1. Введение

Настоящая политика определяет основные принципы, цели, условия и способы обработки персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных субъектов персональных данных.

Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1.1 Цели политики

«Политика Общества с ограниченной ответственностью «Производственная компания «Исток» (адрес юридического лица – 194292, г. Санкт-Петербург, вн.тер.г. муниципальный округ Сергиевское, пер 3-й верхний, д. 9 к. 3 литера а, помещ. 6-н, ком. 325; ОГРН 1177847308935; ИНН 7804606806; контактный телефон +7 (812) 667-94-92)  в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «ПК «ИСТОК» (далее – Общество).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства Российской Федерации в области персональных данных (далее – законодательство).

1.2 Область применения политики

1.2.1 Настоящая Политика действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество и/или связанные с ним юридические лица могут получить о субъекте персональных данных при осуществления основной хозяйственной деятельности. Настоящая Политика является общедоступной.

1.2.2 Настоящая Политика распространяется на процессы обработки персональных данных в Обществе, осуществляемые как с использованием средств автоматизации, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

1.3 Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки персональных данных.

1.3. Термины и определения

В Политике используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

База персональных данных – упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

Доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Обществом, при условии сохранения конфиденциальности этих сведений;

Интернет-сайт, принадлежащий Обществу, размещенный в сети Интернет на домене «исток-водосток.рф» и его поддоменах, на котором представлены товары и услуги, предлагаемые покупателям для приобретения посредством оформления заказов, а также предоставления дополнительных услуг покупателям.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений и/или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Контрагент – сторона договора с Обществом, не являющаяся работником Общества;

Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

Облачная вычислительная инфраструктура – общий пул конфигурируемых вычислительных ресурсов (сети передачи данных, серверы, устройства хранения данных, приложения и сервисы – как вместе, так и по отдельности), к которым обеспечен повсеместный и удобный сетевой доступ по требованию, и которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру, обладающие пятью основными свойствами: самообслуживание по требованию, универсальный доступ по сети, объединение ресурсов, эластичность, учёт потребления;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных либо по его просьбе, а также данные, которые подлежат обязательному раскрытию или опубликованию в соответствии с требованиями законодательства;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В Политике под оператором понимается Общество;

Персональные данные (далее ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Сайт – сайт Общества в сети Интернет «исток-водосток.рф» и его поддомены;

Субъект персональных данных – физическое лицо, к которому относятся персональные данные;

Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Цели обработки персональных данных

Персональные данные организация запрашивает в целях:

• Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.
• Систематизации сведений о персонале, для ведения кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
• Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).

3. Принципы обработки персональных данных

Обработка персональных данных Обществом осуществляется в соответствии со следующими принципами:

3.1. Законность и справедливая основа обработки персональных данных. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.

3.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.

3.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки персональных данных. Общество не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.1 Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

3.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

3.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Общество принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Общества их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

3.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.

3.7. Уничтожение персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.

4. Основные права и обязанности субъекта ПД

4.1. Права субъекта ПД определены в Главе 3 152-ФЗ и включают в том числе следующие:

- право на доступ, т.е. право получать информацию об обработке ПД (ст.14, 20 152-ФЗ);
- право на уточнение, дополнение: право требовать уточнения некорректных данных и дополнения неполных данных (ст.21 152-ФЗ);
- право на удаление: право возражать против обработки данных и требовать удаления неправомерно обрабатываемых ПД (ст.21 152-ФЗ);
- право на отзыв согласия (ст.9, 21 152-ФЗ): в любое время для прекращения обработки данных; при этом факт отзыва не влияет на законность обработки данных, осуществлявшейся до отзыва и оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии иных законных оснований для обработки;
- право на обжалование: право обжаловать действия оператора в досудебном порядке (ст.17 152-ФЗ).

4.2. Субъекты, ПД которых обрабатываются Оператором, обязаны:
- сообщать достоверную информацию о себе и предоставлять документы при необходимости, содержащие ПД, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора, в объеме, необходимом для цели обработки;
- своевременно уведомлять Оператора об изменении (обновлении, уточнении) своих ПД.

5. Основные права и обязанности Оператора ПД

5.1. Оператор ПД обязан:

- обеспечить конфиденциальность ПД (ст.7 152-ФЗ), т.е. не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом;
- предоставить субъекту ПД по запросу информацию об обработке ПД в объеме и порядке, установленном законом (ч.1 ст.18 152-ФЗ);
- разъяснить субъекту ПД юридические последствия отказа предоставить его ПД (ч.2 ст.18 152-ФЗ);
- до начала обработки ПД, полученных от третьих лиц, сообщить об этом субъекту ПД (ч.3 ст.18 152-ФЗ), за исключение случаев, указанных в ч.4 ст.18 152-ФЗ;
- при сборе ПД граждан РФ обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ (ч.5 ст.18 152-ФЗ);
- предпринимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных 152-ФЗ (ст.18.1 152-ФЗ), по обеспечению безопасности ПД при их обработке (ст.19 152-ФЗ), по устранению выявленных нарушений, по уточнению, блокированию, уничтожению ПД (ст.21 152-ФЗ).

5.2. Оператор вправе:

- запрашивать у субъекта ПД сведения и документы, необходимы для обеспечения точности (уточнения) ПД.

6. Цели и правовые основания обработки персональных данных конкретных категорий субъектов

6.1. Цели обработки персональных данных

Обработка персональных данных субъектов осуществляется Обществом для достижения конкретных, заранее определенных и законных целей, а именно:

6.1.1. Для физических лиц, заключивших либо намеревающихся заключить договор розничной купли-продажи (контрагенты и представители контрагентов):

· продажа товаров и предоставления сопутствующих услуг и сервисов;

· исполнение обязательств Общества перед Клиентами;

· обеспечение соблюдения законодательства РФ, иных нормативных правовых актов, условий договора купли-продажи в рамках осуществления продажи товаров, в т.ч. дистанционным способом;

· продвижение товаров, работ, услуг Общества путём осуществления прямых контактов с субъектами;

· рассылка сервисных сообщений, в.ч. путем голосовых, автоматических голосовых и/или смс-уведомлений и/или иных уведомлений с помощью электронных средств связи (информация о заказе, проводимых акциях, коды авторизации и иное);

· регистрация личного кабинета на сайтах Общества;

· контроль качества оказываемых услуг;

· обеспечение соблюдения законодательства РФ и иных нормативных правовых актов в рамках проведения претензионных работ, возврата, замены, ремонта, гарантийного обслуживания товара.

6.1.2. Для физических лиц, заключивших или намеревающихся заключить трудовой договор или договор гражданско-правового характера с Обществом (Работники, родственники работников, уволенные работники, соискатели):

· предоставление субъекту информации, связанной с заключением и исполнением договоров, через различные каналы связи (почта, СМС-сообщения, электронная почта, телефонный звонок).

· принятие решения о предложении субъекту возможности заключения трудового договора или договоров ГПХ;

· заключение договора и исполнения условий договора.

6.1.3. Для посетителей площадок Общества, на которых действует пропускной режим, в целях осуществления пропуска на территорию Общества.

6.1.4. Для посетителей сайта:

· предоставление субъекту информации, связанной с заключением и исполнением договоров, через различные каналы связи (почта, СМС-сообщения, электронная почта, телефонный звонок);

· заключение и оплата договора и исполнение условий договора, заключенного между Обществом и контрагентом.

6.1.5. Для физических лиц, обработка персональных данных которых поручена Обществу третьими лицами, в соответствии с целями, определенными соответствующим оператором персональных данных в договоре поручения обработки.

6.2. Правовые основания обработки персональных данных

6.2.1. Общество осуществляет обработку персональных данных контрагентов и представителей контрагентов на основании:

· выполнения обязанностей, возложенных законом на Оператора;

· согласия на обработку персональных данных, полученного лично от субъекта персональных данных;

· договора купли-продажи.

6.2.2. Общество осуществляет обработку персональных данных работников, родственников работников, уволенных работников или соискателей на основании:

· положений Гражданского или Трудового кодекса РФ;

· выполнения обязанностей, возложенных законом на Оператора;

· договора с указанным лицом;

· согласия на обработку персональных данных, полученного лично от субъекта.

6.2.3. Общество осуществляет обработку персональных данных посетителей площадок Общества на основании:

· согласия с правилами прохода на территорию Общества;

· заключенных между Обществом и третьими лицами договоров, предусматривающих передачу персональных данных Обществу, полученных третьим лицом от субъекта персональных данных на основании согласия на обработку персональных данных.

6.2.4. Общество осуществляет обработку персональных данных посетителей сайта на основании согласия на обработку персональных данных, полученного лично от субъекта.

6.2.5. Общество осуществляет обработку персональных данных субъектов по поручению третьих лиц на основании заключенных между Обществом и третьими лицами договоров, предусматривающих поручение обработки персональных данных.

7. Категории и перечень обрабатываемых персональных данных

7.1. Для достижения целей, приведенных в пункте 6.1.1 настоящей Политики, Общество обрабатывает следующие персональные данные контрагентов и представителей контрагентов:

· фамилия, имя, отчество;

· должность;

· наименование организации;

· контактные данные (адрес электронной почты, контактный телефон);

· адрес доставки товара;

· марка, модель и гос. номер автомобиля;

· история покупок и взаимодействия с Обществом.

7.2. Для достижения целей, приведенных пункте 6.1.2 настоящей Политики, Общество обрабатывает следующие персональные данные работников, родственников работников, уволенных работников или соискателей:

· фамилия, имя, отчество;

· дата рождения;

·   месяц рождения;

· год рождения;

· семейное положение;

· СНИЛС;

· гражданство;

· данные документа, удостоверяющего личность;

· реквизиты банковской карты;

· ИНН;

· контактные данные (адрес электронной почты, контактный телефон);

· адрес и дата регистрации, фактический адрес проживания;

· сведения об образовании;

· трудовая книжка при наличии;

· военный билет при наличии;

· индивидуальный номер налогоплательщика.

7.3. Для достижения целей, приведенных в пункте 6.1.3 настоящей Политики, Общество обрабатывает следующие персональные данные посетителей площадок Общества:

· фамилия, имя, отчество;

· контактные данные (адрес электронной почты, контактный телефон);

· информация о наличии автомобиля и его характеристики;

· иная информация, которую сообщает о себе субъект персональных данных.

7.4. Для достижения целей, приведенных в пункте 6.1.4 настоящей Политики, Общество обрабатывает следующие персональные данные посетителей сайта:

· фамилия, имя, отчество;

· название компании;

· номер счета;

· номер карты;

· контактные данные (адрес электронной почты, контактный телефон);

· адрес доставки.

7.5. Объем обрабатываемых Обществом персональных данных физических лиц, обработка персональных данных которых поручена Обществу третьими лицами, определяется соответствующим оператором персональных данных в договоре поручения обработки.

8. Способы и сроки обработки и хранения персональных данных

8.1. Общество осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

8.2. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке без использования средств автоматизации – только в случаях, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

8.3. Общество обеспечивает выполнение следующих действий (операций) с персональными данными:

8.3.1. Сбор персональных данных:

· Лиц, привлекаемых по договорам ГПХ, посетителей площадок Общества осуществляется лично, с их согласия, в виде копий и/или оригиналов документов, содержащих персональные данные, и анкет, заполняемых собственноручно субъектом персональных данных, а также в отдельных случаях от иных операторов персональных данных;

· Представителей контрагентов осуществляется лично, непосредственно от контрагентов в виде копий и/или оригиналов документов;

· Клиентов осуществляется лично, с их согласия в виде копий и/или оригиналов документов, а также в процессе обращения на Сайт и/или по контактному телефону Общества.

8.3.2. Запись персональных данных:

· посетителей площадок Общества осуществляется в документы на бумажных носителях (журналы учета посетителей и т.д.);

· иных субъектов персональных данных осуществляется Обществом в документы на бумажных носителях (договоры и иные внутренние документы), а также в базы данных информационных систем персональных данных Общества.

8.3.3. Систематизация, накопление, хранение персональных данных:

· посетителей площадок Общества осуществляется в виде документов на бумажных носителях (журналов учета посетителей и т.д.) в офисах Общества в течение 3 (трех) лет после момента заполнения указанных документов;

· иных субъектов персональных данных осуществляется в виде документов на бумажных носителях, а также в виде электронных документов в информационных системах Общества в офисах Общества, на сайте или по телефону Общества в течение:

o 30 (тридцати) лет, если иное не предусмотрено условиями заключенного договора, с момента окончания действия договора, с момента достижения заявленных целей обработки – для персональных данных Клиентов, лиц, привлекаемых по договорам ГПХ, представителей контрагентов, лиц, заключивших договор обеспечения обязательств;

o сроков, установленных договорами между Обществом и третьими лицами, предусматривающими поручение обработки персональных данных – для персональных данных субъектов, обработка персональных данных которых поручена Обществу.

8.3.4. Уточнение (обновление, изменение) персональных данных выполняется Обществом при получении соответствующего запроса от субъекта персональных данных ответственным сотрудников Общества.

8.3.5. Использование персональных данных субъектов осуществляется Обществом исключительно для целей, указанных в разделе 5 настоящей Политики.

8.3.6. Передача (предоставление, доступ) персональных данных осуществляется Обществом в соответствии с Перечнем третьих лиц, имеющих доступ к персональным данным, являющимся неотъемлемым приложением к настоящей Политике;

Персональные данные Клиентов также могут передаваться индивидуальным предпринимателям и юридическим лицам, не указанным в Перечне третьих лиц, имеющих доступ к персональным данным, с целью осуществления продажи и доставки товаров Клиентам. В указанных случаях информацию о наименовании, контактном телефоне для связи (иной способ для связи) и адресе такого индивидуального предпринимателя или юридического лица сообщается Клиенту при предоставлении документов на продаваемый и/или доставляемый товар.

Передача персональных данных третьим лицам может осуществляться для достижения целей обработки с письменного согласия субъектов персональных данных или на ином законном основании, предусмотренном ст.6 152-ФЗ. Третьи лица, которым могут передаваться и/или от которых могут получаться персональные данные: логистические компании, а также иные контрагенты Оператора.

Трансграничная передача персональных данных на территории иностранных государств осуществляется в порядке, предусмотренном законодательством Российской Федерации. До передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться при наличии согласия субъекта персональных данных на трансграничную передачу его персональных данных либо для исполнения договора, стороной которого является субъект персональных данных.

8.3.7. Удаление, уничтожение персональных данных:

· осуществляется Обществом в течение 30 (тридцати) дней с момента отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для достижения целей обработки персональных данных и/или соблюдения требований законодательства РФ;

· осуществляется Обществом в течение 30 (тридцати) дней по истечении сроков хранения соответствующих данных и документов, в соответствии с требованиями законодательства РФ, внутренних документов Общества;

· осуществляется Обществом в течение 7 (семи) дней с момента выявления незаконно полученных персональных данных или персональных данных, необходимости обработки которых не установлена для определенных Обществом целей обработки;

· осуществляется Обществом в течение 10 (десяти) дней с момента выявления неправомерной обработки персональных данных, если устранение причин такой обработки невозможно.

Порядок уничтожения: основанием является достижение цели обработки или отзыв согласия или выявление неправомерной обработки. Происходит в сроки установленные законом, с составлением комиссионного акта по установленной форме.

9. Сведения о реализуемых требованиях к защите персональных данных

9.1. Защита персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

9.2. Правовые меры включают в себя:

• разработку локальных актов Общества, реализующих требования законодательства, в том числе Политики в отношении обработки персональных данных;
• отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Обществом.

9.3. Организационные меры включают себя:

• назначение лица, ответственного за организацию обработки персональных данных;
• назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
• ограничение состава работников Общества, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
• ознакомление работников Общества с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Оператора по вопросам обработки персональных данных;
• обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечению безопасности обрабатываемых данных;
• определение в Положении о порядке обработки и обеспечении безопасности персональных данных в Обществе обязанностей работников Общества по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
• регламентацию процессов обработки персональных данных;
• организацию учёта машинных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.

9.4. Технические меры включают в себя:

• разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;
• реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации, предусматривающей разграничение прав доступа пользователей;
• регистрацию и учёт действий c персональными данными пользователей информационных систем, где обрабатываются персональные данные;
• защиту персональных данных, пересылаемых по электронной почте, путем использования защищенных паролем, соответствующим требованиям политики парольной защиты, архивов, содержащих персональные данные (файлов форматов zip, rar и т.п.);
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• идентификацию и проверку подлинности пользователя (аутентификацию) при входе в информационную систему по паролю;
• контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;
• обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

10. Заключительные положения

10.1. Иные обязанности и права Общества как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.

10.2. Должностные лица и работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.