Положение об обработке персональных данных

1. Термины и определения

В настоящем документе используются следующие термины и их определения:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Владелец информационной системы, в которой обрабатываются персональные данные (далее – Владелец ИС) – работник, осуществляющий управление изменениями, вносимыми в информационную систему, в которой обрабатываются персональные данные.

Владелец процесса, в котором обрабатываются персональные данные (далее – Владелец процесса) – работник, осуществляющий организацию и управление процессом, в рамках которого обрабатываются персональные данные.

2. Общие положения

2.1 Настоящий документ «Положение об обработке персональных данных в ООО «ГлоПро» (далее — Положение) разработан в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах персональных данных (далее – ИСПДн).

2.2 Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:

• Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

2.3 Настоящее Положение подлежит пересмотру и при необходимости актуализации в случае изменений в законодательстве Российской Федерации о ПДн.

3. Назначение и область действия

3.1 Настоящее Положение предназначено для организации процессов обработки и обеспечения безопасности ПДн в Компании согласно требованиям действующего законодательства РФ.

3.2 Действие настоящего Положения распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче, обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые с использованием средств автоматизации и без их использования.

3.3 Действие Положения распространяется на все структурные подразделения ООО «ГлоПро» (далее – Компания).

3.4 Настоящее положение должно быть доведено до каждого работника Компании, осуществляющего обработку персональных данных, под подпись.

3.5 Личной подписью каждый работник Компании, осуществляющий обработку персональных данных, подтверждает, что он проинформирован о факте обработки им персональных данных, а также ознакомлен с совокупностью требований к обработке и обеспечению безопасности персональных данных, указанных в настоящем Положении в части, касающейся его должностных обязанностей.

3.6 Ответственность за ознакомление с Положением работников возлагается на структурное подразделение, ответственное за обеспечение информационной безопасности в Компании.

4. Роли работников

4.1 Во исполнение положений настоящего документа и в соответствии с требованиями законодательства Российской Федерации о ПДн, в Компании введена следующая роль работника:

• Ответственный за организацию обработки, безопасности ПДн, а также координатор по обращениям и запросам;

5. Обязанности работника

• Обязанности Ответственного за организацию обработки, безопасности ПДн, а также координатор по обращениям и запросам

  В обязанности Ответственного за организацию обработки, безопасности ПДн, а также координатор по обращениям и запросам входит:

  • осуществление внутреннего контроля за соблюдением Компанией и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;
  • разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных;
  • доведение до сведения работников Компании положений законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • осуществление контроля за приемом и обработкой обращений и запросов субъектов ПДн или их представителей;
  • уведомление уполномоченного органа по защите прав субъектов ПДн по запросу этого органа с предоставлением необходимой информации в течение тридцати дней с даты получения такого запроса;
  • проведение проверочных мероприятий по контролю соблюдения порядка обработки и обеспечения защищенности персональных данных;
  • при необходимости установка, конфигурирование и администрирование аппаратных и программных средств защиты информации (далее – СЗИ) ИС, в которых осуществляется обработка ПДн;
  • учет технических СЗИ;
  • тестирование системы защиты ПДн;
  • мониторинг порядка обработки ПДн;
  • организация и выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
  • обучение работников Компании по направлению обеспечения безопасности ПДн;
  • участие в проведении внутреннего контроля и служебных расследований по фактам нарушения установленных порядков обработки и обеспечения безопасности ПДн;
  • обработка обращений субъектов ПДн;
  • ведение Журнала учета обращений субъектов ПДн;
  • обработка запросов уполномоченного органа по защите прав субъектов ПДн;

  Ответственный за организацию обработки, безопасности ПДн, а также координатор по обращениям и запросам обладает следующими полномочиями:

  • запрашивать информацию у работников Компании, относящуюся к обработке ПДн и необходимую для выполнения его обязанностей;
  • контролировать выполнение процедуры уничтожения ПДн;
  • проводить плановые и внеплановые контрольные мероприятия в целях осуществления контроля, изучения и оценки фактического состояния защищенности ПДн;
  • запрашивать необходимую информацию у очевидцев и подозреваемых лиц при проведении разбирательств по фактам нарушения установленного порядка обработки и обеспечения безопасности ПДн;
  • оценивать правомерность полученных запросов уполномоченного органа по защите прав субъектов ПДн и обращений субъектов ПДн;
  • запрашивать необходимую для выполнения его обязанностей информацию у Владельцев ИС и Владельцев процессов;
  • направлять Владельцам ИС и Владельцам процессов запросы, касающиеся блокирования, уточнения, уничтожения ПДн;

• Обязанности Владельцев ИС и Владельцев процессов

  В обязанности Владельцев ИС и Владельцев процессов, в случаях, определенных настоящим Положением входит:

  • уточнение ПДн;
  • блокирование ПДн;
  • уничтожение ПДн.

6. Персональные данные, обрабатываемые в информационных системах Компании

В целях определения состава персональных данных, обрабатываемых в информационных системах Компании, определения уровня защищенности ПДн и обеспечения необходимого уровня их защиты структурное подразделение, ответственное за обеспечение информационной безопасности в Компании, организует разработку и утверждение документа «Перечень персональных данных, обрабатываемых в ООО «ГлоПро» (далее – Перечень ПДн).При разработке Перечня ПДн собирается информация о следующих группах субъектов персональных данных:

• работники Компании, с которыми заключены трудовые договоры (далее – Работники);
• кандидаты на соискание вакантной должности (профессии) (далее – Кандидат);
• клиенты Компании, которым Компания оказывает коммерческие услуги (далее – Клиенты);
• посетители офиса (-ов) Компании (далее – Посетители);
• представители контрагентов Компании, с которыми у Компании существуют договорные отношения или с которыми Компания намерено вступить в договорные отношения, а также лица, выполняющие работы в интересах Компании в соответствии с заключенными с ними гражданско-правовыми договорами (далее – Представители контрагентов).

Перечень ПДн актуализируется по необходимости, но не реже одного раза в два года.

Необходимость корректировки Перечня ПДн оценивается при модификации находящихся в эксплуатации информационных систем, вводе в эксплуатацию новых информационных систем, а также при изменении существующих процессов, в рамках которых обрабатываются персональные данные.

2 Условия обработки ПДн

2.1 В случаях, установленных пунктами 2-11 части 1 статьи 6 ФЗ «О персональных данных», обработка в Компании персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка в Компании персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 ФЗ «О персональных данных».

2.2 Типовая форма письменного согласия субъекта на обработку его ПДн приведена в приложении (приложение №1).

2.3 При отсутствии необходимости получения письменного согласия субъекта на обработку его ПДн в форме, определенной законодательством, для возможности доказательства получения согласия субъекта на обработку ПДн допускается брать согласие субъекта в произвольной форме. Примером такого согласия может служить проставление субъектом ПДн подписи рядом с текстом «Передаю персональные данные и даю согласие на их обработку в ООО «ГлоПро» с целью _________________ на срок _________/неопределенный срок (до момента отзыва данного согласия)».

2.4 Для каждого процесса Компании, в рамках которого осуществляется обработка ПДн и требуется письменное согласие субъекта на обработку его ПДн, по приведенной в Приложении №1 форме составляется отдельный шаблон согласия на обработку ПДн с указанием целей обработки персональных данных в рамках данного процесса, видов персональных данных и необходимого периода их хранения.

2.5 В случае, если Компания на основании договора поручает обработку персональных данных третьему лицу, в договоре необходимо указать цели передачи и перечень передаваемых на обработку персональных данных, а также отразить обязанность указанного третьего лица обеспечивать конфиденциальность и безопасность персональных данных при их обработке.

7. Требования к обработке ПДн

• a. Процессы обработки ПДн

  Обработка ПДн в Компании включает в себя следующие процессы:

  • сбор ПДн;
  • использование ПДн;
  • хранение ПДн;
  • передача ПДн;
  • уточнение ПДн;
  • блокирование ПДн;
  • уничтожение ПДн.

  1. Сбор ПДн

     При сборе ПДн выполняются следующие правила:

     • ПДн собираются лично у граждан, за исключением случаев получения ПДн:

       • из общедоступных источников (в том числе справочников, адресных книг);
       • по поручению от других операторов (контрагентов).

     • В случаях, если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн субъекту ПДн предоставляется следующая информация (за исключением случаев, приведенных в п. 8.1.1.3):

       • наименование и адрес Компании;
       • цель обработки ПДн и ее правовое основание;
       • предполагаемые пользователи ПДн;
       • установленные 152-ФЗ права субъекта ПДн;
       • источник получения ПДн.

     • Уведомление субъекта об обработке ПДн, полученных не от него самого, не осуществляется в следующих случаях:

       • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором (контрагентом);
       • персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной, Представителем контрагента, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
       • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
       • Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
       • предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц.

  2. Использование ПДн

     • Использование ПДн в ИСПДн Компании осуществляется работниками, замещающими должности, которые включены в утвержденный перечень должностей работников ООО «ГлоПро», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, для достижения целей обработки ПДн (приложение №3).

  3. Хранение ПДн

     • Хранение ПДн в Компании осуществляется в соответствии со следующими требованиями:

       • хранение ПДн осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить место хранения;
       • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной, Представителем контрагента, выгодоприобретателем или поручителем, по которому является субъект ПДн;
       • не осуществляется несанкционированное копирование ПДн на отчуждаемые носители информации;
       • при хранении ПДн в ИСПДн соблюдаются условия, которые позволяют обеспечивать конфиденциальность и сохранность ПДн;
       • исключен несанкционированный доступ к ПДн (доступ разрешен только работникам, замещающими должности, которые включены в утвержденный перечень должностей работников ООО «ГлоПро», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным).
     • Работники Компании, обладающие правом доступа к ПДн, несут ответственность за обеспечение безопасности ПДн, хранящихся на их автоматизированных рабочих местах.

  4. Передача ПДн

     • Передача ПДн другим работникам Компании, в другие компании или третьим лицам осуществляется в следующих случаях:

       • если передача ПДн необходима для исполнения работником трудовых обязанностей, связанных с обработкой ПДн;
       • если она нужна для исполнения федерального законодательства.
     • Работники, допущенные к работе с ПДн, не сообщают ПДн другим работникам, которые не участвуют в процессах обработки ПДн.
     • Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем ПДн.
     • Передача ПДн по телефону, факсу, электронной почте осуществляется при соблюдении правил конфиденциальности и по защищенным каналам связи или в зашифрованном виде. Передача ПДн по незащищенным каналам связи не осуществляется.

  5. Уточнение ПДн

     • В случаях выявления работником Компании, допущенным к обработке ПДн, неточных ПДн или неправомерной их обработки при обращении субъекта или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн работник информирует о данном факте Координатора по обращениям и запросам. Координатор по обращениям и запросам инициирует выполнение действий по обработке обращений субъектов персональных данных.
     • В случае уточнения (изменения) ПДн Координатор по обращениям и запросам сообщает третьим лицам, которым ранее были сообщены или переданы неверные, или неполные ПДн, все исключения, исправления и дополнения в них.
     • Об устранении допущенных нарушений или об уничтожении ПДн Координатор по обращениям и запросам уведомляет субъекта ПДн или его представителя, а также уполномоченный орган по защите прав субъектов ПДн в случае, если соответствующий процесс уточнения ПДн инициировал указанный орган.

  6. Блокирование ПДн

     • В случае выявления работником Компании неправомерной обработки ПДн или выявления неточных ПДн при обращении субъекта или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Координатор по обращениям и запросам инициирует процесс блокирования ПДн, относящихся к этому субъекту ПДн.
     • В случаях, если отсутствует возможность уничтожения ПДн в сроки, определенные п. 3-5 ст. 21 ФЗ «О персональных данных», Компания осуществляет блокирование таких ПДн и обеспечивает уничтожение в срок, не превышающий шесть месяцев.

  7. Уничтожение ПДн

     • ПДн подлежат уничтожению (или обезличиванию) в следующих случаях в указанные сроки:

       • по достижении целей обработки ПДн – в 30-дневный срок ;
       • в случае утраты необходимости в достижении целей обработки ПДн – в 30-дневный срок ;
       • в случае отзыва субъектом ПДн согласия на обработку его ПДн – в течение 7 (семи) рабочих дней в соответствии с полученным согласием субъекта ПДн на обработку ПДн или в 30-дневный срок, если иной срок не предусмотрен договором или соглашением между Компанией и субъектом ПДн, либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.

     • ПДн подлежат уничтожению (или обезличиванию) в 10-дневный срок с даты выявления неправомерной обработки ПДн в следующих случаях:

       • в случае если ПДн являются неполными, устаревшими, неточными (при условии, что уточнение ПДн невозможно),
       • в случае если ПДн являются незаконно полученными;
       • в случае если ПДн не являются необходимыми для заявленной цели обработки.
     • Процесс уничтожения ПДн при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует Владелец ИС или Владелец процесса, где эти ПДн обрабатываются.
     • Процесс уничтожения ПДн при отзыве субъектом ПДн согласия на обработку его ПДн инициируется Координатором по обращениям и запросам.
     • В остальных случаях процесс уничтожения ПДн инициирует Владелец процесса или Владелец ИС, если факт неправомерной обработки ПДн выявлен работником Компании, либо Координатор по обращениям и запросам, если факт неправомерной обработки ПДн выявлен в результате обращения субъекта ПДн или проверки, или запроса уполномоченного органа по защите прав субъектов ПДн.
     • Машинные носители информации, содержащие ПДн и пришедшие в негодность, отслужившие установленный срок или утратившие практическое значение, подлежат уничтожению.
     • Уничтожение материальных носителей ПДн должно обеспечивать полное физическое уничтожение материальных носителей и невозможность восстановления ПДн, записанных на носителях информации.
     • Перед уничтожением на всех электронных носителях информации производится стирание ПДн без возможности восстановления с использованием специализированных программ или устройств.
     • После стирания информации электронные носители уничтожаются одним из следующих способов: разрезание, сжигание, механическое уничтожение.
     • Уничтожение ПДн в информационных системах проводится путем удаления записей баз данных, содержащих ПДн, или стирания файлов без возможности восстановления с использованием специализированных программ или устройств.
     • По результатам уничтожения оформляется акт об уничтожении ПДн по форме, приведенной в приложении (приложение №2) к настоящему Положению. Утвержденный акт хранится в архиве в соответствии с законодательством РФ об архивном деле и ОРД Компании, определяющими архивное хранение документов.
     • Материальные носители ПДн, находящиеся на архивном хранении, ПДн, содержащиеся в электронных архивах, архивные копии баз данных, содержащие уничтоженные ПДн, уничтожаются в соответствии с нормами законодательства об архивном деле в Российской Федерации и локальными нормативными документами Компании.
     • В случае уничтожения ПДн по результатам проверки или запроса уполномоченного органа по защите прав субъектов ПДн, Координатор по обращениям и запросам уведомляет об уничтожении ПДн субъекта ПДн или его представителя, а также указанный орган.
     • В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в пунктах 8.1.7.1, 8.1.7.2, ПДн должны быть заблокированы, после чего ПДн должны быть уничтожены в срок, не превышающий шести месяцев.

• b. Обеспечение безопасности обработки персональных данных

  1. В целях обеспечения безопасности обработки ПДн, Компания применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
  2. Компания и иные лица, обладающие правом доступа к ПДн (в рамках выполнения должностных обязанностей или в рамках договора), исполняют обязательство не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
  3. Правовые меры обеспечения безопасности ПДн подразумевают организацию разработки Ответственным за организацию обработки ПДн локальных нормативных актов Компании, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области защиты персональных данных, а также устранение последствий таких нарушений.
  4. Для обеспечения защиты ПДн от неправомочных действий применяются следующие организационные меры:
     • повышение осведомленности работников Компании по вопросам обеспечения защиты ПДн при их обработке;
     • оперативное выявление нарушений работниками подразделений требований к режиму конфиденциальности;
     • все работники, имеющие действующие трудовые отношения, деятельность которых связана с обработкой и защитой ПДн, подписывают обязательство о неразглашении ПДн либо заключают соответствующее дополнительное соглашение к трудовым договорам, а также ознакомляются под подпись с настоящим Положением;
     • со всеми принимаемыми на работу работниками, деятельность которых будет связана с получением, обработкой и защитой ПДн, заключаются трудовые договоры, а также этими работниками подписываются соответствующие должностные инструкции, в которых должна быть отражена обязанность обеспечения конфиденциальности ПДн (приложение №5);
     • осуществляется разделение полномочий пользователей в ИС, в которых обрабатываются ПДн, в зависимости от их должностных обязанностей;
     • наличие формализованной процедуры по предоставлению доступа к ИС, а также по регулярному пересмотру (ревизии) прав доступа работников в зависимости от занимаемой ими должности.
  5. Компания передает ПДн на обработку третьим лицам (принимающей стороне) только если это необходимо для достижения целей обработки ПДн, причем существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке.
  6. Передача ПДн третьим лицам без заключенного договора и без применения мер защиты ПДн не осуществляется.
  7. Типовые положения для включения в договоры с третьими лицами, которым поручается обработка ПДн приведены в приложении (приложение №4).
  8. В случае, если в договорах с контрагентами по поручению которых Компания осуществляет обработку ПДн отсутствуют положения по обеспечению безопасности обработки ПДн и отсутствует возможность их внесения в договоры, то Компания обращается с письменным запросом к контрагенту о предоставлении сведений о наличии согласий субъектов персональных данных, форма которого приведена в приложении (приложение №6).

• c. Требования к обработке персональных данных, осуществляемой без использования средств автоматизации

  1. При обработке в Компании персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  2. Все работники Компании, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы под подпись о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
  3. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень должностей, осуществляющих обработку персональных данных либо имеющих к ним доступ.
  4. В Компании должен быть определен перечень должностей, имеющих доступ к местам хранения персональных данных и мест хранения персональных данных, обрабатываемых на материальных носителях без использования средств автоматизации (приложение №7).
  5. Необходимо обеспечивать раздельное хранение материальных носителей персональных данных, обработка которых осуществляется в различных целях.
  6. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
  7. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом, существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
  8. Материальные носители персональных данных, по достижении целей обработки, содержащихся на них персональных данных, подлежат уничтожению без возможности восстановления, если иное не предусмотрено законодательством РФ.

8. Ответственность за нарушения при обработке ПДн

8.1 Работники Компании несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

8.2 Работник Компании может быть привлечен к ответственности в случаях:

• умышленного или непреднамеренного раскрытия ПДн;
• утраты материальных носителей ПДн;
• нарушения требований настоящего Положения и других локальных нормативных актов Компании в области вопросов обработки и защиты ПДн.

8.3 В случае нарушения установленного порядка обработки ПДн виновные лица несут предусмотренную законодательством Российской Федерации ответственность.

Приложение № 1. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ