Положение о защите персональных данных в ООО «ДЖИЛЕКС»

1. Общие положения

1.1. Положение о защите персональных данных ООО «ДЖИЛЕКС» (далее – Работодатель) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории РФ.

1.2. Цель настоящего Положения – защита персональных данных работников ООО «ДЖИЛЕКС» от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

1.3. В целях настоящего Положения:

  • под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;
  • под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
  • под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.

1.4. Настоящее Положение и изменения к нему утверждаются Генеральным директором ООО «ДЖИЛЕКС» . Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

2. Защита персональных данных

2.1. Работодатель принимает следующие меры по защите ПД:

2.1.1. Назначение лица, ответственного за обработку ПД, которое осуществляет общую организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД.

2.1.2. Назначение лиц, ответственных за обработку и сохранность ПД в структурных подразделениях ООО «ДЖИЛЕКС» в зависимости от категорий субъектов ПД.

2.1.3. Разработка политики в отношении обработки ПД.

2.1.3. Установление правил доступа к ПД и мест хранения ПД.

2.1.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

2.1.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

2.1.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

2.1.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающихнесанкционированный к ним доступ.

2.1.8. Обнаружение фактов несанкционированного доступа к ПД.

2.1.9. Восстановление ПД, модифицированных или уничтоженных вследствиенесанкционированного доступа к ним.

2.1.10. Обучение работников, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Работодателя в отношении обработки ПД, локальным актам по вопросам обработки персональных данных.

2.1.11. Осуществление внутреннего контроля и аудита. Создание комиссии по защите ПД.

2.1.12. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах в соответствии с требованиями, установленными Постановлением Правительства РФ № 1119 от 01.11.2012 г.

Работодатель определил угрозы безопасности ПД как угрозы третьего типа, ввиду отсутствия потенциальной опасности от системного и от программного обеспечения.

Работодатель обеспечивает 3–ий уровень защищенности ПД при их обработке, так как для информационной системы актуальны угрозы 3–го типа и информационная система обрабатывает биометрические ПД сотрудников (фото и видеозапись на территории Работодателя).

Третий уровень защищенности. Если при втором типе угрозы работодатель обрабатывает общие ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы работодатель обрабатывает специальные категории ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы работодатель обрабатывает биометрические ПД, или при третьем типе угрозы работодатель обрабатывает общие ПД более чем 100 тыс. физических лиц

2.2. Для обеспечения третьего уровня защищенности работодатель:

  • обеспечивает режим безопасности помещений, в которых размещается информационная система;
  • обеспечивает сохранность и учет носителей информации;
  • утверждает перечень работников, допущенных до ПД;
  • использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации;
  • назначает ответственного за обеспечение безопасности ПД в информационной системе
  • разграничивает права доступа работников, допущенных до ПД, с использованием учетной записи и системой паролей;
  • производит периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью средств операционной системы Windows.
  • устанавливает на всех устройствах информационной системы лицензионную антивирусную программу Windows Defender, имеющую в своем составе модули защиты информации от вредоносного программного обеспечения.
  • производит резервное копирование средствами MSSQL информационной базы данных «1С: Предприятие», содержащую персональные данные.

В целях защиты ПД на бумажных носителях работодатель:

  • ограничивает допуск в помещения, где хранятся документы, которые содержат ПД работников;
  • хранит документы, содержащие ПД работников в шкафах, запирающихся на ключ;
  • помещения, где хранятся и обрабатываются персональные данные, оборудованы надежными замками, ключи передаются в службу контроля и режима предприятия.
  • работники, имеющие доступ к персональным данным других работников, обеспечивают хранение имеющейся у него информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.

2.3. В целях обеспечения конфиденциальности документы, содержащие ПД работников, оформляются, ведутся и хранятся только работниками отдела кадров, бухгалтерии работодателя.

Документы, содержащие ПД соискателей на вакантные должности, обрабатываются только работниками отдела кадров.

Документы, содержащие ПД потребителей, обрабатываются только работниками сервисной службы и техническим консультантом, в случае возникновения спорных ситуаций – сотрудниками юридического отдела.

Документы, содержащие ПД физических лиц, посещающих территорию предприятия, обрабатываются только руководителем службы контроля и режима предприятия и начальником службы безопасности.

2.4. Работники допущенные к ПД работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки ПД работников не допускаются.

2.5. Допуск к документам, содержащим ПД работников, внутри организации осуществляется на основании Положения о персональных данных ООО «ДЖИЛЕКС».

2.6. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта ПД на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.

2.7. Передача информации, содержащей сведения о ПД по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

3. Гарантии конфиденциальности персональных данных

3.1. Все работники организации, осуществляющие обработку ПД, обязаны хранить тайну о сведениях, содержащих ПД, в соответствии с настоящим Положением, требованиями законодательства РФ.

3.2. Субъект ПД вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

3.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД субъектов ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.