Положение о порядке обработки и обеспечения безопасности персональных данных

УТВЕРЖДЕНО

Филиной Надежды Михайловны

от 08.10.2025

Положение

о порядке обработки и обеспечения безопасности персональных данных

Филиной Надежды Михайловны

1. ВВЕДЕНИЕ

1.1. Настоящее Положение определяет политику Филиной Надежды Михайловны в отношении обработки персональных данных (далее - ПДн).
1.2. Настоящее Положение разработано в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативными документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн.
1.3. Цель Положения — определение порядка обработки и обеспечения безопасности (защиты) персональных данных Филиной Н. М. и иных субъектов, персональные данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина, в том числе работников Филиной Н.М., при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4. Действие настоящего Положения распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.5. Настоящее Положение подлежит публикации на корпоративном сайте Филиной Н.М. с целью обеспечения неограниченного доступа к документу.
1.6. Термины и определения, используемые в настоящем Положении, приведены в разделе 2 "Термины и определения".

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Для целей настоящего Положения используются следующие основные термины:
2.1.1. Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту ПДн).
2.1.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.1.3. Конфиденциальность персональных данных - обязательное для выполнения лицом, получившего доступ к ПДн, требование не допускать их распространения без согласия субъекта ПДн или иного законного основания.
2.1.4. Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
2.1.5. Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
2.1.6. Блокирование персональных данных - временное прекращение Обработки ПДн.
2.1.7. Уничтожение персональных данных - действия, в результате которых становится невозможно восстановить содержание ПДн в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители ПДн.
2.1.8. Обезличивание персональных данных - действия, в результате которых невозможно без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
2.1.9. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Филина Н.М. является оператором ПДн.
3.2. Обработка ПДн осуществляется в смешанном режиме, как с использованием средств автоматизации, так и без использования средств автоматизации.
3.3. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Приложение №1 к настоящему Положению.
3.4. При обработке ПДн Филина Н.М. руководствуется принципами:
3.4.1. обеспечения законности целей и способов обработки ПДн;
3.4.2. соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн;
3.4.3. соответствия объема и характера обрабатываемых ПДн, а также способов обработки ПДн целям обработки ПДн;
3.4.4. отсутствия избыточных ПДн по отношению к заявленным при сборе ПДн целям;
3.4.5. использования раздельных баз данных ИСПДн для несовместных целей обработки ПД;
3.5. Филина Н.М. не осуществляет обработку специальных категорий ПДн.
3.6. Филина Н.М. не осуществляет обработку биометрических ПДн.
3.7. Филина Н.М. не осуществляет трансграничную передачу ПДн.
3.8. Порядок ввода в действие и изменения настоящего Положения.
3.8.1. Настоящее Положение вступает в силу с момента его утверждения Филиной Н.М. и действует бессрочно, до замены его новым Положением.
3.8.2. Все изменения в Положение вносятся приказом.
3.8.3. Все работники Филиной Н.М. должны быть ознакомлены с настоящим Положением под роспись.
3.8.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии, если иное не определено законом.
3.8.5. Настоящее Положение является обязательным для исполнения всеми работниками Филиной Н.М., имеющими доступ к персональным данным.

4. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Филина Н.М. осуществляет обработку ПДн на основании:
4.1.1. требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;
4.1.2. договоров (соглашений), определяющих цели обработки ПДн, одной из сторон которых является субъект ПДн (в роли субъектов ПДн в данном случае выступают работники и (или) контрагенты Филиной Н.М.).
4.2. Полный перечень целей обработки ПДн и действий с ПДн приведены в Приложение №2 к настоящему Положению.
4.3. Доказательством получения согласия субъектов ПДн на обработку их данных являются:
трудовые и (или) гражданско-правовые договоры с субъектами ПДн;
4.3.1. трудовые и (или) гражданско-правовые договоры с субъектами ПДн;
4.3.2 согласия субъектов ПДн на обработку своих ПДн, представленные в форме, предусмотренной в Приложении №3 к настоящему Положению.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн Филиной Н.М. должна осуществляться с учетом требований, указанных в пунктах 5.1.1-5.1.6. настоящего Положения.
5.1.1. Обработка ПДн субъектов ПДн должна осуществляться с соблюдением требований Федерального закона 152-ФЗ «О защите персональных данных», а также требований постановления Правительства от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и иных нормативных правовых актов.
5.1.2. При определении объёма и содержания обрабатываемых ПДн субъектов ПДн Филина Н.М. обязана руководствоваться Конституцией Российской Федерации и иными Федеральными законами.
5.1.3. ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то Филина Н.М., до начала обработки ПДн, обязано сообщить субъекту ПДн: о наименовании и адресе Филиной Н.М.; о целях обработки ПДн; о правовом основании обработки ПДн; о перечне обрабатываемых ПДн; о предполагаемых пользователях ПДн, о правах субъекта ПДн; о источнике получения ПДн. Филина Н.М. освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлен об осуществлении обработки его персональных данных соответствующим оператором, ПДн получены Филиной Н.М. на основании Федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн.
5.1.4. Филина Н.М. не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных, иных убеждениях, состоянии здоровья и частной жизни. В случаях, непосредственно связанных с вопросами договорных отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Филиной Н.М. только с его письменного согласия.
5.1.5. Филина Надежда Михайловна не имеет право получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
5.1.6. Филига Надежда Михайловна не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом ПДн трудовой функции.
5.2. Специально уполномоченные лица осуществляют обработку ПДн субъектов ПДн в объёмах и целях, предусмотренных законодательством Российской Федерации и нормативными документами Филиной Надежды Михайловны, а также обеспечивают их защиту от неправомерного использования, утраты и несанкционированного уничтожения.
5.3. При принятии решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Филина Надежда Михайловна не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки, кроме согласия субъекта ПДн в письменной форме.
5.4. Защита ПДн субъектов ПДн от неправомерного их использования или утраты обеспечивается Филиной Надежды Михайловны за счёт собственных средств в порядке, установленном действующим законодательством РФ в области защиты ПДн.
5.5. При обработке ПДн должны быть приняты все необходимые организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты ПДн.
5.6. ПДн хранятся:
• в электронном виде (на серверах локальной компьютерной сети, входящих в состав ИСПДн) с соблюдением всех требований по их конфиденциальности (информационной безопасности);
• на бумажных носителях - в запираемых шкафах и несгораемых сейфах соответствующих подразделений Филиной Надежды Михайловны с соблюдением их конфиденциальности.
5.7. Право доступа к электронным базам данных, содержащим ПДн, обеспечивается системой, осуществляющей идентифиикацию пользователей посредством индивидуальных логинов (учетных записей) и паролей.
5.8. Работник или Филина Надежда Михайловна , имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:
• обеспечивает сохранность и целостность информации, содержащей ПДн;
• предотвращает возможность несанкционированного доступа к информации, содержащей ПДн.

ОРГАНИЗАЦИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

Защита ПДн Филиной Надежды Михайловны предусматривает ограничение к ним доступа.
Доступ к ПДн имеют только специально уполномоченные работники и сама Филина Надежда Михайловна, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей, в соответствии с перечнем должностей (Приложение № 5 к настоящему Положению).
Процедура оформления доступа к ПДн включает в себя:
ознакомление уполномоченного работника под роспись с настоящим Положением;
получения у субъекта ПДн письменного согласия на обработку ПДн по форме, в соответствии с Приложением N° 3 к настоящему Положению.
Филина Надежда Михайловна, имеющие доступ к ПДн субъектов ПДн, имеют право получать только те ПДн, которые необходимы им для выполнения конкретных трудовых функций, и в целях, для которых они сообщены.
Допуск к ПДн других работников Филиной Надежды Михайловны, не имеющих надлежащим образом оформленного доступа, запрещается.
Передача ПДн третьим лицам и (или) получение ПДн у третьих лиц, осуществляется только с письменного согласия субъекта ПДн, которое оформляется по установленной форме, в соответствии с Приложением № 4 к настоящему Положению.
Предоставление ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящего Положения.

ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Защита и конфиденциальность ПДн от неправомерного использования или утраты обеспечивается Филиной Надежды Михайловны.
Общую организацию защиты ПДн осуществляет специалист по кадровому делопроизводству.
Специалист по кадровому делопроизводству обеспечивает:
ознакомление работников Филиной Надежды Михайловны под роспись с настоящим Положением;
заполнения работниками Филиной Надежды Михайловны письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил обработки ПДн;
общий контроль над соблюдением работниками Филиной Надежды Михайловны мер по защите ПДн субъектов.
Защите подлежит:

информация о ПДн;
документы, содержащие ПДн;
ПДн, содержащиеся на электронных носителях.

Защита ПДн, хранящихся в электронных базах данных Филиной Надежды Михайловны, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА

8.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты ПДн и обязательное условие обеспечения эффективности функционирования данной системы.
8.2. Филина Надежда Михайловна несёт ответственность:
• за нарушение требований законодательства РФ по обработке и защите ПДн;
• за нарушение конфиденциальности обрабатываемых ПДн;
• за нарушение требований регулирующих организаций по обработке и защите ПДн.
8.3. Работники Филиной Надежды Михайловны, в соответствии со своими полномочиями имеющие доступ к ПДн, получающие и использующие их, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования ПДн.
8.4. Руководитель, разрешающий доступ работника Филтиной Надежды Михайловны к конфиденциальному документу, несёт персональную ответственность за данное разрешение.
8.5. Каждый работник Филиной Надежды Михайловны, получающий для работы конфиденциальный документ, несёт единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.
8.6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн субъекта ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.6.1. За неисполнение или ненадлежащее исполнение работником или Филиной Надежды Михайловны по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Филина Надежа Михайловна вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
8.6.2. Должностные лица, в обязанность которых входит обработка ПДн субъекта ПДн, обязаны обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими права и свободы субъекта ПДн, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
8.6.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
8.6.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо лишением свободы в соответствии с УК РФ
8.7. Неправомерность деятельности органов государственной власти, организаций и Филиной Надежды Михайловны по сбору и использованию ПДн может быть установлена в судебном порядке.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка ПДн, определяются также их должностными инструкциями.
9.2. Разглашение ПДн (передача их посторонним лицам, в том числе, работникам или Фидлиной Надежде Михайловне, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Филиной Надежде Михайловне, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания — замечания, выговора, увольнения.
9.3. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также - к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами РФ.