- Общие положения 1.1 Настоящая Политика организации мер информационной безопасности в области защиты персональных данных (далее – Политика) является основным регламентирующим локальным актом Общества с ограниченной ответственностью «Снежная Сова» (далее – ООО «Снежная Сова»), определяющим главные направления его деятельности в области обработки и защиты персональных данных, оператором которых является ООО «Снежная Сова».
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Основания обработки и состав персональных данных, обрабатываемых в ООО «Снежная Сова» 2.1. Обработка персональных данных осуществляется в связи с уставной деятельностью ООО «Снежная Сова», хозяйственной деятельностью, а также в ходе трудовых и иных, связанных с ними отношений, в которых ООО «Снежная Сова» выступает в качестве работодателя (гл. 14 Трудового кодекса РФ).
- заключение договоров на оказание гостиничных услуг, договоров на размещение, агентских договоров с клиентами и выгодоприобретателями (агентами, заказчиками);
- заключение договоров на оказание услуг общественного питания с клиентами и выгодоприобретателями;
- заключение договоров на пользование конференц-залом.
- в ходе процедуры заключения, изменения, расторжения договоров с партнерами;
- в ходе исполнения гражданско-правовых договоров.
- Обеспечение безопасности персональных данных 3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в ООО «Снежная Сова» является принятие всевозможных мер по предотвращению несанкционированного, в том числе случайного, доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий и атак с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки, результатом которых может стать уничтожение, изменение, блокирование, копирование, распространение защищаемой информации, а также иных несанкционированных действий.
- Доступ к обрабатываемым персональным данным 4.1. Доступ к обрабатываемым персональным данным в ООО «Снежная Сова» имеют Работники, в чьи должностные обязанности входит работа с ресурсами, содержащими персональные данные, только в том объеме, который необходим для выполнения должностных обязанностей. Допуск к персональным данным, объем доступа для Работников открывается на основании заявки, согласованной лицом, ответственным за организацию обработки персональных данных в ООО «Снежная Сова».
- Реализация настоящей Политики 5.1. ООО «Снежная Сова» принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
- Основные мероприятия по обеспечению безопасности персональных данных 6.1. Мероприятия по защите персональных данных реализуются в ООО «Снежная Сова» в следующих направлениях:
- Ответственность за соблюдение положений настоящей Политики 7.1. Осуществление общего контроля за обеспечением информационной безопасности ООО «Снежная Сова» осуществляет директор или лицо его замещающее.
- Порядок действия и изменения настоящей Политики 8.1. Настоящая Политика вступает в силу с момента ее утверждения директором и действует бессрочно до замены ее новой Политикой.
1.2 Настоящая Политика разработана в соответствии с требованиями:
2.2. В рамках осуществления уставной деятельности обрабатываются персональные данные в случаях:
1) заключения клиентских договоров:
3) трудовых отношений и иных непосредственно связанных с ними отношений, в которых ООО «Снежная Сова» выступает в качестве работодателя. При этом обрабатываются персональные данные лиц, претендующих на трудоустройство в ООО «Снежная Сова», работников ООО «Снежная Сова» (далее – Работники) и граждан, ранее работавших в ООО «Снежная Сова».
2.3. В связи с возникновением прав и обязанностей, ООО «Снежная Сова» обрабатываются персональные данные физических лиц для осуществления пропускного режима на объектах недвижимости, занимаемых ООО «Снежная Сова», а также граждан, письменно обратившихся в ООО «Снежная Сова» по вопросам его деятельности (за исключением лиц, определенных в п. 2.2. настоящей Политики).
2.4. Специальные категории персональных данных, а также биометрические персональные данные могут подвергаться обработке ООО «Снежная Сова» при возникновении необходимости для осуществления уставной деятельности, а также в трудовых и гражданско-правовых отношениях, при наличии согласия лица, персональные данные которого могут быть подвержены обработке.
2.5. Персональные данные принимаются и обрабатываются ООО «Снежная Сова» на основании законодательных актов и нормативно-правовых актов РФ, определенных в п. 1.2 настоящей Политики, а в необходимых случаях – при наличии письменного согласия субъекта персональных данных.
2.6. ООО «Снежная Сова» в установленном законодательными и иными нормативно-правовыми актами порядке предоставляет обрабатываемые персональные данные компетентным органам и организациям, государственным органам и учреждениям, имеющим право на их получение. ООО «Снежная Сова» не осуществляет обработку персональных данных не совместимых с целями их сбора.
2.7. Если иное не предусмотрено законодательными и (или) нормативно-правовыми актами РФ, по окончании обработки персональных данных, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, ООО «Снежная Сова» подвергает обезличиванию персональные данные или их уничтожению. При установлении сроков хранения для носителей, содержащих персональные данные, они подлежат уничтожению по его истечению.
2.8. Требования настоящей Политики обязательны для всех Работников, представителей контрольно-надзорных органов, допущенных к защищаемой информации на законных основаниях, а также индивидуальных лиц и работников иных организаций, допущенных к защищаемой информации для проведения работ по гражданско-правовым договорам.
3.2. Обеспечение безопасности персональных данных осуществляется в рамках установления в ООО «Снежная Сова» режима безопасности информации, доступ к которой ограничен.
3.3. Защита персональных данных при обработке персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями действующих нормативно-правовых актов РФ, а также локальных нормативных актов, регулирующих вопросы с материальными носителями информации в ООО «Снежная Сова».
4.2. Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных актов ООО «Снежная Сова». Допущенные к обработке персональных данных Работники под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами ООО «Снежная Сова», устанавливающими порядок обработки персональных данных, и иными локальными актами, разработанными и утвержденными в ООО «Снежная Сова» по вопросам обработки персональных данных.
4.3. Факты получения доступа к информационной системе персональных данных, а также факты обработки персональных данных фиксируются, в том числе, с использованием средств обеспечения информационной безопасности. Информация о фактах обработки персональных данных хранится в ООО «Снежная Сова» в течение срока, определенного действующим законодательством для хранения подобного рода документации.
4.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым ООО «Снежная Сова», осуществляется в соответствии с Федеральным законом «О персональных данных» и определяется локальными актами ООО «Снежная Сова».
5.2. Ответственность за организацию обработки персональных данных в ООО «Снежная Сова» возложена на лицо, назначенное приказом директора. Ответственное лицо за организацию обработки персональных данных в ООО «Снежная Сова» обязано:
1) осуществлять внутренний контроль за соблюдением в ООО «Снежная Сова» требований законодательных, нормативно-правовых актов РФ и локальных актов ООО «Снежная Сова»;
2) доводить до сведения работников положения законодательных, нормативно-правовых актов РФ и локальных актов ООО «Снежная Сова» в области обработки и защиты персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
4) курировать и контролировать иные вопросы, связанные с обработкой персональных данных, возникающие в процессе хозяйственной деятельности ООО «Снежная Сова».
5.3. ООО «Снежная Сова» осуществляет обработку персональных данных как без использования средств автоматизации, так и с использованием средств автоматизации. Порядок и особенности осуществления обработки персональных данных с использованием и (или) без использования средств автоматизации определены в соответствующих локальных актах ООО «Снежная Сова».
5.4. Для обеспечения управления информационной безопасностью персональных данных в ООО «Снежная Сова» создается система защиты персональных данных. Объектами защиты системы защиты персональных данных являются информация, которая содержит персональные данные и подвергается обработке ООО «Снежная Сова», а также непосредственно носители, содержащие в себе такую информацию.
5.5. Система защиты персональных данных в ООО «Снежная Сова» реализуется комплексом правовых, режимных, организационных и программно-технических мер, путем издания и утверждения регламентирующих локальных актов, информирования работников, установления необходимого программного обеспечения и иных мер, позволяющих в достаточной мере в соответствии с действующим законодательством РФ обеспечить безопасную обработку персональных данных.
1) предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей персональные данные информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
5) обеспечение безопасного доступа к сетям международного информационного обмена;
6) анализ защищенности информационной системы персональных данных;
7) организация технических средств обнаружения вторжений и компьютерных атак;
8) обеспечения контроля за реализацией системы защиты персональных данных.
6.2. С целью обеспечения непрерывного контроля за соответствием состояния защиты персональных данных на надлежащем уровне в ООО «Снежная Сова» осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям. Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих в состав системы защиты персональных данных;
2) контроль соблюдения требований по обеспечению безопасности персональных данных (требований законодательных и нормативно-правовых актов Российской Федерации и локальных актов ООО «Снежная Сова» в области обработки и защиты персональных данных).
7.2. Ответственным за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы менеджмента информационной безопасности ООО «Снежная Сова» является лицо, назначенное приказом директора.
7.3. Нарушение требований, установленных локальными нормативными актами ООО «Снежная Сова» по обеспечению информационной безопасности, является событием чрезвычайного характера и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами, договорами, заключенными между ООО «Снежная Сова» и Работниками, а также хозяйственными договорами, заключенными между ООО «Снежная Сова» и контрагентами.
7.4. Степень ответственности за нарушение требований локальных нормативных актов в области информационной безопасности определяется исходя из размера ущерба, причиненного ООО «Снежная Сова».
7.5. Руководители структурных подразделений ООО «Снежная Сова» несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях.
7.6. Каждый работник ООО «Снежная Сова» несет персональную ответственность за обеспечение информационной безопасности на своем рабочем месте.
7.7. Виды ответственности, предусмотренные отдельными федеральными законами об обращении с информацией, доступ к которой ограничен: - гражданско-правовая ответственность; - дисциплинарная ответственность; - уголовная ответственность; - административная ответственность.
8.2. Все изменения и дополнения в настоящую Политику вносятся по инициативе лица, ответственного за обеспечение информационной безопасности в области защиты персональных данных, его заместителей, и утверждаются приказом директора ООО «Снежная Сова».
8.3. Требования настоящей Политики могут расширяться другими локальными актами ООО «Снежная Сова», которые дополняют и уточняют ее.
8.4. В случае изменения действующего законодательства и иных нормативных актов, а также учредительных документов ООО «Снежная Сова», настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также учредительным документам ООО «Снежная Сова». При наступлении указанных выше обстоятельств лицо, ответственное за организацию обработки персональных данных, обязано инициировать внесение соответствующих изменений в Политику.
Скачать документ Политика в области защиты персональных данных