП «Петербургский метрополитен».
9.2. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.
9.3. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
9.4. Контроль за исполнением требований настоящей Политики осуществляется ответственным лицом ГУП «Петербургский метрополитен», назначаемым в установленном порядке.
Документы и положения
ПОЛИТИКАВ ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА (редакция от 10.07.2017г.)
1. Политика ООО «Авторай-КИА» (далее Общество) по обработке персональных данных и реализации требований к защите персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных в Обществе с использованием средств автоматизации и без использования таких средств. ПД Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. 2. Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». 3. Обработка персональных данных в Обществе осуществляется в целях ведения кадровой работы, обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, заключение и исполнение договоров, выдача дисконтных карт на скидки при оказании Обществом работ, услуг, продаже товаров, пропуск посетителей на территорию Общества, получение и исследование статистических данных об объемах продаж и качестве услуг, оказываемых Продавцом при продаже и ремонте автомобилей, запасных частей; изучения конъюнктуры рынка автомобилей, автомобильных запчастей и аксессуаров; выполнения обязательств по гарантийному и коммерческому ремонту и техническому обслуживанию автомобилей, запасных частей, контроль за качеством, объемом выполняемых работ, оказываемых услуг Обществом, совершенствования уровня предоставляемых Продавцом (Поставщиками – производителями, головным представительствам – уполномоченным Производителем, предоставляющими гарантию на производимый Товар), передача документов, содержащих персональные данные субъектов Поставщикам – производителям, головным представительствам – уполномоченным Производителем, предоставляющими гарантию на производимый ими Товар, продвижения товаров и услуг Продавца на рынке путем осуществления прямых контактов с Покупателем или различных средств связи: почтовая, электронная почта, телефон, факсимильная связь, сеть Интернет, определение потребностей в производственной мощности, мониторинг исполнения сервисными центрами гарантийной политики; проведения маркетинговых исследований в области продаж, сервиса, послепродажного обслуживания, направления уведомлений, информационных сообщений, рекламных материалов, оказание услуг гражданам без договора/до заключения договора. Категории субъектов персональных данных. В Обществе обрабатываются ПД следующих субъектов ПД : физические лица, состоящие с обществом в трудовых отношениях; физические лица, являющие близкими родственниками сотрудников общества; физические лица, уволившиеся из общества; физические лица, являющиеся кандидатами на работу; физические лица, состоящие с обществом в гражданско-правовых отношениях; физические лица, обратившиеся в общество, без/до заключения договоров. ПД, обрабатываемые Оператором: Данные полученные при осуществлении трудовых отношений; Данные полученные для осуществления отбора Кандидатов на работу; Данные полученные при осуществлении гражданско-правовых отношений. 4. Обработка персональных данных в Обществе основана на следующих принципах: На законной и справедливой основе; соответствия целей обработки персональных данных полномочиям Общества; соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных; достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных; ограничения обработки персональных данных при достижении конкретных и законных целей, запретом обработки персональных данных, несовместимых с целями сбора персональных данных; запрета объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством. 5. Сроки хранения документов, в том числе электронных документов, содержащих персональные данные, устанавливаются внутренними локальными актами Общества. Порядок уничтожения документов, содержащих персональные данные, устанавливается внутренним локальным актом. 6. В целях выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Общество как оператор, осуществляющий обработку персональных данных, принимает следующие меры: 6.1. В Обществе назначен ответственный за организацию обработки персональных данных. 6.2. Руководителем Общества утверждены следующие документы: 6.2.1. Положение об обработке и защите персональных данных Общества 6.2.2. Положение об обработке и защите персональных данных работников Общества 6.2.3. Правила рассмотрения запросов субъектов персональных данных или их представителей. 6.2.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Общества. 6.2.5. Правила работы в Обществе с обезличенными данными в случае обезличивания персональных данных. 6.2.6. Перечень информационных систем персональных данных. 6.2.7. Типовое обязательство работника Общества, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. 6.2.8. Типовая форма согласия на обработку персональных данных работника Общества, покупателей, заказчиков, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные. 6.3. Установлены предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества. 6.4. Выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации. 6.5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Обществе организовано проведение периодических проверок условий обработки персональных данных. 6.6. Осуществляется ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных. 6.7. Сведения об Обществе внесены в Реестр операторов, осуществляющих обработку персональных данных. 7. Настоящая политика размещается на сайте Общества. Редакция может быть изменена. 8. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется. 9. Условия обработки персональных данных в Обществе: 9.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных. 9.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом. 9.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных». 9.4 В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, адрес рабочей электронной почты, рабочий телефон. 9.5. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам, занимающим должности, включенные в перечень должностей Общества, замещение которых предусматривает осуществление обработки персональных данных (за исключением общедоступных и (или) обезличенных персональных данных). 10. Перечень действий с персональными данными и способы их обработки. 10.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. 10.2. Обработка персональных данных в Обществе осуществляется следующими способами: неавтоматизированная обработка персональных данных; автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персона. 11. Права субъектов персональных данных. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: — подтверждение факта обработки персональных данных оператором; — правовые основания и цели обработки персональных данных; — цели и применяемые оператором способы обработки персональных данных; — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; — обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; — сроки обработки персональных данных, в том числе сроки их хранения; — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; — информацию об осуществленной или о предполагаемой трансграничной передаче данных; — наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; — иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект вправе отозвать свои персональные данные.
5.25 Защита персональных данных – ФЗ-152
Сфера действия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:
настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Иными словами, действие ФЗ-152 в равной степени касается как субъектов государственного подчинения, так и компаний, которые оперируют персональными данными в личных и коммерческих целях. В категорию тех на кого распространяются требования ФЗ-152, попадают все организации, в силу должностных и профессиональных особенностей обязанные собирать, систематизировать и защищать личные данные.
В целях достижения необходимого уровня соответствия законодательству по организации безопасной обработки персональных данных, предоставляем следующий комплекс услуг по реализации организационно-правовых требований и построению системы защиты персональных данных:
обследование информационных систем по обработке персональных данных;
определение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
разработка нормативных документов, регламентирующих правила работы с персональными данными сотрудников и иных субъектов персональных данных;
определение актуальных угроз безопасности персональных данных;
составление частной модели угроз;
классификация информационных систем персональных данных;
подача Уведомления/Информационного письма об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций;
обучение ответственного лица за организацию безопасной обработки персональных данных сформированным регламентам;
сопровождение — консультации пользователей информационных систем персональных данных, ответы на вопросы пользователей информационных систем персональных данных, бесплатное участие в семинарах по безопасности;
определение, установка и настройка технических средств защиты информации на автоматизированные рабочие места, входящие в состав информационных систем персональных данных.
Категории персональных данных | Cloud4Y
Проблема персональных данных и соответствия требованиям закона ФЗ-152 волнует большое количество компаний. У многих из них после прочтения документа возникает вопрос: какие вообще есть категории персональных данных и как правильно их защищать? Cloud4Y помогает разобраться в вопросе.
Категории персональных данных, соответствующих Федеральному закону №152 (О персональных данных)
Существует 4 категории персональных данных, которые могут нуждаться в защите от посягательств со стороны третьих лиц. Это:
-
Общедоступные —персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
-
Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД.
-
Специальные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
-
Иные — персональные данные, не относящиеся ни к одной из вышеназванных категорий (специальные, биометрические, общедоступные).
Таблица определения уровня защищенности
Особенности облака ФЗ-152
Передача персональных данных на обработку Облачному оператору выполняется в соответствии с законом 152-ФЗ «О персональных данных».
Разделение ответственности за обеспечение безопасности персональных данных.
Cloud4Y обеспечивает безопасность и выполнение требований регуляторов:
- на физическом уровне: сертифицированные ЦОД, охранная и пожарная сигнализация, видеонаблюдение и контроль доступа, резервирование систем;
- на уровне инфраструктуры: платформы виртуализации и хранения, сервисы облака, периметр сети, системы управления;
- на уровне сегмента администрирования.
Клиент обеспечивает безопасность и выполнение требований регуляторов:
- на уровне сегментов клиентских виртуальных машин;
- на уровне операционной системы виртуальной машины.
В стоимость услуг облака включены сертифицированные средства защиты информации, в том числе:
- межсетевые экраны уровня границы сети и границы виртуального облака клиента;
- система обнаружения вторжений;
- сканер уязвимостей;
- антивирусное ПО и система защиты от НСД;
- критошлюз с шифрованием по ГОСТ и сертифицированные клиенты для подключения к облаку.
- сертифицированная система резервирования
- сертифицированная система виртуализации
Пример реализации ИТ-инфраструктуры
ИТ-инфраструктура может быть организована разными способами. Ниже предложен вариант размещения, используемый корпоративным облачным провайдером Cloud4Y.
Кроме того, наша компания оказывает комплексную поддержку клиентам. В частности, мы можем взять на себя вопросы:
- Предварительного обследования ИСПДн заказчика на предмет соответствия ФЗ-152;
- Разработку полного комплекта организационно-распорядительной документации;
- Аттестационных испытаний, выдачи аттестата соответствия по требованиям безопасности информации на ИСПДн;
- Установки и настройки технических средств защиты (Dr.Web, SecretNet, Scanner), сертифицированных ФСТЭК;
- Миграции на облачную платформу (оказываем помощь в переезде или сами выполняем необходимые работы).
Пример реализации ИТ-инфраструктуры с vGate
Самостоятельная защита ПДн vs. услуга Облако ФЗ-152
В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищенном облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.
Справочник для иностранных компаний в России
Ольга Ермакова Старший специалист по юридическим вопросам и комплаенсу Linxdatacenter
Российский рынок имеет большой потенциал для иностранных компаний. Но из-за мифов о рынке и неточного представления о связанных с этим рисках они часто не решаются развивать здесь свой бизнес. В частности, они считают соблюдение местного законодательства о персональных данных — вызов для любого бизнеса, заботящегося о репутации и будущем росте — сложным и дорогостоящим.
Для иностранных компаний, работающих или планирующих свою деятельность в России, эта статья предлагает краткое руководство по соблюдению правил защиты персональных данных в России. Мы надеемся, что это устранит некоторые опасения по поводу обработки данных в России и поможет предприятиям начать жить в соответствии с Федеральным законом № 152, который является основой закона о защите данных в этой стране.
Немного предыстории
В дополнение к стандартным решениям для колокации почти все коммерческие центры обработки данных предлагают своим клиентам широкие возможности подключения.Когда компания размещает свою ИТ-инфраструктуру в центре обработки данных, она может получить доступ к ИТ-услугам от нескольких операторов по всему миру. Синхронизация многих систем различных технологий и стандартов уже сложна. Обеспечение правовой гармонии добавляет еще один уровень сложности.
Хотя цифровой бизнес давно начал трансгранично и количество компаний, работающих в глобальном масштабе, продолжает расти, мир еще не стал глобальной деревней. Во многом это связано с различиями в местном законодательстве.Защита персональных данных — это область, в которой существенные различия требуют пристального внимания со стороны внешних компаний, выходящих на российский рынок.
Федеральный закон № 152 (ФЗ-152), различные постановления правительства России и постановления регулирующих органов регулируют обработку персональных данных граждан России. В Европейском союзе аналогичную роль играют Общие правила защиты данных (GDPR) и местные законы стран-членов.
Мы прогнозируем, что унификация российского закона FL-152 и европейского GDPR (и, в конечном итоге, аналогичного законодательства в других регионах мира) является лишь вопросом времени.У них уже есть некоторые сходства, но также и важные различия, связанные с путями развития законодательства и практики.
Проверки гарантируют, что компании соблюдают правила.С 2019 года политика Роскомнадзора (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) по проверке включает:
Компании, работающие с особыми категориями данных (например, биометрия), и операторы, передающие данные иностранным государствам, компаниям и гражданам, могут проверяться каждые два года.
Иностранная компания, осуществляющая сбор данных о гражданах России на территории Российской Федерации (РФ), имеет два способа обеспечить защиту данных в соответствии с законодательством:
Сценарий №1: Иностранная компания регистрируется как дочерняя компания, филиал или представительство в России.
Единственная проблема — техническая поддержка защиты персональных данных: инфраструктура и средства шифрования.Компания должна назначить специалиста по информационной безопасности, который обеспечит техническое соответствие инфраструктуры директиве FL-152.
Этот специалист должен иметь подготовку и опыт применения определенных инструкций Федеральной службы по техническому и экспортному контролю России (ФСТЭК) и Федеральной службы безопасности России (ФСБ).
Поскольку компания, только выходящая на российский рынок, вряд ли будет обладать таким опытом, ей может потребоваться помощь извне.Местные провайдеры предлагают услугу «под ключ» по стандарту FL-152 и создают защищенные зоны для обработки персональных данных в собственной инфраструктуре.
Требуется наличие локальной инфраструктуры для обработки персональных данных граждан России. Это критически важно для любой иностранной компании, обрабатывающей персональные данные в России. Несоблюдение этого правила представляет серьезный риск.
Сценарий №2: Иностранная компания не имеет зарегистрированного представительства в России, но обрабатывает персональные данные граждан России.
В этой ситуации очень маловероятно, что Роскомнадзор будет проверять бизнес-процессы компании, но он может запросить местоположение ее ИТ-инфраструктуры и ее политику в отношении обработки данных. Компания должна быть готова предоставить регулирующему органу ответы и сопутствующие документы по запросу.
Даже если они физически не присутствуют в стране, компании, ведущие бизнес в России, не должны игнорировать требования российского законодательства. Неудачная проверка приведет к тому, что власти заблокируют российским пользователям доступ к цифровым ресурсам и сервисам компании.Это может оказать сильное влияние на бизнес. Наказания за нарушение тоже неприятны, и репутация компании может пострадать, потому что подобные истории всегда появляются в средствах массовой информации.
Как выглядит поддержка FL-152?
Итак, что происходит, когда иностранная компания, нуждающаяся в помощи в соблюдении требований FL-152, обращается за помощью к российскому поставщику услуг?
Первый шаг — решить, нужна ли компании полная услуга соответствия FL-152: полный набор организационных мер.Это будет включать анализ бизнес-процессов, подготовку внутренней документации, обучение персонала и т. Д. Услуга здесь представляет собой индивидуальный проект, отвечающий конкретным потребностям бизнеса клиента.
Или компании может понадобиться только техническое решение: размещение инфраструктуры в РФ в соответствии с нормативными актами. Техническое соответствие инфраструктуры обычно означает стандартное пакетное решение, предлагаемое большинством крупных поставщиков услуг. Для каждого клиента поставщик услуг создает выделенный сегмент в собственной ИТ-инфраструктуре в защищенной сети, отвечающей требованиям ФСТЭК и ФСБ.
Компания должна детально определить каждый этап проекта защиты персональных данных, особенно первый этап — аудит. Здесь он закладывает основу для эффективного будущего решения и распределяет роли людей, которые будут нести ответственность за его разработку и поддержку.
В дальнейшем компания должна обеспечить непрерывность обработки персональных данных в рамках своих бизнес-процессов. Любые изменения в этих процессах, в том числе в протоколах безопасности, системе доступа, структуре персонала и программном обеспечении, должны включать обновление соответствующих политик, процессов, архитектуры, моделей угроз и т. Д.Об этом жизненно важно помнить.
При запуске иностранная компания может избежать внеплановых, неожиданных проверок Роскомнадзора, четко и публично разместив свою политику в отношении персональных данных на русском и английском языках на своем веб-сайте. Эти программные заявления должны содержать подробное описание всех сценариев обработки данных: данные граждан ЕС, обработанные в соответствии с GDPR, данные граждан РФ, обработанные в соответствии с FL-152, и т. Д.
Если проверка неизбежна, важно помнить это: скорее всего, это будет делать только Роскомнадзор, а внимание регулятора будет сосредоточено в основном на бизнес-процессах и их документации («документальная проверка»).Регулятора также будет интересовать расположение инфраструктуры в РФ и ее соответствие закону.
Теоретически у ФСБ и ФСТЭК могут возникнуть вопросы по техническим деталям обработки персональных данных и системам безопасности, но это маловероятно. Даже если они это сделают, нет причин для беспокойства, потому что провайдеры создают подробное и прозрачное описание окончательной архитектуры ИТ-инфраструктуры (включая документы, схемы, сертификаты).
Поставщики услуг предоставляют свои услуги в строгом соответствии со своими лицензиями. В противном случае они рискуют привлечь внимание контролирующих органов к своим собственным процессам.
Преимущества FL-152 перед GDPR?
FL-152 гласит: «Выполните эти требования, выполнив эти конкретные действия». GDPR гласит «добиться этого результата» (защита прав физических лиц на их персональные данные).
С одной стороны, европейский подход дает компании больше свободы. С другой стороны, отсутствие четкого пошагового руководства увеличивает ответственность компании и ее риск неудачи.
На наш взгляд, обеспечить соблюдение FL-152 проще: мы рассматриваем законы, указы и инструкции как инструментарий или шаблон, который компания может использовать для обеспечения соблюдения.
GDPR не предлагает такого набора. Ключевым моментом является конечная цель: защита прав человека. Влияние политики компании на эти права показывает эффективность ее подхода, и инспектор решает, соответствует ли компания требованиям.
Итак, подход GDPR намного сложнее. Без шаблонов требуется больше усилий и более глубокое понимание задач и процессов для обеспечения соответствия.
Штрафы за нарушение в России увеличились, но остаются ниже, чем в Европе: GDPR требует гораздо более строгого наказания за потенциальную утечку персональных данных.Взгляните, например, на оператора веб-сайта юридических новостей, который был оштрафован на 15 000 евро за то, что его заявление о конфиденциальности было доступно только на английском языке, хотя оно также адресовано голландской и франкоязычной аудитории. Что еще хуже, первую версию заявления о конфиденциальности было нелегко найти, и в ней не упоминалась правовая основа для обработки данных в соответствии с GDPR.
В другом примере регулирующий орган оштрафовал немецкую компанию Deutsche Wohnen SE на 14,5 млн евро за архивирование личных данных клиентов без их разрешения и за отказ предоставить возможность удалить данные, которые больше не нужны.
GDPR и FL-152 в будущем
Конечно, нам, возможно, придется вернуться к этому обсуждению. Нормы GDPR могут еще стать частью законодательства РФ, поскольку Россия присоединяется к обновленной Конвенции Совета Европы о защите частных лиц в отношении автоматической обработки персональных данных. * Эта конвенция является основным международным соглашением о защите персональных данных и основой местного законодательства. в этом районе. Обновленная версия включает подход GDPR. Мы ожидаем, что со временем он приблизит FL-152 к европейским нормам.
Мы надеемся, что российские предприятия наблюдают за изменениями в обработке данных во всем мире и видят области для улучшения своих собственных процессов.
Заключение
Соблюдение российского закона о персональных данных требует тщательного изучения и подготовки, но это достижимая цель. Ожидания российских властей понятны и разумны.
Тем не менее, их удовлетворение требует усилий и опыта. Для компании, стремящейся эффективно использовать свое время и финансовые ресурсы, лучший подход — найти надежного местного партнера, обладающего опытом в этой области.
* Обновлено протоколом CETS № 223 от 18 мая 2018 г., за неделю до вступления в силу GDPR.
Ольга Ермакова — старший специалист по юридическим вопросам и комплаенс в Linxdatacenter. Ее опыт работы более 15 лет включает обширную юридическую практику в области консалтинга и ИТ-решений. Выпускница юридического факультета Санкт-Петербургского государственного университета, она имеет сертификат GDPR Data Privacy Professional (GDPR DPP) и сертификат соответствия ICA.
Профессиональные достижения Ольги в Linxdatacenter включают участие в создании системы защиты персональных данных, поддержку процесса лицензирования информационной безопасности (ФСТЭК, ФСБ), обучение персонала обработке персональных данных и построение системы комплаенс-менеджмента.
GDPR против Федерального закона о персональных данных
Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров.Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию — защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне закономерно. В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.
Законы и правила России и ЕС
Основными документами, регулирующими работу с персональными данными, являются Федеральный закон РФ от 25.07.2012 г.152, принятого в 2006 году, и Европейского общего регламента по защите персональных данных (GDPR), который вступил в силу 25 мая 2018 года.
Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПД). Также есть понятие оператора ПД. Это относится к лицам и организациям, участвующим в обработке ПД. Обработка — это любое действие, выполняемое с персональными данными.
Термины, введенные в GDPR, очень похожи, но есть и серьезные различия.Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор». Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.
Основные отличия 152-ФЗ от GDPR
Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищены.Организация обязана назначить лицо, ответственное за обработку персональных данных — этот пункт распространен в российских и европейских правилах. В GDPR есть понятие Data Protection Officer — он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).
В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор.Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.
GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.
Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.
Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.
Требования по защите
Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка невозможна.
Российское законодательство включает только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.
Статья 25 GDPR требует от компаний создания систем со встроенной защитой личных данных и систем конфиденциальности по умолчанию — концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».
Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, а также установить механизмы управления такими рисками перед кодированием.
Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их.
Штрафы за нарушения
Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, скачанных из Интернета, не поможет — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Частично может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.
Последствия нарушения достаточно серьезные: блокировка сайта организации, крупные штрафы для юридических и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью. на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация понесет репутационные потери.
За нарушение GDPR также существует ответственность.Однако если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до трехсот тысяч рублей, то в Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота Компания.
Услуга «Облако ФЛ-152». Соблюдение требований защиты персональных данных.
В рамках услуг IaaS мы предлагаем дополнительное расширение для размещения информационных систем, обрабатывающих персональные данные, в облаке.
Соглашаясь на этот вариант, вы получаете в аренду инфраструктуру с полным набором необходимых сертифицированных средств защиты информации, а также комплект организационно-распорядительных документов, требуемых ФЗ 152 о персональных данных и других требований, касающихся защита личных данных.
Позволяет заказчику выполнить комплекс мероприятий в короткие сроки, без значительных организационных усилий и капитальных затрат, а также пройти аттестацию и подготовить процессы и информационные системы, обрабатывающие персональные данные, к любой проверке.
Схема организации услуги «Облако ФЛ-152»
«ИТ-ГРАД» предлагает услугу «Облако ФЛ-152», позволяющую оператору персональных данных не тратить деньги на создание и поддержание защищенной ИТ-инфраструктуры в соответствии с Федеральным законом 152 о персональных данных и другими требованиями по защите. личных данных. Информационная система персональных данных «IT-GRAD Cloud FL-152» отвечает всем необходимым требованиям безопасности, имеет II уровень защиты персональных данных, что подтверждается сертификатом соответствия.
«Облако FL-152» предоставляется в модели IaaS, что позволяет арендовать инфраструктуру с полным набором необходимых и сертифицированных средств защиты информации и получить требуемый Федеральным законом комплект организационно-распорядительных документов. Эта услуга позволяет заказчику выполнить комплекс мероприятий в короткие сроки, без значительных организационных усилий и капитальных затрат, а также пройти аттестацию и подготовить процессы и информационные системы обработки персональных данных к любой проверке
Сохраняя собственную инфраструктуру в защищенном сертифицированном фрейме облака «ИТ-ГРАД», вы получаете:
- Устойчивая облачная инфраструктура на основе платформы виртуализации VMware.
- Гарантированная безопасность персональных данных от IV до II уровня безопасности *.
- Квалифицированное 24/7 руководство ИТ-инфраструктурой высококвалифицированными специалистами.
- Возможность бесшовной миграции информационных систем в «Облако FL-152».
- Возможность создания гибридных решений и оптимальная масштабная интеграция «Облака FL-152» в IT-среду клиента.
- Консультации и консультации на всех этапах внедрения продукта и работы с ним.
- Уменьшение капитальных затрат.
* I уровень безопасности требует, как правило, индивидуального проекта. Следовательно, он может не входить в базовую услугу.
Служба подходит для таких систем, как интернет-магазины, системы управления персоналом, управление услугами, биллинг, системы маркетинговых коммуникаций, бухгалтерский учет и многое другое. Используя «Облако ФЛ-152», «ИТ-ГРАД» выступает в роли ответственного обработчика обработки персональных данных.
Services Moore ST — ЛИЧНЫЕ ДАННЫЕ
Набор услуг в области защиты персональных данных и соблюдения GDPR (General Data Protection Regulation).
Способность компаний передавать и использовать информацию о клиентах и контрагентах в эпоху цифровой трансформации мировой и российской экономики и ускорения бизнес-процессов стала одним из ключевых факторов развития бизнеса.
Правильный подход к обработке данных позволяет не только систематизировать и структурировать бизнес-процессы, связанные с аналитикой данных, но и избежать ненужной административной нагрузки, связанной с дублированием функций и прав разных подразделений компании, а также избежать значительных штрафов за нарушение персональных данных. законодательство о защите.
Законы различных стран все чаще предъявляют более строгие требования к защите данных, например: в России — Федеральный закон «О персональных данных», а в Европе — Общий регламент ЕС по защите данных (GDPR). Например, российское законодательство может налагать штрафы до 18 миллионов рублей, а GDPR налагает штрафы до 20 миллионов евро, или 4% от общемировой выручки группы компаний.
Российские компании должны быть внимательны к тому факту, что соблюдение внутреннего законодательства не обеспечивает автоматически соблюдение GDPR, поскольку многие процессы и требования введены европейским законодательством впервые.
КАК МЫ МОЖЕМ ПОМОЧЬ
Наша команда поможет вам обеспечить соблюдение нормативных требований не только в области защиты персональных данных в России, но и при трансграничной передаче данных зарубежным партнерам, материнским компаниям групп.
Наши услуги включают:
Оценка применимости правил GDPR
Мы проанализируем бизнес-процессы, документы и технологии компании, связанные с обработкой персональных данных, на предмет применимости требований GDPR.
Упрощенная проверка на соответствие ФЗ-152 «О персональных данных» и / или GDPR.
Проведем общий анализ бизнес-процессов компании, общих документов и технологий, связанных с обработкой персональных данных, на соответствие требованиям законодательства. В результате мы предоставим вам отчет о недостатках, выявленных по соответствующим категориям требований.
Углубленный анализ бизнес-процессов, документирование мероприятий и процедур, направленных на защиту персональных данных.Мы оценим процессы обработки персональных данных на предмет соответствия требованиям Федерального закона ФЗ-152 и / или GDPR, определим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных случаев несоответствия.
Оптимизация бизнес-процессов, связанных с обработкой персональных данных
Мы определим способы снижения административной нагрузки и выполнения бизнес-процессов, основанные на процессах и технологиях обработки персональных данных, выявленных на этапе исследования, а также с учетом специфики бизнеса компании.
Поддержка обработки персональных данных
Мы предоставим консультационную поддержку или поддержку по подписке во время выполнения процессов обработки и защиты данных сотрудников. Услуга включает разовые или периодические проверки на соответствие Федеральному закону ФЗ-152 и / или GDPR. Кроме того, мы поможем разработать план внутреннего аудита на предмет соответствия.
Разработка дорожной карты по приведению процессов защиты персональных данных в соответствие с GDPR
Мы подготовим дорожную карту с необходимым уровнем детализации, в которой будут описаны дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями ФЗ-152 и / или GDPR.По вашему выбору, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.
Сопровождение построения / трансформации бизнес-процессов в соответствии с требованиями ФЗ-152 и / или GDPR
Мы поможем вам как на начальном этапе, так и при трансформации бизнес-процессов в соответствии с требованиями 152 ФЗ и / или GDPR.Мы организуем мероприятия для повышения осведомленности сотрудников, разработки внутренних документов и договоров с третьими лицами, а также поможем внести изменения в технологию обработки персональных данных.
Набор услуг может быть адаптирован под ваш индивидуальный заказ.
Станислав Бойко
Директор Департамента юридического и налогового консультирования
МоскваОтправить сообщение
Faq answer — piletimuutmine — privacypolicy
1.Общие положения
1.1. Этот документ определяет политику Lux Express в отношении обработки персональных данных клиентов Lux Express, то есть пассажиров регулярных международных автобусных линий и пользователей веб-сайта Lux Express.
Политика обработки персональных данных, описанная в этом документе, должна применяться в любой стране, если она не противоречит местным законам.
На территории Российской Федерации обработка персональных данных осуществляется в соответствии с требованиями Федерального закона 152 «О персональных данных» от 27 июля 2006 года.
1.2. Следующие термины имеют соответствующие определения в тексте документа:
Оператор Персональных данных, Оператор, Lux Express — это следующие юридические лица (совместно и индивидуально): Общество с ограниченной ответственностью EUROLINES, зарегистрированное и действующее в соответствии с законодательством Российской Федерации (ОГРН 1027810259146, ИНН 7816121179, юридический адрес 198095 , Г. Санкт-Петербург, ул. Шкапина, 10), а также следующие иностранные юридические лица: Lux Express Estonia AS (Эстонская Республика), SIA Lux Express Latvia (Латвийская Республика), Lux Express Lithuania UAB (Литовская Республика ), ЛЮКС ЭКСПРЕСС ПОЛЬСКА СП.Z O. O (Польша), осуществляющие регулярные международные пассажирские автобусные перевозки под брендом Lux Express;
Владелец персональных данных, Клиент — это лицо, которое желает забронировать или приобрести, или бронирует, или покупает, или пользуется услугами международных автобусов Lux Express в своих личных целях, не связанных с коммерческой деятельностью. Владелец персональных данных — это также лицо, персональные данные которого Оператор получает от агента или туристического оператора, который продает автобусные услуги Lux Express владельцу персональных данных.
Владельцы персональных данных также являются посетителями интернет-сайта Lux Express, которые предоставляют свои персональные данные для использования веб-сайта Lux Express и / или получения информации об услугах Lux Express.
Обработка персональных данных — любое действие или последовательность действий, совершаемых Оператором с персональными данными с использованием средств автоматизации или без них. Обработка Персональных данных включает, в частности, сбор, запись, систематизацию, накопление, хранение, обновление, восстановление, использование, передачу (распространение, предоставление доступа, предоставление), анонимизацию, блокирование, удаление, уничтожение, вспомогательную компьютерную обработку (автоматизированные персональные данные обработка) системой информационных технологий Оператора, передача персональных данных за границу органам власти иностранного государства, иностранному физическому или юридическому лицу (трансграничная передача персональных данных).
Веб-сайт Lux Express является официальным источником информации Lux Express в Интернете, расположенным по адресу luxexpress.eu, simpleexpress.eu или любому другому доменному имени, включая те, которые прямо или косвенно передают пользователя на вышеупомянутые доменные имена, подлежащие географическое положение.
1.3. Владелец персональных данных может:
— запросить улучшение, блокировку или удаление своих персональных данных, если данные являются недостаточными, устаревшими, ложными, получены незаконным путем или не требуются для заявленной цели обработки, и использовать любые законные средства для защиты его / ее права;
— запросить у Lux Express раскрытие списка его персональных данных (обрабатываемых Lux Express) и их источника;
— получать информацию о времени обработки своих персональных данных, включая время хранения;
— требовать, чтобы все лица, ранее получившие его ложные или неполные персональные данные, были проинформированы об их исключении, исправлении или изменении;
— подавать жалобу в орган по защите прав владельца персональных данных или вести судебный процесс против неправомерных действий или бездействия, связанных с обработкой персональных данных;
— защищать в суде свои права и законные интересы и требовать возмещения убытков и / или моральной компенсации.
1,4. Настоящая политика конфиденциальности Lux Express распространяется на личные данные, полученные до и после их публикации.
2. Цели обработки персональных данных
Оператор будет обрабатывать персональные данные Клиента с целью заключения, изменения или расторжения договора о международных автобусных перевозках с Клиентом, выполнения такого соглашения и предоставления Оператору возможности снова использовать персональные данные Клиента, когда Клиент запрашивает другие Lux. Экспресс-услуги.
Оператор обрабатывает персональные данные Клиента при выдаче Клиенту билета, который в соответствии с законодательством является также сертификатом, подтверждающим заключение договора перевозки пассажира.
Оператор будет обрабатывать персональные данные Клиента с целью информирования Клиента об услугах Lux Express, а также на Веб-сайте Lux Express с целью предоставления Клиенту общего доступа к функциям Веб-сайта и доступа к электронному билету самообслуживания Lux Express. системы покупок, а также вести журнал действий Клиента на Сайте Lux Express.
Оператор будет обрабатывать персональные данные Клиента с целью выполнения законов о государственной границе, таможне и транспорте, включая контроль государственной границы, таможенный контроль, транспортный контроль и другие обязательные меры пограничного контроля.
Оператор обрабатывает персональные данные Клиента в целях соблюдения законодательства Российской Федерации о безопасности перевозок и передает данные в Единую государственную информационную систему безопасности на транспорте.
3.Правовые основы обработки персональных данных
В Российской Федерации
Федеральный закон № 16 О транспортной безопасности от 09.02.2007.
Федеральный закон № 127 «О государственном контроле за международными автомобильными перевозками и ответственности за их нарушение» от 24.07.1998.
Закон РФ № 4730-1 На Государственной границе Российской Федерации от 01.04.1993.
Федеральный закон № 114 О порядке въезда и выезда из Российской Федерации 15.08.1996.
Таможенный кодекс Таможенного союза,
Федеральный закон № 311 О таможенном регулировании в Российской Федерации от 27.11.2010.
В штатах деятельности Оператора (помимо местного законодательства):
Правила продажи билетов Lux Express.
Lux Express Правила перевозки пассажиров и багажа.
Договор международной перевозки пассажира (заключение договора между Оператором и Клиентом подтверждается билетом, выданным Оператором).
Согласие Клиента на обработку его персональных данных, за исключением случаев, когда обработка персональных данных разрешена без согласия Клиента.
4. Содержание Персональных данных. Условия и порядок его обработки и защиты.
4.1. Для достижения вышеуказанных целей Оператор обрабатывает следующие Персональные данные Клиента:
— фамилия, имя, отчество
— дата рождения
— тип и номер документа, удостоверяющего личность, на который был приобретен билет
— точка отправления, пункт назначения, тип маршрута перевозки (прямой, транзитный)
— дата поездки
— пол
— гражданство
— реквизиты визы или любого другого документа, дающего иностранному гражданину или лицу без гражданства право на въезд в страну пункт назначения или передать его в пути
— номера контактных телефонов, включая мобильный телефон
— электронная почта
— IP-адрес
— информация о файлах cookie, включая местонахождение (город) Клиента, коммуникационное оборудование Клиента, поведение Клиента на сайте Lux Express, его / ее интересы и заказы
— информация о браузере (или любом другом программном обеспечении, используемом для доступа в Интернет и веб-сайт Lux Express), a время доступа, адрес целевой страницы.
В рамках конкретной операции обработки персональных данных Оператор обрабатывает все данные Клиента или их часть.
Обработка персональных данных Клиента будет осуществляться только для достижения целей, указанных в разделе 2 выше.
4.2. Как правило, Оператор обрабатывает персональные данные Клиента с использованием компьютеров Оператора (автоматическая обработка персональных данных) и информационных систем третьих лиц, интегрированных с системой Оператора, для следующих целей: продать билет Клиенту, изменить билет, отменить билет, для расчета по счетам Клиента по договору перевозки, для информирования Клиента о том, что договор перевозки выполнен, для выполнения любых внутренних операций, связанных с транспортировкой Клиента, для выполнения требований безопасности перевозки, а также пограничного и таможенного контроля процедуры.
В процессе обработки персональные данные Клиента могут передаваться по внутренней компьютерной сети Lux Express на базе сети Интернет.
4.3. Любые персональные данные могут быть переданы в информационную систему третьей стороны, интегрированную с информационной системой Оператора, как правило, в виде анонимных данных и только для целей и в связи с операциями, указанными в пункте 4.2. выше.
4.4. Оператор будет передавать персональные данные Клиента на иностранную территорию только другому юридическому лицу Lux Express, подпадающему под определение «Оператор персональных данных», как определено в пункте 1.2 выше и используя внутреннюю сеть на базе Интернета.
Любая трансграничная передача персональных данных Клиента иностранному органу власти будет осуществляться в соответствии с обязательными требованиями местного законодательства и по запросу иностранного органа, который является обязательным для Оператора.
4.5. Оператор передает персональные данные Клиента следственным и судебным органам или другим уполномоченным государственным органам по их запросу и по другим причинам, определенным местным законодательством.
Если Клиент является истцом или стороной судебного процесса, Оператор может передать документы или информацию, содержащие персональные данные Клиента, в качестве доказательства в суд, государственный орган или должностное лицо.
4.6. Чтобы использовать персональные данные Клиента для последующих запросов Клиента и информировать Клиента об услугах Оператора, Оператор будет хранить персональные данные Клиента в течение пяти (5) лет после последнего запроса Клиента, а затем удалит эти данные.
4.7. Оператор прекратит обработку персональных данных Клиента по истечении срока действия согласия Клиента или в случае отзыва Клиентом согласия на обработку персональных данных или при обнаружении незаконной обработки персональных данных.
4.8. Оператор и другие лица, должным образом уполномоченные на доступ к персональным данным, будут гарантировать конфиденциальность персональных данных, не разглашать их третьим лицам и не распространять их без согласия владельца персональных данных, если иное не предусмотрено законодательством.
4.9. Lux Express примет все юридические, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа, удаления, изменения, блокировки, копирования, передачи или распространения, а также других незаконных действий в отношении них.
Lux Express назначил должностных лиц для координации обработки персональных данных и безопасности.
5. Обновление и изменение личных данных
5.1. Оператор обновит и изменит личные данные Клиента по последующему запросу Клиента службы Lux Express, если будут предоставлены какие-либо новые данные или если есть какая-либо другая причина для изменения личных данных.
Персональные данные Клиента могут быть обновлены и / или изменены, если Клиент запрашивает услугу Lux Express по телефону (используя линию обслуживания клиентов, опубликованную на веб-сайте Lux Express, раздел Информация), если данные, подлежащие изменению, включают очевидные технические ошибки и опечатки в любые из следующих личных данных Клиента: фамилия, имя, отчество, адрес электронной почты, номер телефона, а также возможность (имеет технические средства) однозначно идентифицировать Клиента по имеющимся достоверным данным Клиента.
5.2. Оператор также обновит и изменит личные данные Клиента по письменному запросу последнего, поданному Оператору, используя любое из следующих средств:
— обращение в любой офис обслуживания Lux Express в любой стране, где работает Оператор;
— заказное письмо с доставкой под подпись, отправленное на зарегистрированный почтовый адрес Оператора в любой стране, где работает Оператор;
— электронное письмо, отправленное по электронной почте на адрес электронной почты Оператора.
Контактные адреса для заявок на обработку персональных данных опубликованы на Сайте Lux Express (раздел «Информация»).
5.3. Если у Оператора есть сомнения в том, что персональные данные, представленные Клиентом для обновления или изменения, верны, или если нет документального подтверждения данных, то Оператор может потребовать, чтобы Клиент предоставил документальное подтверждение обновленных персональных данных (паспорт, брак сертификат, справка об изменении имени или любой другой документ).
5.4. Оператор удалит персональные данные Клиента, если Клиент запретит их дальнейшую обработку, и сообщит Клиенту о своих персональных данных в соответствии с процедурами, описанными в этом разделе.
6. Информация. Изменения в Политике конфиденциальности Lux Express
6.1. Когда Клиент посещает веб-сайт Lux Express, Lux Express информирует Клиента о возможности ознакомиться с Политикой конфиденциальности Lux Express, и любое последующее использование Клиентом веб-сайта Lux Express означает, что Клиент одобрил настоящую Политику конфиденциальности Lux Express и согласился с его / ее персональные данные для обработки.
6.2. Lux Express информирует Клиента о возможности ознакомиться с Политикой конфиденциальности Lux Express перед оформлением билета Клиенту или заключением, изменением или расторжением электронного соглашения о пассажирских перевозках, и указанные действия могут быть продолжены только при условии согласия Клиента на его / ее личные данные обрабатываются в соответствии с Политикой конфиденциальности Lux Express.
6.3. Lux Express оставляет за собой право вносить изменения в этот документ. Новая Политика конфиденциальности Lux Express вступает в силу после публикации на веб-сайте Lux Express.
6.4. Клиент обязан своевременно ознакомиться с поправками к этому документу на веб-сайте Lux Express.
Часто задаваемые вопросы о безопасности персональных данных HRS
|
Политика обработки персональных данных
ООО «Флорэксим»
Москва
Адрес:
123592, г. Москва, ул. Кулакова, корп.20,
с. 1А, к. VII — 22
Телефон: +7 (499) 426-24-70
Политика обработки персональных данных
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее «Политика») направлена на защиту прав и свобод лиц, чьи персональные данные обрабатываются Обществом с ограниченной ответственностью Floreixim (далее «Оператор»).
1.2. Политика разработана в соответствии с п.2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»).
1,3. Политика содержит информацию, подлежащую раскрытию в соответствии с ч. 1 ст. 14 Федерального закона «О персональных данных» и является публичным документом.
2. Информация об операторе
2.1. Оператор работает по адресу 123592, г. Москва, ул. Кулакова, корп. 20, с. 1А, комната VII.-22.
3.Информация об обработке персональных данных
3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения функций, полномочий и обязанностей, возложенных на него законом, реализации прав и законных интересов Оператора, сотрудников Оператора и третьих лиц.
3.3. Оператор обрабатывает персональные данные автоматизированными и неавтоматическими способами с использованием компьютерных средств и без использования таких средств.
3,4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, спецификацию (обновление, изменение), извлечение, использование, удаление (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
4. Обработка персональных данных клиента
4.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, регулируемых частью 2 Гражданского кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — клиенты).
4.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства Российской Федерации, а также с целью:
— Прием заявок и заявлений от субъекта персональных данных;
— Сообщать о новинках, акциях и предложениях;
— Заключение и исполнение условий договора.
4.3. Оператор обрабатывает персональные данные клиентов с их согласия, предоставленного клиентами и / или их законными представителями, путем выполнения окончательных действий на этом веб-сайте, включая, помимо прочего, заказ, регистрацию в личном кабинете, подписку на рассылку, в соответствии с настоящей Политикой. .
4.4. Оператор обрабатывает персональные данные клиентов не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства Российской Федерации.
4,5. Оператор может обрабатывать следующие персональные данные клиентов:
— ФИО;
— Адрес;
— Контактный телефон;
— Адрес электронной почты.
4.6. Особые категории персональных данных не обрабатываются:
4.6.1. расовое и национальное происхождение;
4.6.2. политические взгляды, религиозные или философские убеждения;
4.6.3. здоровье и интимная жизнь.
5. Информация о безопасности персональных данных
5.1. В процессе обработки персональных данных оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокировки, копирования, предоставления, распространения персональных данных. , а также другие незаконные действия в отношении персональных данных.
5.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются с целью обеспечения соблюдения требований, предусмотренных статьей 19 Федерального закона «О персональных данных».
5.3. В соответствии со статьей 18.1 Федерального закона 152 Оператор самостоятельно определяет состав и перечень мероприятий, необходимых и достаточных для обеспечения соблюдения требований закона. В частности, оператор предпринял следующие меры:
— назначен ответственным за организацию обработки персональных данных;
— Разработаны и внедрены локальные акты по обработке персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур обработки персональных данных и устранение последствий таких нарушений;
— принимаются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона 152;
— внутренний контроль соответствия обработки персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональные данные, локальные акты Оператора;
— Оценивается вред, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152, соотношение этого вреда и меры, принимаемые оператором, направленные на обеспечение исполнения обязанностей, предусмотренных в ФЛ-152;
— сотрудники Оператора, непосредственно обрабатывающие персональные данные, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами обработка личных данных;
— Помимо требований 152-ФЗ «О персональных данных» Оператор осуществляет комплекс мероприятий, направленных на защиту информации о клиентах, сотрудниках и контрагентах.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право:
— получать персональные данные, относящиеся к этому субъекту, и информацию об их обработке;
— для уточнения, блокировки или уничтожения его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать согласие на обработку персональных данных;
— для защиты своих прав и законных интересов, в том числе о возмещении ущерба и компенсации морального вреда в судебном порядке;
— обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.
6.2. Для реализации своих прав и законных интересов субъекты персональных данных вправе обратиться к Оператору или направить запрос лично или с помощью представителя. Запрос должен содержать информацию, указанную в ч. 3 ст. 14 Федерального закона «О персональных данных».