ПОЛИТИКА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ОНТЭКС РУ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными федеральными законами и нормативно-правовыми актами.

1.2. Политика является внутренним нормативным документом, регламентирующим деятельность Оператора в сфере обработки ПД.

1.3. Политика разработана с целью выполнения требований законодательства Российской Федерации, обеспечения защиты прав и свобод субъекта персональных данных при обработке его ПД в процессе осуществления Оператором своей деятельности, а также трудовых отношений с работниками и гражданско-правовых отношений с иными лицами.

1.4. Политика является основой для разработки и принятия Оператором локальных нормативных актов, регламентирующих вопросы обработки ПД и меры по обеспечению защиты ПД. Требования Политики и обязательны для выполнения всеми работниками Оператора.

1.5. В соответствии с ч. 2 ст. 18.1. Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в целях предоставления неограниченного доступа к настоящей Политике, она подлежит публикации на сайте Оператора в информационной сети интернет по адресу: www.ontex.ru.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТАХ ООО «ОНТЭКС РУ», РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях применения локальных нормативных актов ООО «Онтэкс РУ», регламентирующих вопросы обработки персональных данных, применяются следующие основные понятия:

Работник	физическое лицо: находящееся в трудовых отношениях с Работодателем; бывшее в трудовых отношениях с Работодателем.
Субъект персональных данных (также “Субъект”)	физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Оператор	означает Общество с ограниченной ответственностью “Онтэкс РУ”, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные ( далее «ПДн» или «ПД»)	любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Биометрические персональные данные	(включая запись и последующее хранение изображения на видео, голоса на диктофоне и т. д) сведения, характеризующие физиологические и биологические особенности человека и на основе которых можно установить личность человека. Эти данные могут используются Оператором для установления личности Субъекта персональных данных.
Обработка персональных данных Субъекта (перечень действий с персональными данными на обработку которых Субъект персональных данных дает согласие)	любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Информационная система персональных данных (далее “ИСПДн”)	информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Пользователь информационной системы персональных данных	лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты его функционирования (далее «ИСПДн»). «использование персональных данных» - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Трансграничная передача персональных данных	передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Защита персональных данных	комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Конфиденциальность персональных данных	обязательное для соблюдения ООО «Онтэкс РУ» или иным уполномоченным ООО «Онтэкс РУ» лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия Работника или наличия иного законного основания.
Персональные данные, разрешенные субъектом для распространения	персональные данные, к которым субъект персональных данных предоставил доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных (далее – согласие на распространение).
Распространение персональных данных	действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление /передача персональных данных	действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных	состояние защищенности ПД, характеризуемое способностью обеспечить конфиденциальность, целостность и доступность ПД при их обработке;
Обезличивание персональных данных	действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Уничтожение персональных данных	действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Утечка персональных данных	неправомерная или случайная передача (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Материальные носители персональных данных	обработка персональных данных, без использования средств автоматизации, то есть, на бумаге (заполненные бланки, формы и т.п).
Безопасность персональных данных	состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Правила разграничения доступа	совокупность правил, регламентирующих доступ субъектов к объектам доступа.
Уровень доступа в информационных автоматизированных системах обработки персональных данных	получение возможности на выполнение штатных команд, функций, процедур операционной системы (ввод, запись, уничтожение, копирования, перемещения и т. п.) персональных данных в исполняемых файлах прикладных программ.
Автоматизированная обработка персональных данных	обработка персональных данных с помощью средств вычислительной техники (програмно- аппаратные устройства- компьютеры и программное обеспечение).
Обработка персональных данных без использования средств автоматизации	обработка персональных данных без средств вычислительной техники, осуществляемая при участии человека, включая извлечение ПД из информационных систем
Специальные категории персональных данных	специальным категориям персональных данных относятся данные, раскрывающие расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, данные о состоянии о здоровья, интимной жизни физического лица.
Третье лицо	физическое или юридическое лицо, государственный орган, учреждение или орган, не являющийся субъектом данных, Оператором данных, Обработчиком данных и лицом, которое под непосредственным руководством Оператора данных или обработчика данных, уполномочено обрабатывать персональные данные.
Контрагент	организации, индивидуальные предприниматели и физические лица, связанные с Оператором обязательствами по сделке или в силу закона;
Гость	Физическое лицо, не состоящее в трудовых отношениях с Оператором, правомерно находящееся в помещениях Оператора.
Федеральный закон «О персональных данных»	Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».
Политика	Настоящая политика по обработке и защите персональных данных

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. ООО «Онтэкс РУ», являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и при необходимости других субъектов персональных данных, не состоящих с ООО «Онтэкс РУ» в трудовых отношениях, после получения соответствующего согласия на обработку персональных данных от субъекта.

3.2. Обработка персональных данных в ООО «Онтэкс РУ» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну на основе следующих принципов:

обработка персональных данных, осуществляется в ООО «Онтэкс РУ» на законной и справедливой основе;
содержание и объем обрабатываемых персональных данных, соответствует заявленным целям обработки, не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
содержание и объем обрабатываемых персональных данных должны быть минимально достаточными для достижения заранее определенных целей обработки персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
хранение персональных данных, осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем, того требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных;
обрабатываемые персональные данные уничтожаются или обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.3. Персональные данные в ООО «Онтэкс РУ» обрабатываются в целях:

выполнения требований в сфере труда, налогообложения, гражданского и социального законодательства и законодательства об архивном деле в Российской Федерации;
регулирования трудовых отношений с работниками ООО «Онтэкс РУ» (подбор и найм персонала; содействие в трудоустройстве, организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; обучения и продвижения на иные должности внутри Oбщества, предоставления различного вида гарантий и компенсаций, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также, страховых взносов в государственные фонды; предоставления добровольного медицинского страхования; страхование жизни и от несчастных случаев и болезней; оформление виз, направления на обучение (при необходимости), формирования кадрового резерва;
установления договорных отношений, проверки потенциальных контрагентов на надежность и возможность заключения с ними гражданско-правовых сделок;
контроля выполнения обязательств сторон по гражданско-правовой сделке и трудовому договору;
осуществления функций, полномочий и обязанностей, возложенных Законодательством РФ на ООО «Онтэкс РУ», в том числе по предоставлению персональных данных налоговым органам, в единый фонд страхования а также в иные государственные органы;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
обеспечения пропускного и внутриобъектового режимов, а так же вноса/выноса ими имущества на/с объекты (ах) ООО «Онтэкс РУ»;
обеспечения антитеррористической защиты работников, территории и имущества Общества, охраны порядка и безопасности работников и имущества, фиксации противоправных действий со стороны работников и посетителей ООО «Онтэкс РУ»;
информационного обеспечения о деятельности ООО «Онтэкс РУ» и ее работников;
рассмотрения соискателей на вакантные должности, принятие решений о трудоустройстве либо отказе от трудоустройства;
осуществления законных прав и интересов ООО «Онтэкс РУ» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локально нормативными актами ООО «Онтэкс РУ»;
в иных законных целях, предусмотренных действующим законодательством и уставом ООО «Онтэкс РУ» или иными локальными актами ООО «Онтэкс РУ», либо для достижения общественно значимых целей.

4. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

4.1. Перечень персональных данных, обрабатываемых в ООО «Онтэкс РУ», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

4.2. Обработка персональных данных о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 4 ст. 86 Трудового кодекса РФ) Обществом не осуществляется.

4.3. Общество не обрабатывает персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами. (п. 5 ст. 86 Трудового кодекса РФ.).

4.4. Общество не запрашивает и не обрабатывает информацию о состоянии здоровья субъекта персональных данных за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции в Обществе.

5. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

5.1. При обработке ПД Оператор может осуществлять с ПД следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

5.2. Обработка ПД Оператором может осуществляться неавтоматизированным способом обработки ПД, автоматизированным способом обработки данных с использованием средств автоматизации, а также смешанным способом обработки ПД с получением информации по информационно-телекоммуникационным сетям или без таковой. Оператор самостоятельно определяет способ обработки ПД.

5.3. В случаях, прямо не предусмотренных законодательством, о том что обработка ПД может осуществлять только по письменному согласию субъекта персональных данных, Оператор может осуществлять обработку ПД субъекта персональных данных на основании устного согласия субъекта персональных данных, полученного Оператором посредством конклюдентных действий субъекта персональных данных, например: гость объекта Оператора, в момент его допуска (прохода) на объект Оператора, предоставляя паспортные данные в целях идентификации личности, своими действиями дает Оператору устное согласие на обработку его ПД.

5.4. Запрещается принятие решений на основании исключительно автоматизированных информационных систем обработки ПД, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

5.5. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

6. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработке Оператором подлежат ПД следующих субъектов персональных данных:

работников Оператора, близких родственников работников Оператора, а также представители работников Оператора;
бывших работников Оператора, трудовые отношения с которыми прекращены, но, личные дела которых Оператор обязан хранить;
контрагентов, бенефициаров контрагента и лиц, входящих в органы управления контрагента, а также представители контрагентов;
физических лиц, обратившиеся к Оператору;
соискателей на вакантные должности, открытые у Оператора;
гостей объектов Оператора.

6.2. Состав ПД каждой группы субъектов персональных данных перечисленных в п. 6.1. Политики, определяется локальными актами Оператора.

6.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1 Обработка персональных данных Обществом осуществляется в соответствии с законодательством Российской Федерации, если иное не предусмотрено законодательством Российской Федерации.

7.1. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных или его законного представителя. Равнозначным письменному согласию, признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

7.2. Согласие на обработку персональных данных (далее – Согласие) может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

7.3. Обработка персональных данных может осуществляется без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152 «О персональных данных».

7.4. Для обработки Обществом персональных данных полученных от лица, не являющегося субъектом персональных данных, необходимы подтверждения возможности их обработки, указанные в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных федеральным законодательством для таких случаев.

7.5. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Обществом в соответствии с требованиями действующего законодательства Российской Федерации.

7.6. Общество вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора (в том числе государственного или муниципального контракта), либо путем принятия государственным или муниципальным органом соответствующего акта. Заключаемый договор или акт должны содержать перечень действий (операций) с персональными данными, цели обработки, устанавливать требования к защите персональных данных в соответствии с статьей 19 Федерального закона 152 «О персональных данных».

7.7. Третья сторона, осуществляющая обработку персональных данных по поручению Оператора, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и заключенным договором с Оператором, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

7.9. При обработке персональных данных Субъекта персональных данных в целях их защиты, обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных, должны строго учитываться положения Конституции Российской Федерации и иных федеральных законов, а также международных договоров, имеющих юридическую силу на территории России.

7.10. В целях внутреннего информационного обеспечения Общества могут создаваться внутренние справочные материалы, которые, с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут содержать в себе фамилию, имя, отчество, место работы, должность, дата, год и месяц рождения, адрес электронной почты и при необходимости иные персональные данные.

7.11. Доступ к обрабатываемым в ООО «Онтэкс РУ» персональным данным, разрешается только работникам Общества, занимающим должности, включенные в перечень должностей, имеющих доступ к персональным данным в связи с необходимостью выполнения ими своих служебных (трудовых) обязанностей.

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе отозвать согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации, как в целом, так и в части, вправе получить от Общества информацию в понятной форме о передаче персональных данных, защищать свои прав и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке, осуществлять иные права, предусмотренные законодательством Российской Федерации.

8.2. В случаях и порядке, установленных Федеральным законом «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Запрос на информацию может содержать в себе:

подтверждение факта обработки персональных данных Обществом;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных данных;
наименование и сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.3. Информация предоставляется субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.4. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным;

8.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его ПД с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. ООО «Онтэкс РУ» в качестве оператора при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Защита информации осуществляется в соответствии с требованиями международных договоров, локальными нормативными актами Работодателя в сфере защиты информации, требованиями Работодателя, а также Российским законодательством.

9.3. Для защиты персональных данных Субъекта персональных данных ООО «Онтэкс РУ» выполняет следующие меры:

назначает ответственных лиц за работу с персональными данными и за обеспечение безопасности персональных данных;
ограничивает и регламентирует состав лиц, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные, ознакамливает их с требованиями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, внутренними распорядительными документами Общества в отношении обработки персональных данных, проводит (или) обучением указанных работников (при необходимости);
избирательно и обоснованно распределяет документы и информацию, содержащие персональные данные Субъектов персональных данных, между лицами, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
в помещениях Работодателя обеспечиваются необходимые условия для работы с конфиденциальными документами и базами данных, в том числе содержащих персональные данные; обезличивает или уничтожает персональные данные по достижению цели обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; проводится разъяснительная работа с Работниками по работе с персональными данными (в том числе с документами содержащих персональные данные); персональные компьютеры, на которых содержатся персональные данные, защищены паролями доступа;
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
соблюдаются порядок приема, учета и контроля деятельности посетителей на территории Работодателя. Любой посетитель перемещается по территории Общества только в сопровождении лица, к которому он пришел. Внедрен пропускной режим, каждый посетитель обязан зарегистрироваться на пункте охраны/ресепшна бизнес центра, сообщив о себе сведения о Фамилии, Имени, Отчестве, и при необходимости данные о документе, удостоверяющем личность;
осуществляется контроль соблюдения требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
проводится расследование случаев несанкционированного доступа или разглашения персональных данных и привлечение виновных лиц к ответственности;
определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
оцениваются эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
выявляются факты несанкционированного доступа к персональным данным и принятием соответствующих мер.
восстанавливает персональные данные, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
устанавливаются правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных, а также обеспечением учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролируются принимаемые меры по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
устанавливаются запреты на передачу данных по открытым каналам связи вне пределов контролируемой зоны ООО «Онтэкс РУ» и сетям Интернет без применения, установленных в ООО «Онтэкс РУ» мер по обеспечению безопасности персональных данных (за исключением обезличенных персональных данных);
использует все иные разумные средства для обеспечения защиты, точности, полноты и актуальности Персональных данных.

9.4. Ответственность за нарушение требований законодательства Российской Федерации и локальных актов Оператора в сфере обработки и защиты ПД определяется в соответствии с законодательством Российской Федерации.

10. ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЛИЦА ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРА

10.1. Ответственный сотрудник должен участвовать во всех вопросах, касающихся обеспечения работы и защиты персональных данных, а также информировать высшее руководство Общества, как Оператора данных, о состоянии дел по выполнению Обществом требований 152 ФЗ «О персональных данных».

10.2. Ответственный сотрудник Общества информирует руководителей Общества об инициативах, предпринятых для защиты персональных данных и управления рисками утечки данных, о выявленных нарушениях в работе, о соответствующих корректирующих действиях, которые должны быть осуществлены, а также об обучении персонала (если обучение персонала необходимо).

10.3. Ответственный сотрудник отвечает за:

издание руководящих принципов, касающихся управления защитой данных в Обществе;
разработку правил Общества, устанавливающих минимальные стандарты защиты данных, а также мониторинг и отслеживание их утверждения, принятия и внедрения;
определение содержания обучения для распространения в Обществе;

10.4. Кроме того, Ответственный сотрудник Общества уполномочен осуществлять надзор за соблюдением требований 152 ФЗ «О персональных данных» и локальных нормативных актов Общества по обработке и защите персональных данных.

11. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ И ЛОКАЛДЬНЫХ НОРМАТИВНЫХ АКТОВ ОПЕРАТОРА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

11.1. ООО «Онтэкс РУ» осуществляет контроль за соблюдением Обществом законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований по защите персональных данных.

11.2. Контроль осуществляется с целью проверки соответствия обработки и защиты персональных данных требованиям законодательства Российской Федерации и локальным нормативным актам Общества, а также с целью контроля эффективности принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

12. ИСТОРИЯ ИЗМЕНЕНИЙ ПОЛОЖЕНИЯ

Номер ревизии	Изменения	Дата
01	Создание политики	01.04.2025