1. Назначение и область применения
1.1. Настоящее Положение об обработке и защите персональных данных АКРА (АО) (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, главой 14 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также с Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера».
1.2. Настоящее Положение устанавливает требования к обработке и защите персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с АКРА, включая работников и членов их семей, участников (учредителей) АКРА, членов коллегиальных органов и аффилированных лиц, соискателей (кандидатов) на вакантные должности в АКРА, посетителей АКРА, должностных лиц контрагентов АКРА, данные которых обрабатываются для заключения договора или для его исполнения, и определяет права, обязанности и ответственность руководителей структурных подразделений и работников.
1.3. Работники допускаются к обработке персональных данных на основании приказа Генерального директора АКРА и только в объеме, необходимом для выполнения их должностных обязанностей.
1.4. Организация обеспечения безопасности персональных данных в АКРА возлагается на лицо, ответственное за организацию обработки персональных данных и назначенное приказом Генерального директора АКРА.
1.5. Действие настоящего Положения распространяется на всех работников АКРА.
1.6. Настоящее Положение подлежит опубликованию в информационно-телекоммуникационной сети Интернет на официальном сайте АКРА.
2. Термины и определения
2.1. АКРА (АО), АКРА, работодатель — Аналитическое Кредитное Рейтинговое Агентство (Акционерное общество).
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Веб-сайт — интегрированная совокупность интернет-страниц, которая размещена в сети Интернет по уникальному адресу (URL).
2.4. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые Оператором (см. Оператор) в целях принятия решений или осуществления иных действий, ведущих к юридическим последствиям в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
2.6. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
2.7. Обезличивание персональных данных — действия (операции), в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.8. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение.
2.9. Общедоступные персональные данные — персональные данные, к которым с согласия субъекта персональных данных предоставлен доступ неограниченного круга лиц или на которые не распространяется требование соблюдения конфиденциальности в соответствии с федеральными законами.
2.10. Оператор — государственный/муниципальный орган или юридическое/физическое лицо, самостоятельно или совместно с другими органами/лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.11. Персональные данные, ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе информация, необходимая работодателю в рамках трудовых отношений (см. Трудовые отношения) с работником (см. Работник) и касающаяся конкретного работника.
2.12. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.13. Работник — физическое лицо, вступившее в трудовые отношения с АКРА (АО).
2.14. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.15. Трудовые отношения — отношения между работником и работодателем, установившиеся на основании трудового договора, заключаемого ими в соответствии с Трудовым кодексом РФ.
2.16. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Цели и задачи
3.1. Целями настоящего Положения являются:
-
обеспечение соответствия действий должностных лиц, имеющих доступ к ПДн и обрабатывающих их, законодательству Российской Федерации;
-
обеспечение защиты ПДн от несанкционированного доступа, утраты, распространения и неправомерного использования.
3.2. Задачами настоящего Положения являются:
-
определение порядка и принципов обработки ПДн;
-
определение условий обработки и способов защиты ПДн;
-
определение прав и обязанностей АКРА и субъектов ПДн при обработке ПДн.
4. Состав персональных данных
4.1. Обработка ПДн в АКРА ведется в объеме, определяемом действующей редакцией «Перечня персональных данных, обрабатываемых в АКРА (АО)» с целью осуществления трудовых отношений с работниками и хозяйственной деятельности, определенной Уставом АКРА.
4.2. АКРА осуществляет обработку ПДн следующих категорий субъектов (субъектов ПДн):
-
работников и членов их семей;
-
участников (учредителей) АКРА;
-
членов коллегиальных органов АКРА и аффилированных лиц;
-
соискателей на вакантные должности в АКРА;
-
посетителей АКРА;
-
пользователей официальных сайтов АКРА;
-
должностных лиц контрагентов АКРА, данные которых обрабатываются для заключения и (или) исполнения договора.
4.3. АКРА имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования ПДн работника у третьих лиц работодатель запрашивает их с письменного согласия работника.
4.4. Информация о ПДн может содержаться:
-
на бумажных носителях;
-
на электронных носителях;
-
в информационно-телекоммуникационных сетях и иных информационных системах.
4.5. ПДн в АКРА обрабатываются как с использованием средств автоматизации, так и без их использования.
4.6. АКРА самостоятельно устанавливает способы обработки ПДн в зависимости от целей их обработки и своих материально-технических возможностей.
4.7. При обработке ПДн с применением средств вычислительной техники должностные лица, осуществляющие такую обработку (пользователи средств вычислительной техники), должны быть ознакомлены под роспись с локальными нормативными актами работодателя, устанавливающими порядок работы со средствами вычислительной техники в АКРА.
4.8. Документами, содержащими ПДн работников, являются:
-
документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
-
материалы по анкетированию, тестированию, проведению собеседований с соискателями на вакантные должности в АКРА;
-
подлинники и копии кадровых приказов (распоряжений);
-
трудовые книжки, сведения о трудовой деятельности работников;
-
документы, содержащие материалы аттестации работников;
-
копии отчетов, направляемых в государственные контролирующие органы;
-
другие содержащие ПДн документы, необходимые АКРА в рамках трудовых отношений с работником, в том числе предъявляемые в отдельных случаях в соответствии с действующим законодательством Российской Федерации.
4.9. Документами, содержащими ПДн родственников и членов семьи работников, являются:
-
свидетельство о браке/разводе;
-
свидетельство о рождении детей;
-
личная карточка (форма Т-2);
-
анкета соискателя;
-
иные документы, необходимые работодателю в рамках трудовых отношений с работником.
4.10. ПДн участников (учредителей) АКРА, членов коллегиальных органов АКРА и аффилированных лиц содержатся в следующих документах (копиях документов):
-
список участников (учредителей) АКРА;
-
анкеты членов коллегиальных органов АКРА;
-
материалы для заседаний коллегиальных органов АКРА;
-
другие документы, содержащие ПДн и предназначенные для использования в служебных целях.
4.11. ПДн соискателей на вакантные должности в АКРА, предоставляемые соискателями, содержатся в следующих документах (копиях документов):
-
анкета соискателя;
-
резюме соискателя;
-
характеристики соискателя с прежних мест работы (при необходимости).
4.12. ПДн посетителей АКРА предоставляются посетителями, после чего обрабатываются в целях обеспечения пропускного режима и содержатся в журнале учета посетителей. Журнал учета посетителей может вестись подрядной организацией, обеспечивающей пропуск посетителей в помещения АКРА на основании договора.
4.13. ПДн должностных лиц контрагентов АКРА, данные которых обрабатываются для заключения и (или) исполнения договора, содержатся в следующих документах (копиях документов):
-
доверенности;
-
журнал учета доверенностей;
-
договоры с контрагентами;
-
протоколы совещаний;
-
другие документы, содержащие ПДн и необходимые для исполнения обязательств между АКРА и его контрагентами.
4.14. В отдельных случаях с письменного согласия субъекта ПДн АКРА может запросить у третьих лиц информацию, содержащую необходимые ПДн.
4.15. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой форме, которая позволяет подтвердить факт получения согласия.
4.16. Предоставление работниками согласия на обработку их ПДн осуществляется только в письменной форме.
5. Обработка персональных данных
5.1. Общий порядок обработки
5.1.1. Обработка ПДн субъектов ПДн осуществляется уполномоченными лицами с соблюдением всех обязательных и необходимых требований законодательства Российской Федерации.
5.1.2. Генеральным директором АКРА определяются лица, уполномоченные получать (собирать), хранить, передавать, использовать и осуществлять другую обработку ПДн.
5.1.3. Целесообразность предоставления доступа к ПДн определяется комиссией, в состав которой входят не менее трех работников, и утверждается приказом Генерального директора АКРА, при этом комиссия руководствуется локальными актами АКРА и обоснованностью требуемых прав доступа.
5.2. Получение (сбор) персональных данных
5.2.1. Получение (сбор) ПДн осуществляется в целях:
-
ведения кадрового делопроизводства в полном объеме;
-
ведения бухгалтерского и налогового делопроизводства;
-
подбора персонала;
-
осуществления пропускного режима;
-
сопровождения уставной деятельности АКРА;
-
для иных целей, определенных уставной деятельностью АКРА.
5.2.2. По просьбе субъекта ПДн при получении (сборе) его ПДн АКРА должно предоставить субъекту ПДн следующую информацию:
-
подтверждение факта обработки ПДн;
-
правовые основания и цели обработки ПДн;
-
применяемые способы обработки ПДн;
-
полное наименование и местонахождение АКРА, сведения о лицах (за исключением работников АКРА), которые имеют доступ к ПДн или которыми могут быть раскрыты ПДн на основании договора с АКРА или на основании федерального закона;
-
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
-
сроки обработки ПДн, в том числе сроки их хранения;
-
порядок осуществления субъектом ПДн своих прав, предусмотренных Федеральным законом от 27.07.2006 № 152 «О персональных данных»;
-
информацию о предполагаемой передаче ПДн;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению АКРА, если обработка поручена или будет поручена такому лицу;
-
иные сведения, предусмотренные федеральными законами Российской Федерации.
5.2.3. При определении объема и содержания, обрабатываемых ПДн, АКРА руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью» и другими нормативно-правовыми актами Российской Федерации.
5.2.4. Объем и характер обрабатываемых ПДн, а также способы обработки ПДн должны соответствовать целям обработки ПДн.
5.2.5. Не допускается обработка ПДн, избыточных по отношению к целям, заявленным при получении (сборе) ПДн.
5.2.6. Все ПДн получаются лично от субъектов ПДн, за исключением следующих случаев:
-
субъект ПДн уведомлен об осуществлении обработки его ПДн;
-
ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
-
ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
-
АКРА осуществляет обработку ПДн для статистических целей, если при этом не нарушаются права и законные интересы субъекта ПДн.
5.2.7. Если ПДн возможно получить только у третьей стороны, субъект ПДн должен быть уведомлен об этом и дать письменное согласие на получение его ПДн.
5.2.8. Запрещается требовать от лиц, вступающих в трудовые отношения с АКРА, иные документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
5.2.9. Если субъект ПДн отказывается предоставить свои ПДн и тем самым нарушает требования федеральных законов Российской Федерации, субъекту ПДн разъясняются юридические последствия такого отказа.
5.2.10. Все документы, содержащие ПДн, по достижении цели, для которой они собирались, уничтожаются в соответствии с требованиями, установленными законодательством Российской Федерации.
5.3. Доступ к персональным данным
5.3.1. Перечень должностей, которым для выполнения служебных обязанностей необходим доступ к ИСПДн АКРА, утверждается приказом Генерального директора АКРА.
5.3.2. Доступ к ПДн предоставляется работникам в соответствии с п. 5.3.1. настоящего Положения и на основании их письменного согласия о соблюдении конфиденциальности ПДн и правил их обработки, которое работники передают в кадровую службу для последующего хранения в запирающемся на ключ хранилище без возможности доступа посторонних лиц.
5.3.3. Работники, имеющие доступ к ПДн, имеют право получать и обрабатывать только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.
5.3.4. Если АКРА оказываются услуги сторонними юридическими и (или) физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров этим лицам требуется доступ к ПДн, обрабатываемым в АКРА, то АКРА предоставляет необходимые ПДн только после подписания с указанными лицами соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн.
5.3.5. Государственным органам, осуществляющим функции контроля (надзора), предоставляются права доступа к ПДн, обрабатываемым в АКРА, только в сфере их компетенции и в порядке, предусмотренном законодательством Российской Федерации.
5.3.6. Субъект ПДн, данные о котором обрабатываются в АКРА, или его представитель, имеют право на свободный доступ к этим ПДн и получение их копий (за исключением случаев, предусмотренных законодательством Российской Федерации) на основании обращения либо письменного запроса.
5.3.7. АКРА обязано сообщить в порядке, предусмотренном Федеральным законом от 27.07.2006 №152 «О персональных данных», субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса от субъекта ПДн или его представителя.
5.4. Обработка документов для внутреннего пользования
5.4.1. В АКРА могут создаваться документы, содержащие ПДн работников, для общего внутреннего пользования (телефонные справочники, справочники с днями рождения, объявления, поздравления, и т. п.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших данные документы.
5.4.2. Копировать и предоставлять посторонним лицам документы, содержащие ПДн и предназначенные для внутреннего использования, категорически запрещается.
5.4.3. Обработка ПДн осуществляется работниками только на рабочих местах, выделенных для исполнения ими должностных обязанностей.
5.4.4. Членами различных комиссий обработка ПДн может производиться в помещениях, где происходит заседание комиссий. По окончании заседания документы, содержащие ПДн, возвращаются в места их постоянного хранения.
5.5. Передача персональных данных
5.5.1. Запрещается передавать ПДн третьей стороне без согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством Российской Федерации.
5.5.2. ПДн субъекта могут быть предоставлены родственникам, членам его семьи или его представителям только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством Российской Федерации.
5.5.3. Документы, содержащие ПДн субъекта ПДн, могут быть отправлены через организацию федеральной почтовой связи. При этом обеспечивается их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, к которому прилагается сопроводительное письмо. На конверте проставляется гриф:
«Конфиденциально»
Аналитическое Кредитное Рейтинговое Агентство (Акционерное общество)
Садовническая набережная, д.75, Москва, 115035
Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
5.5.4. Запрещается передача ПДн по незащищенным каналам связи (по телефону, факсу, электронной почте, не являющейся корпоративной) без письменного согласия работника.
5.5.5. Внутри АКРА без письменного согласия субъекта ПДн разрешается передача ПДн лицам, имеющим право обработки ПДн для выполнения их должностных обязанностей.
5.5.6. Лица, получающие ПДн, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они получены.
5.5.7. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности.
5.5.8. Разрешается передавать ПДн представителям субъектов ПДн в порядке, установленном законодательством Российской Федерации, и в объеме, необходимом для выполнения указанными представителями их функций.
5.5.9. Факты неустановленной договорными отношениями или осуществляемой не с целью выполнения требований законодательства Российской Федерации передачи ПДн третьим лицам учитываются в журнале учета передачи сведений, содержащих ПДн. В журнале указываются сведения о поступившем запросе (кто является отправителем запроса, дата его поступления) и о дате ответа на запрос, а также данные о том, какая именно информация была передана, либо проставляется отметка об отказе в предоставлении информации.
5.5.10. Лицо, ответственное за организацию обработки ПДн, обеспечивает ведение журнала учета передачи сведений, содержащих ПДн, в электронном виде.
5.5.11. Ответ на запрос на передачу ПДн подписывается (визируется) руководителем структурного подразделения, которое отвечает за достоверность содержащихся в ПДн сведений, если иное не предусмотрено законодательством Российской Федерации.
6. Обязанности лиц, допущенных к обработке персональных данных
6.1. Работники, допущенные к обработке ПДн, обязаны:
-
знать и выполнять требования настоящего Положения;
-
осуществлять обработку ПДн в рамках своих должностных обязанностей и в целях, определенных данным Положением;
-
обрабатывать только те ПДн, к которым получен доступ;
-
сохранять конфиденциальность известных им ПДн;
-
информировать своего непосредственного руководителя о фактах нарушения порядка обработки ПДн и о попытках несанкционированного доступа к ним;
-
информировать лиц, получающих ПДн, о том, что эти данные могут быть использованы исключительно в целях, для исполнения которых они передаются;
-
выполнять требования по защите полученных ПДн;
-
соблюдать правила пользования документами, содержащими ПДн, порядок их обработки и защиты;
-
предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки ПДн, а также о фактах их разглашения.
6.2. Лица, виновные в нарушении настоящего Положения, режима конфиденциальности ПДн, норм, регулирующих получение, обработку и защиту ПДн работника, в том числе повлекшие негативные последствия для работника, могут нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3. Лица, допущенные к обработке ПДн, в случае обращения субъекта ПДн или его представителя по факту выявления неправомерной обработки ПДн, обязаны устранить нарушения, руководствуясь законодательством Российской Федерации.
6.4. Согласие на обработку ПДн может быть отозвано субъектом ПДн.
6.5. В случае получения отзыва согласия на обработку ПДн от субъекта ПДн лицо, ответственное за организацию обработки ПДн, инициирует прекращение обработки ПДн с их последующим уничтожением, если иное не предусмотрено договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между АКРА и субъектом ПДн либо если АКРА не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
7. Защита персональных данных
7.1. Защита прав субъектов ПДн от неправомерного использования их ПДн или их утраты обеспечивается АКРА в установленном законодательством Российской Федерации и локальными актами АКРА порядке по выполнению комплекса организационно-технических мер, обеспечивающих безопасность ПДн.
7.2. Получение и обработка уполномоченными лицами ПДн производится после подписания субъектом ПДн согласия на обработку его ПДн в случаях, если это требуется законодательством Российской Федерации.
7.3. Документы, содержащие ПДн, хранятся в надежно запираемых хранилищах (допускается хранение в незапираемых шкафах при условии отсутствия бесконтрольного доступа посторонних лиц в помещения, где находятся хранилища).
7.4. Хранение ПДн в структурных подразделениях АКРА, работники которых имеют допуск к ПДн, осуществляется в порядке, исключающем доступ третьих лиц к ПДн.
7.5. Организация защиты ПДн в информационных системах АКРА осуществляется в рамках действующей в АКРА системы защиты информации. Доступ к ИСПДн АКРА обеспечивается программно-техническими средствами защиты информации.
7.6. В помещениях, где ведется обработка ПДн, обеспечивается сохранность технических средств и средств защиты информации, обрабатывающих ПДн, а также самих ПДн и исключается возможность бесконтрольного проникновения в данные помещения посторонних лиц.
7.7. В течение рабочего времени ключи от шкафов (ящиков, хранилищ), в которых содержатся носители ПДн, а также от помещений, где находятся средства вычислительной техники, предназначенные для обработки ПДн, находятся на хранении у ответственных работников.
7.8. По окончании рабочего времени помещения, предназначенные для обработки ПДн, закрываются на ключ или электромагнитный замок, доступ в такие помещения находится под постоянным контролем.
7.9. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.
7.10. АКРА не имеет права принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
7.11. Не допускается отвечать на вопросы, связанные с передачей ПДн по телефону или факсу.
7.12. Все меры конфиденциальности при сборе, обработке и хранении ПДн работника распространяются как на бумажные, так и на электронные носители информации.
8. Права субъектов на защиту своих персональных данных
8.1. В целях обеспечения защиты своих ПДн субъект имеет право:
-
получать полную информацию о своих ПДн и их обработке (в том числе автоматизированной);
-
получать свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
-
требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением федерального закона (при отказе АКРА или уполномоченного им лица исключить или исправить указанные ПДн работник имеет право заявить в письменной форме о своем несогласии с указанными ПДн, обосновав соответствующим образом такое несогласие;
-
отозвать согласие на обработку своих ПДн в установленном законодательством Российской Федерации порядке;
-
требовать от АКРА или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них изменениях, исключениях или дополнениях;
-
обжаловать в суде любые неправомерные действия или бездействие Генерального директора АКРА или уполномоченного им лица при обработке и защите ПДн;
-
вносить предложения по мерам защиты ПДн.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
9.1. Должностные лица, имеющие доступ к ПДн, несут личную ответственность за нарушение режима защиты ПДн в соответствии с законодательством Российской Федерации, Уставом АКРА и трудовыми договорами.
9.2. Каждый работник АКРА, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Работники АКРА, которые получили информацию о ПДн в силу своего служебного положения, несут ответственность за разглашение ПДн.
9.4. Обязательства по соблюдению конфиденциальности ПДн остаются в силе и после окончания работы с ними вышеуказанных лиц.
9.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера могут применяться предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
9.6. Ответственность за соблюдение настоящего Положения несут работник и руководитель структурного подразделения, осуществляющего обработку ПДн.
9.7. Должностные лица, в обязанность которых входит обработка ПДн, при необходимости обязаны обеспечить каждому субъекту ПДн возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Российской Федерации. Неправомерный отказ от предоставления собранных в установленном порядке документов, несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законодательством Российской Федерации, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом Российской Федерации об административных правонарушениях.
9.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
10. Контроль соблюдения требований по обработке и защите персональных данных
10.1. В целях поддержания необходимого уровня защищенности ПДн и соблюдения предъявляемых к их обработке требований ежегодно проводится проверка контроля защиты информации в ИСПДн.
10.1.1. Проверка может проводиться как собственными силами АКРА, так и с привлечением сторонних организаций.
10.1.2. В рамках проведения проверок проводится анализ соответствия обработки и защиты ПДн в АКРА требованиям законодательства Российской Федерации в области обработки и защиты ПДн, настоящего Положения и иных внутренних документов АКРА в области обработки и защиты ПДн.
10.1.3. По решению лица, ответственного за организацию обработки ПДн, в АКРА могут быть разработаны детальные процедуры проведения проверки.
10.2. К проверке предъявляются следующие требования:
-
проведение в соответствии с установленными при инициировании областью и критериями проверки;
-
составление отчета по результатам проверки, который должен быть подписан всеми лицами, проводившими проверку;
-
включение в отчет перечня выявленных несоответствий и замечаний, а также перечня мероприятий по устранению несоответствий и недостатков; перечень может предоставляться в виде отдельного документа.
10.3. В отчет о результатах проверки включается заключение, в котором предоставляется:
-
информация об отсутствии или выявлении нарушений требований законодательства Российской Федерации в области защиты ПДн;
-
информация о достаточности или нехватке применяемых в АКРА мер по защите ПДн, необходимых для поддержания необходимого уровня защищенности ПДн.
10.4. После проведения проверки Генеральному директору АКРА предоставляются отчет о результатах проверки и план мероприятий по исправлению и недопущению повторного возникновения выявленных несоответствий и условий, способствовавших их появлению.
10.5. Для решения оперативных вопросов и срочных задач по защите ПДн в АКРА может создаваться комиссия. Порядок работы комиссии и перечень решаемых ей вопросов определяются на основании приказа Генерального директора АКРА.
10.6. Создание комиссии необходимо для определения и актуализации:
-
уровня защищенности ПДн при их обработке в ИСПДн;
-
ПДн, обрабатываемых в АКРА;
-
перечня лиц, допущенных к обработке и защите ПДн в АКРА;
-
информационных систем обработки ПДн в АКРА.
11. Заключительные положения
11.1. Настоящее Положение и вносимые в него изменения вступают в силу с момента их утверждения Генеральным директором АКРА.
11.2. Требования настоящего Положения могут детализироваться другими внутренними нормативными документами АКРА.
11.3. С настоящим Положением и всеми его изменениями все работники АКРА должны быть ознакомлены под роспись.
11.4. Если отдельные пункты настоящего Положения вступают в противоречие с изменениями, внесенными в законодательные и нормативно-правовые акты Российской Федерации, данные пункты не применяются. До внесения изменений в соответствующие пункты необходимо руководствоваться законодательными и нормативно-правовыми актами Российской Федерации.