|
УТВЕРЖДАЮ Генеральный директор ООО «Охранное агентство «Северсталь» __________________ С.В. Алексеев « ___ » ___________ 2011 г.
ПОЛОЖЕНИЕ о порядке обработки и защиты персональных данных в информационных системах персональных данных ООО «Охранное агентство «Северсталь» г. Череповец, 2011 Содержание. 1. Общие положения 1.1. Назначение документа 1.2. Область действия документа 1.3. Вступление в силу документа 2. Порядок обработки персональных данных 2.1. Определения и основные принципы 2.2. Доступ к персональным данным 2.3. Перечень персональных данных, обрабатываемых Обществом. Реестр информационных систем персональных данных и архивов персональных данных 2.4. Обработка запросов субъектов персональных данных 3. Защита персональных данных в ИСПДн 3.1. Основные принципы защиты персональных данных в ИСПДн 3.2. Методы и способы защиты персональных данных в ИСПДн 3.3. Действия в случае обнаружения нарушения правил использования ИСПДн 4. Особенности обработки и защиты персональных данных в АПД 4.1. Основные способы защиты персональных данных в АПД 4.2. Хранение материальных носителей, содержащих персональные данные в составе АПД 4.3. Действия в случае обнаружения нарушения правил использования АПД 5. Ответственность 5.1. Лица со специальными полномочиями несут ответственность за: 5.2. Уполномоченное подразделение по защите (Уполномоченное лицо) несет ответственность за: 5.3. Ответственность участников процедуры ответов на запросы субъектов ПДн
1. Общие положения
1.1. Назначение документа 1.1.1. Положение об обработке персональных данных (ПДн) в информационных системах ПДн в ООО «Охранное агентство «Северсталь» (далее – в Обществе) определяет порядок сбора, хранения, передачи и иных видов обработки ПДн в Обществе. 1.1.2. Настоящее Положение разработано в соответствии с: · Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; · Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 № 781; · Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687; · Федеральным законом от 22 октября 2004 г. № 125-ФЗ "Об архивном деле в Российской Федерации". 1.1.3. Цель Положения – определение особенностей обработки ПДн субъектов ПДн в Обществе. 1.2. Область действия документа 1.2.1. Действие Положения распространяется на информационные системы ПДн Обществ, управляемых ООО «Охранное агентство «Северсталь», в которых осуществляется обработка ПДн, как с использованием средств автоматизации, так и без использования таковых. 1.2.2. Все работники Общества, допущенные к работе с ПДн, обрабатываемыми в Обществе, в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись. 1.3. Вступление в силу документа 1.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно до замены его новым Положением.
2. Порядок обработки персональных данных
2.1. Определения и основные принципы 2.1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);. 2.1.2. Обработкой ПДн признается совершение в отношении них любого действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 2.1.3. Субъектом ПДн является лицо, к которому указанные ПДн относятся; 2.1.4. Обработка персональных данных может осуществляться (1) либо на основании письменного согласия субъекта персональных данных, (2) либо на основании закона, разрешающего обработку персональных данных без выше указанного согласия. 2.1.5. В частности, согласие на обработку персональных данных не требуется в следующих случаях: · обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; · обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); · обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг; · обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем · обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; · обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; · обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; · обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ №152 «О персональных данных», при условии обязательного обезличивания персональных данных; · осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных); · осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 2.1.6. Действующее законодательство предоставляет субъектам персональных данных следующие основные права: · Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными; · Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных; · Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 2.1.7. Общество как оператор персональных данных строго соблюдает действующее законодательство о персональных данных и обеспечивает их конфиденциальность в соответствии с настоящим Положением. 2.1.8. В Обществе приказом генерального директора должно быть назначено соответствующее уполномоченное подразделение (уполномоченное лицо), ответственное за защиту персональных данных (далее - «Уполномоченное подразделение по защите», «Уполномоченное лицо»). 2.1.9. Общество осуществляет следующие основные мероприятия по защите персональных данных: · разграничение доступа к персональным данным; · установление в отношении персональных данных режима конфиденциальности; · возложение на работников и контрагентов, получающих персональные данные, обязательства по обеспечению их конфиденциальности; · защита персональных данных в информационных системах посредством аппаратных и программных средств; · ограничение доступа к серверам и рабочим станциям, с помощью которых возможно получить доступ к информационным системам, содержащим персональные данные; · ограничение доступа в помещения, в которых персональные данные хранятся вне информационных систем (на бумажных и аналогичных носителях); · хранение персональных данных в любом формате исключительно в охраняемых помещениях с соблюдением противопожарных и иных технических норм. 2.1.10. Общество может возлагать выполнение отдельных мероприятий по защите персональных данных, в т.ч. из числа указанных в п. 2.1.9 настоящего положения, на сторонние организации (подрядчиков, исполнителей). 2.1.11. Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, когда такие персональные данные являются общедоступными. Общество может в виде исключения осуществлять обработку персональных данных, касающихся состояния здоровья, при условии, что (1) получено предварительное письменное согласие субъекта персональных данных на такую обработку, и (2) осуществление обработки указанной категории персональных данных необходимо в рамках хозяйственной деятельности Общества, в том числе для реализации прав его работников. 2.1.12. Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, не могут приниматься Обществом на основании исключительно автоматизированной обработки персональных данных. 2.1.13. Распространение (предоставление) персональных данных, обрабатываемых Обществом, в адрес третьих лиц допускается лишь при наличии письменного согласия субъекта персональных данных на такое их распространение или в случае, когда такое распространение прямо разрешено законом, при этом все условия, предусмотренные настоящим положением должны неукоснительно соблюдаться. Ни в каких случаях не допускается передача персональных данных, обрабатываемых Обществом, способами, не позволяющими идентифицировать принимающего субъекта, в том числе по телефонному запросу. 2.1.14. С письменного согласия субъекта персональных данных к общедоступным персональным данным на период действия трудового договора могут быть отнесены следующие персональные данные: фамилия, имя, отчество, место работы, дата приема на работу, подразделение, должность, координаты рабочего места, табельный и личный номер, рабочий телефон, рабочий электронный адрес, дата начала работы в Обществе. 2.1.15. Общедоступные персональные данные могут быть размещены в общедоступных корпоративных источниках (справочниках Общества), которые могут передаваться в другие предприятия Группы компаний «Северсталь», находящиеся, в том числе, на территории иностранных государств. Установление режима конфиденциальности в отношении общедоступных персональных данных не требуется. 2.1.16. При прекращении правоотношений между Обществом и субъектом персональных данных по любому основанию согласие субъекта персональных данных об отнесении указанных выше данных к общедоступным прекращает свое действие. Информация по этому субъекту ПДн, размещенная в общедоступных корпоративных справочниках, должна быть удалена. 2.1.17. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: · фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; · наименование, ИНН и адрес Общества; · цели обработки персональных данных; · перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; · перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных; · наименование и адрес Общества адрес предприятия, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; · перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; · срок, в течение которого действует согласие, а также порядок его отзыва; · подпись субъекта персональных данных. 2.1.18. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных субъекта персональных данных должны соблюдать следующие общие требования: (1) при определении объема и содержания, обрабатываемых персональных данных Общество должно руководствоваться Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ и иными федеральными законами; (2) в той степени, в которой это требуется согласно действующему законодательству и настоящему Положению, Общество знакомит субъектов персональных данных и их представителей с документами Общества, устанавливающими порядок обработки их персональных данных; (3) в процессе хранения персональных данных должны обеспечиваться: · соблюдение требований нормативных документов, устанавливающих правила хранения конфиденциальных сведений; · сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством РФ и настоящим Положением; · контроль достоверности и полноты персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений. 2.1.19. При передаче персональных данных, за исключением общедоступных персональных данных, должны соблюдаться следующие требования: не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральным законом; не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия; если иное не предусмотрено законом, передавать персональные данные только при условии принятия на себя лицами, их получающими от Общества, обязательства по охране конфиденциальности и соблюдению ограничений использования ПДн (в частности, такие данные могут быть использованы лишь в целях, для которых они переданы (сообщены)) и требовать от этих лиц подтверждения того, что указанные обязательства соблюдаются; осуществлять передачу персональных данных в пределах Общества и третьим лицам в соответствии с настоящим Положением; разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции; передавать персональные данные работника представителям работников в порядке, установленном федеральным законом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции, при этом предоставление персональных данных субъектов персональных данных по устному или телефонному запросу не допускается. 2.1.20. Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении срока их хранения, установленного законодательством РФ об архивном деле, или продлевается на основании заключения экспертной комиссии Общества, если иное не определено законом. 2.2. Доступ к персональным данным 2.2. Обязательными условиями доступа к персональным данным, обрабатываемым Обществом, как для его работников, так и для его контрагентов, являются: принятие обязательства по обеспечению конфиденциальности персональных данных; ознакомление под роспись с Перечнем обрабатываемых Обществом персональных данных и с настоящим Положением, а также принятие обязательства по его соблюдению. 2.2.2. Неограниченный доступ ко всем персональным данным, обрабатываемым Обществом, предоставляется генеральному директору Общества и его заместителям. 2.2.3. Лица, указанные в п. 2.2.2.настоящего положения, вправе предоставлять доступ к персональным данным, обрабатываемым Обществом, путем выдачи допуска, в которой указывается: фамилия, имя, отчество, должность лица, которому предоставлен допуск; описание персональных данных, к которым предоставляется допуск; операции с персональными данными, которые разрешены; срок действия допуска. Генеральный директор Общества вправе своими приказами определить работников Общества, помимо перечисленных в п. 2.2.2 настоящего Положения, уполномоченных на предоставление допуска к персональным данным (далее – «Лица со специальными полномочиями»). В указанном приказе должны быть определены ПДн, к которым вправе предоставлять допуск каждое из Лиц со специальными полномочиями. 2.2.4. Лица со специальными полномочиями принимают решение о допуске работников кадровой службы, бухгалтерии, других подразделений Общества к персональным данным работников, контрагентов Общества и других субъектов обработки ПДн в объеме, необходимом для выполнения своих должностных обязанностей и организуют учет сотрудников, допущенных к ПДн. 2.2.5. При переводе (увольнении) работника, имеющего доступ к обработке персональных данных, его учетная запись (права) должны быть заблокированы. Если по новому месту работы в Обществе этому работнику вновь требуется доступ к персональным данным, то процедура доступа повторяется. 2.2.6. Лица со специальными полномочиями в объеме своих полномочий должны ежегодно организовывать проведение сверки по ролям и работникам, обрабатывающим персональные данные. Цель проверки – минимизация полномочий, а также выявление и блокирование учетных записей пользователей, которым доступ к обработке персональных данных не требуется. 2.3. Перечень персональных данных, обрабатываемых Обществом. Реестр информационных систем персональных данных и архивов персональных данных 2.3.1. Перечень персональных данных, обрабатываемых Обществом (далее – «Перечень»), ведется Директором по персоналу. 2.3.2. В Перечне указываются персональные данные по категориям граждан, чьи данные обрабатываются в Обществе, и видам персональных данных. 2.3.3. По каждому виду персональных данных указывается: · содержание персональных данных; · категория данных; · источник получения; · основание для обработки. 2.3.4. Непосредственно персональные данные в Перечень не включаются. 2.3.5. Запрещается изменение Перечня без согласования с Директором по персоналу. 2.3.6. Уполномоченное подразделение по защите (Уполномоченное лицо) ведет Реестр информационных систем персональных данных, в котором содержится информация обо всех имеющихся в Обществе информационных системах ПДн (далее – ИСПДн), представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. 2.3.7. Дополнительно в Реестр записывается информация об архивах персональных данных (далее - «АПД»), т.е. совокупности персональных данных, представленных не в электронном виде и хранящихся вне информационных систем, на бумажном или ином носителе, объединенных на основе критерия места хранения и цели обработки (бухгалтерия, кадровая служба и т.п.). 2.3.8. В отношении каждой ИСПДн/каждого АПД в Реестре указывается: · наименование ИСПДн/АПД; · Место нахождения ИСПДн/АПД (адрес, помещение); · общая характеристика субъектов, персональные данные которых хранятся в ИСПДн/АПД (контрагенты, работники, их отдельные категории и т.д.); · общая характеристика персональных данных, хранящихся в ИСПДн/АПД (реквизиты договоров, бухгалтерская информация, кадровая документация и т.д.); · вид обрабатываемых персональных данных (в соответствии с Перечнем) · результат классификации ИСПДн/АПД; · объем обрабатываемых ПДн; · наличие подключений к сетям общего пользования; · структура информационной системы; · наличие разграничения прав доступа к системе; · Подразделение, в интересах которого осуществляется ведение ИСПДн/ АПД (далее - «Подразделение владелец»); · Лицо, ответственное за работу с ИСПДн/АПД (назначается приказом Генерального директора Общества). 2.3.9. Непосредственно персональные данные в Реестр не включаются. 2.3.10. Лица, ответственные за работу с ИСПДн и АПД, обязаны незамедлительно информировать Уполномоченное подразделение по защите (Уполномоченное лицо) о любых известных изменениях, подлежащих отражению в Реестре. Уполномоченное подразделение по защите (Уполномоченное лицо) на регулярной основе запрашивает у указанных выше лиц информацию о текущих характеристиках ИСПДн и АПД, необходимых для ведения Реестра. 2.3.11. Реестр ведется в электронном виде. 2.4. Обработка запросов субъектов персональных данных 2.4.1. Субъект ПДн вправе требовать от оператора: · подтверждение факта обработки персональных данных оператором; · наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; · правовые основания и цели обработки персональных данных; · цели и применяемые оператором способы обработки персональных данных; · сроки обработки персональных данных, в том числе сроки их хранения; · наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; · ознакомления со своими персональными данными; · уточнения своих ПДн, их блокирования или уничтожения, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. 2.4.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя. 2.4.3. Запросы субъектов ПДн (далее – «Запросы») направляются канцелярией Общества или иным получившим их подразделением в Уполномоченное подразделение по защите (Уполномоченному лицу) не позднее следующего рабочего дня после их получения. 2.4.4. Сотрудник Уполномоченного подразделения по защите (Уполномоченное лицо) производит учет Запроса и в течение одного рабочего дня проверяет соответствие Запроса требованиям действующего законодательства (п.3 ст. 14 ФЗ «О персональных данных»). · Если Запрос не соответствует требованиям действующего законодательства, сотрудник Уполномоченного подразделения по защите (Уполномоченное лицо) в течение пятнадцати рабочих дней с момента получения Запроса Обществом готовит мотивированный письменный ответ за своей подписью и отправляет его лицу, направившему Запрос. · Если поступивший Запрос соответствует требованиям действующего законодательства и касается получения сведений о наличии у оператора его персональных данных, ознакомления с такими персональными данными, то в целях подготовки ответа сотрудник Уполномоченного подразделения по защите (Уполномоченное лицо): - выявляет список ИСПДн/АПД в которых содержаться ПДн субъекта поступившего Запроса и направляет внутренние запросы лицам, ответственным за работу с этими ИСПДн/АПД . Ответственные за работу с ИСПДн/АПД в срок не более трех рабочих дней направляют ответы на указанные внутренние запросы уполномоченному подразделению Общества. На основании полученной информации работник уполномоченного подразделения готовит ответ на Запрос, который должен быть подписан от имени Общества лицом, назначенным ответственным за обработку персональных данных. и направлен заявителю (субъекту ПДн) не позднее семи рабочих дней с момента получения Запроса Обществом 2.4.5. При ознакомлении субъекта Запроса с соответствующими ПДн (Запрос поступил от работника Общества), а равно при корректировке ПДн на основании устного запроса субъекта ПДн, факт ознакомления с ПДн/Корректировки ПДн должен свидетельствоваться распиской субъекта запроса ПДн по форме, утвержденной Дпректором по работе с персоналом. 2.4.6. Если Запрос субъекта ПДн соответствует требованиям действующего законодательства и касается корректировки своих ПДн (в том случае, когда ПДн являются неполными, устаревшими или недостоверными: изменения паспортных данных, состава семьи и т.п.), то такие Запросы сотрудник Уполномоченного подразделения по защите (Уполномоченное лицо) сразу перенаправляет на исполнение в подразделение, являющееся владельцем ПДн. 2.4.7. Работник кадровой службы информирует работника Уполномоченного подразделения по защите (Уполномоченное лицо) относительно ответов на Запросы субъектов ПДн (дата и номер исходящего документа) и хранит в кадровой службе в течение 5 лет Запросы, ответы на них и иные доказательства направления таких ответов. При наличии в Запросе или у Общества почтового адреса лица, направившего Запрос, сотрудник кадровой службы обязан, наряду с другими способами коммуникаций, направить ответ на Запрос заказным письмом и хранить доказательства такого направления. При возможности выдать ответ на Запрос под расписку (например – работникам Общества), ответ на Запрос выдается под расписку, подлежащую хранению сотрудником кадровой службы. 2.4.8. При обращении работников Общества (их законных представителей) с устными требованиями: об ознакомлении с кадровой документацией (личными делами и иными стандартизированными документами кадрового учета установленной формы), о получении копий такой документации, о получении справок с места работы, а равно при предоставлении работниками Общества документов и информации, направленной на корректировку их ПДн в целях кадрового учета, ознакомление работников со своими персональными данными, выдача соответствующих справок и корректировка ПДн осуществляется в порядке, установленном директором по работе с персоналом, в срок, не превышающий трех рабочих дней с момента соответствующего обращения. При этом производится идентификация личности обратившегося субъекта (его законного представителя) на основании удостоверяющих личность документов. При устном обращении законного представителя субъекта персональных данных также производится проверка его полномочий. Такие запросы в Уполномоченном подразделении (Уполномоченным лицом) учету не подлежат. 2.4.9. Запросы субъектов персональных данных, касающиеся: · получения сведений об операторе, о месте его нахождения; · уточнения, блокирования или уничтожения ПДн субъекта ПДн, направившего Запрос, в случае, если его ПДн являются, незаконно полученными, не являются необходимыми для заявленной цели обработки или в случае их неправомерного использования направляются сотрудником Уполномоченного подразделения по защите (Уполномоченным лицом) в Дирекцию по правовым вопросам (далее – «юридическая служба») Общества не позднее следующего рабочего дня после их получения для классификации. Если запрос, поступивший в юридическую службу НЕ соответствует требованиям действующего законодательства, то сотрудник юридической службы составляет ответ и направляет субъекту, направившему Запрос в срок не более 30 дней с даты получения запроса. Если запрос, поступивший в юридическую службу соответствует требованиям действующего законодательства, он обрабатывается в следующем порядке: Сотрудник Уполномоченного подразделения по защите направляет внутренние запросы лицам, ответственным за работу с ИСПДн/АПД, в которых могут содержаться персональные данные, подлежащие возможному уточнению, блокированию или уничтожению осуществляется в день получения Запроса. Ответ на указанный внутренний запрос информации направляется соответствующим ответственным лицом не позднее следующего рабочего дня за его получением. Не позднее рабочего дня, следующего за днем получения ответа на внутренний запрос информации, сотрудник Уполномоченного подразделения принимает решение о необходимости или отсутствии необходимости блокирования персональных данных. Решение об отсутствии необходимости блокирования персональных данных принимается при обнаружении достоверности персональных данных и очевидном отсутствии признаков их неправомерного использования. Решение о блокировании персональных данных принимается при обнаружении признаков недостоверности персональных данных или их неправомерного использования При принятии решения о блокировании персональных данных сотрудник Уполномоченного подразделения одновременно принимает решение о начале проверки факта недостоверности персональных данных или их неправомерного использования. Проверка факта недостоверности персональных данных осуществляется руководителем Заинтересованного подразделения, к которому относятся ИСПДн/АПД, предположительно содержащие недостоверные данные, или уполномоченными им лицами (в случае наличия предположительно недостоверных персональных данных субъекта в ИСПДн/АПД, относящихся к нескольким Заинтересованным подразделениям, по совместному решению их руководителей, проверка проводится силами одного из таких подразделений). При проверке факта недостоверности персональных данных должны быть проверены документы, представленные субъектом персональных данных (его законным представителем) одновременно с Запросом, а также, при необходимости, у указанного субъекта и у иных лиц могут запрашиваться дополнительные документы и информация. Оценка результатов проверки факта неправомерного использования персональных данных осуществляется директором по правовым вопросам или уполномоченными им лицами. 2.4.10. По результатам проверок, предусмотренных настоящим разделом положения, принимается одно из следующих решений: при отсутствии фактов недостоверности/неправомерного использования персональных данных – об их разблокировании; при обнаружении факта недостоверности персональных данных – об их изменении; при обнаружении факта совершения неправомерных действий с персональными данными – об устранении допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений – об уничтожении персональных данных в этот же срок. Решения, принятые в соответствии с настоящим пунктом положения, должны быть в форме письменного ответа доведены до сведения лица, направившего Запрос. Указанный ответ должен быть направлен субъекту, направившему Запрос, способом, обеспечивающим наличие у Общества доказательств его направления и/или получения адресатом. Внутренние запросы информации и ответы на них, предусмотренные настоящим положением, могут направляться в электронной форме. 2.4.11. Сотрудни
|
|
ООО «Охранное агентство «Северсталь» |