Положение об обработке персональных данных
1. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее — «Положение») определяет принципы, цели, способы и условия обработки персональных данных в ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ "БАЙКАЛ" (ОГРН 1167746242707, ИНН 7713412546, КПП 771301001, юридический адрес: 127411, город Москва, Дмитровское ш., д. 157 стр. 12, офис 12-3-110) (далее — Общество).

1.2. Общество при обработке персональных данных руководствуется Конституцией Российской Федерации, Гражданским кодексом РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства РФ, указами Президента РФ, приказами Роскомнадзора, иными нормативными правовыми актами Российской Федерации.

1.3. Положение распространяется на все случаи, когда Общество самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов.

1.4. Настоящее Положение разработано в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ и определяет меры, направленные на обеспечение выполнения требований законодательства РФ при обработке персональных данных, включая требования к защите персональных данных, реализуемые в информационных системах персональных данных (ИСПДн).
2. Цели обработки персональных данных
2.1. Общество обрабатывает персональные данные субъектов исключительно в целях, соответствующих законодательству Российской Федерации и уставной деятельности Общества. Согласно статье 6 Федерального закона от 27.07.2006 № 152-ФЗ, обработка возможна при наличии законных оснований и целей. Целями обработки являются:
— обеспечение соблюдения законодательства РФ, в том числе налогового, трудового, миграционного, гражданского;
— ведение кадрового делопроизводства, трудовых отношений, формирования личных дел сотрудников;
— заключение и исполнение договоров с физическими и юридическими лицами;
— выполнение требований по аккредитации, стандартизации и метрологической деятельности;
— пропускной режим, обеспечение безопасности работников и имущества;
— взаимодействие с контролирующими и надзорными органами, включая Росстандарт, Росаккредитацию, ФНС России и др.;
— информирование субъектов персональных данных о результатах метрологических услуг, проверок, сертификаций;
— соблюдение локальных нормативных актов, внутренних регламентов и положений;
— формирование отчетности и статистической информации.
3. Категории персональных данных
3.1. Общество обрабатывает как обычные, так и специальные категории персональных данных. Перечень данных определяется в соответствии с подп. 1 п. 1 ст. 6 Закона № 152-ФЗ:
— фамилия, имя, отчество, дата и место рождения;
— паспортные данные, регистрация по месту жительства или пребывания;
— ИНН, СНИЛС, сведения из документов воинского учёта, страхования, медицинских справок;
— номера телефонов, адреса электронной почты, иные контактные сведения;
— государственные регистрационные знаки ТС, сведения о водительских удостоверениях;
— данные о трудовой деятельности, стаже, квалификации, образовании;
— изображения и видеозаписи (в том числе из систем видеонаблюдения);
— данные о месте работы, занимаемой должности и деловой репутации представителя юридического лица.
4. Правовые основания обработки персональных данных
4.1. В соответствии со статьёй 6 Федерального закона № 152-ФЗ, обработка персональных данных допускается при наличии хотя бы одного из следующих оснований:
— получение письменного согласия субъекта персональных данных на обработку его данных;
— необходимость исполнения договора, стороной которого является субъект;
— выполнение обязанностей, возложенных на оператора законодательством Российской Федерации;
— защита жизни, здоровья или иных жизненно важных интересов субъекта;
— осуществление прав и законных интересов оператора или третьих лиц (при условии, что это не нарушает права субъекта);
— осуществление профессиональной деятельности в средствах массовой информации (соблюдая ограничения ст. 10 и 11 закона);
— обработка осуществляется для проведения статистических и иных исследований при условии обязательного обезличивания данных.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных в Обществе осуществляется с соблюдением принципов, установленных статьёй 5 Федерального закона № 152-ФЗ:
— обработка осуществляется на законной и справедливой основе;
— обработка ограничивается достижением конкретных, заранее определённых и законных целей;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки;
— при обработке обеспечивается точность, достаточность и актуальность персональных данных;
— хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки;
— уничтожение или обезличивание данных должно производиться по достижении целей обработки или при утрате необходимости.

5.2. Общество может обрабатывать персональные данные как с использованием средств автоматизации (в ИСПДн), так и без них (например, при работе с бумажными документами), с обязательным соблюдением мер защиты, предусмотренных статьями 18.1–19 Закона № 152-ФЗ.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет права, предусмотренные статьёй 14 Федерального закона № 152-ФЗ, включая право:
— на получение сведений об обработке его персональных данных (цели, источники, перечень данных, сроки, лица, которым данные передаются);
— на требование уточнения, блокирования или уничтожения своих персональных данных в случае их неполноты, неточности, незаконности обработки;
— на отзыв ранее данного согласия (обработка после отзыва прекращается, если нет иных законных оснований);
— на обжалование действий оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд;
— на свободный безвозмездный доступ к своим данным, включая право на получение копии любой записи, содержащей его персональные данные.
7. Обязанности оператора персональных данных
7.1. Общество, как оператор персональных данных, обязано:
— обеспечить принятие мер по защите персональных данных от неправомерного доступа, утраты, изменения, распространения;
— публиковать или иным способом обеспечивать неограниченный доступ к политике в отношении обработки персональных данных;
— назначить лицо, ответственное за организацию обработки персональных данных;
— при необходимости направлять уведомление в Роскомнадзор о намерении обрабатывать персональные данные;
— в случае нарушения — в течение 24 часов сообщить в Роскомнадзор об инциденте безопасности;
— вести реестр ИСПДн и регулярно пересматривать меры защиты;
— не разглашать и не распространять персональные данные без согласия субъекта или без наличия иного правового основания.
8. Защита персональных данных
8.1. В соответствии со статьёй 19 Федерального закона № 152-ФЗ, Общество обязано принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

8.2. В целях выполнения требований законодательства, Обществом внедрена система защиты информации, включающая:
— ограничение доступа к персональным данным на основе принципа минимально необходимого привилегированного доступа;
— ведение учёта и контроль доступа к ИСПДн (в том числе использование паролей, журналов регистрации действий, видеонаблюдения);
— применение сертифицированных программно-аппаратных средств защиты информации (межсетевые экраны, антивирусы, криптозащита);
— резервное копирование данных и хранение копий в защищённой среде;
— обучение и инструктаж персонала, допущенного к работе с ПДн;
— регулярную проверку систем защиты на уязвимости и аудит информационной безопасности;
— заключение договоров с контрагентами на условиях соблюдения режима конфиденциальности;
— утверждение внутренних регламентов обработки и защиты персональных данных (в том числе журналов учёта, модели угроз, матриц доступа и др.).
9. Локализация персональных данных
9.1. В соответствии со статьёй 18.1 Федерального закона № 152-ФЗ, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

9.2. Общество гарантирует, что все персональные данные российских граждан, обрабатываемые Обществом, хранятся и обрабатываются на территории Российской Федерации в соответствии с локализационными требованиями.
10. Ответственность за нарушение требований обработки ПДн
10.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность в порядке, установленном законодательством Российской Федерации:
— Административная ответственность — в соответствии со статьёй 13.11 КоАП РФ (штрафы за незаконную обработку, нарушение порядка хранения, неразмещение политики и пр.);
— Гражданско-правовая ответственность — в соответствии со статьями 151, 1100–1101 Гражданского кодекса РФ за причинение морального вреда;
— Дисциплинарная ответственность — согласно Трудовому кодексу РФ (статьи 86–90);
— Уголовная ответственность — при наличии состава преступления (например, в случаях неправомерного доступа к охраняемой информации, в соответствии со статьями 137, 272 УК РФ).
11. Заключительные положения
11.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором и является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным, а также контрагентами, заключающими с Обществом договоры, в рамках которых может происходить обработка персональных данных.

11.2. Положение размещается в свободном доступе на официальном сайте Общества. Ознакомление работников с Положением осуществляется под роспись.

11.3. Изменения в Положение могут вноситься по инициативе Общества, а также в случае изменений в действующем законодательстве РФ. Все изменения подлежат обязательному утверждению Генеральным директором и доводятся до сведения работников.
12. Меры по обеспечению безопасности персональных данных
12.1. В соответствии со статьёй 19 Федерального закона № 152-ФЗ, Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

12.2. В числе таких мер реализуются:
— разработка и утверждение локальных актов по защите персональных данных;
— применение сертифицированных средств защиты информации, соответствующих требованиям ФСТЭК России и ФСБ России;
— ограничение и регламентация доступа сотрудников к персональным данным;
— использование антивирусной защиты, межсетевых экранов и иных технологий ИБ;
— контроль доступа в помещения с ИСПДн, организация пропускного режима;
— обучение сотрудников, имеющих доступ к ПДн, и подписание ими обязательств о неразглашении.
13. Локализация баз данных
13.1. Общество, в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ, осуществляет сбор, запись, систематизацию, накопление, хранение и уточнение (обновление, изменение) персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

13.2. Передача персональных данных в иностранные государства допускается только при соблюдении условий главы 4 Закона № 152-ФЗ и на основании заключенных международных договоров или соответствующего согласия субъекта персональных данных.
14. Ответственность за нарушение законодательства о персональных данных
14.1. Лица, виновные в нарушении законодательства Российской Федерации в сфере персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

14.2. Административная ответственность предусмотрена статьёй 13.11 КоАП РФ (штрафы за обработку без согласия, отсутствие политики, утечку данных и др.).

14.3. Общество вправе взыскивать с виновного работника убытки, причинённые вследствие нарушения обязанностей по защите персональных данных, в соответствии с Трудовым кодексом РФ.
15. Заключительные положения
15.1. Настоящее Положение подлежит утверждению генеральным директором ООО НПО «БАЙКАЛ» и вводится в действие с даты его подписания.

15.2. Все сотрудники Общества, имеющие доступ к персональным данным, обязаны ознакомиться с настоящим Положением под роспись.

15.3. Общество оставляет за собой право вносить изменения в Положение в случае изменений законодательства или в рамках внутреннего регулирования процессов обработки ПДн.