Положение об обработке персональных данных (Внутренний документ)

Статья 1. Общие положения

1.1. Настоящее Положение разработано во исполнение требований ФЗ-152 и определяет порядок и процедуры, обеспечивающие обработку и защиту персональных данных (ПДн) Заказчиков ООО «Корзилла».

1.2. Ответственным за организацию обработки ПДн назначается [Указать должность, например, "Директор по информационной безопасности"].

1.3. В обработку принимаются ПДн, указанные в п. 2.1. Политики конфиденциальности.

Статья 2. Меры по обеспечению безопасности ПДн

2.1. Организационные меры:

  • Назначение Ответственного: Исполнение приказа о назначении лица, ответственного за обработку ПДн.
  • Ознакомление работников: Обеспечение ознакомления работников, имеющих доступ к ПДн, с настоящим Положением и требованиями ФЗ-152 под подпись.
  • Внутренний контроль: Осуществление внутреннего контроля (аудита) соблюдения требований ФЗ-152 не реже одного раза в год.

2.2. Технические меры (СЗИ):

  • Применение средств защиты информации (СЗИ), прошедших в установленном порядке процедуру оценки соответствия (например, сертифицированных ФСТЭК России), для нейтрализации угроз безопасности ПДн.
  • Применение антивирусной защиты.
  • Использование межсетевых экранов.
  • Разграничение доступа к информационным системам, содержащим ПДн.

2.3. Локализация: Обеспечение физического расположения баз данных ПДн граждан РФ на серверах, расположенных на территории Российской Федерации.

Статья 3. Порядок уничтожения ПДн

3.1. Основание: Уничтожение ПДн осуществляется:

  • а) По истечении срока хранения, установленного в Политика конфиденциальности (5 лет после расторжения).
  • б) По получении отзыва согласия на обработку ПДн, если дальнейшая обработка не требуется по закону.

3.2. Процедура: Уничтожение ПДн оформляется Актом об уничтожении персональных данных, который подписывается Ответственным лицом и хранится [Указать срок, например, 3 года].

Статья 4. Реагирование на инциденты (Утечки)

4.1. Выявление: При выявлении факта несанкционированного доступа (утечки) к ПДн, Ответственное лицо обязано немедленно уведомить об инциденте руководителя ООО.

4.2. Уведомление Роскомнадзора: Исполнитель обязан:

  • В течение 24 часов уведомить Роскомнадзор о произошедшем инциденте.
  • В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования и мерах, принятых для устранения причин инцидента.

Информация о хранении документов

Полное положение об обработке ПДн доступно по ссылке: /public/pdn.txt