+7 (391) 282-38-30
+7 (904) 890-93-40
+7 (902) 982-38-30
г. Красноярск
пр. Красноярский рабочий, 59, офис 209 ( вход справа "Офисный центр")
lio_tour@inbox.ru

Заказ тура

Положение о защите персональных данных

УТВЕРЖДЕНО

Приказом Генерального директора

ООО «Лечение и Отдых»

Беловой Елены Васильевны

№ 7/ПД от «02» апреля 2024 г

 

 

ПОЛОЖЕНИЕ

о мерах по обеспечению безопасности персональных данных при их обработке

 

 

  1. Общие положения
    • 1. Настоящий документ разработан в соответствии со ст. 18.1., ст. 19 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 г., Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом Роскомнадзора от 27.10.2022 № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" и иными нормативно-правовыми актами в области защиты персональных данных, действующими на территории Российской Федерации.
    • 2. Цель настоящего Положения – защита персональных данных субъектов персональных данных, обрабатываемых ООО «Лечение и Отдых» (далее – «Организация») от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
    • 3. В целях настоящего Положения:

- под персональными данными (далее – ПД) понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных;

- под угрозами безопасности ПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

- под уровнем защищенности ПД понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.

  • 4. Положение устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 г.

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  • 5. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает Оператор или лицо, осуществляющее обработку персональных данных по поручению Оператора в соответствии с законодательством Российской Федерации.
  • 6. Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
  • 7. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, направлены на нейтрализацию актуальных угроз безопасности персональных данных.
  • 8. Меры по обеспечению безопасности персональных данных реализуются посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
  • 9. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
  • 10. Настоящее Положение и изменения к нему утверждаются Генеральным директором ООО «Лечение и Отдых». Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

 

  1. Состав и содержание мер по обеспечению безопасности

персональных данных

  • 1. Общие меры, принимаемые Организацией для защиты персональных данных:
    • 1.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите персональных данных.
    • 1.2. Разработка политики в отношении обработки персональных данных.
    • 1.3. Установление правил доступа к персональным данным, обеспечение регистрации и учета всех действий, совершаемых с персональными данными.
    • 1.4. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
    • 1.5. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
    • 1.6. Обнаружение фактов несанкционированного доступа к персональным данным.
    • 1.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
    • 1.8. Обучение работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, ознакомление с документами, определяющими политику Организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
    • 1.9. Осуществление внутреннего контроля и аудита.
  • 2. Меры, принимаемые Организацией в целях защиты персональных данных на бумажных носителях.
    • 2.1. В состав мер входит:

-    назначение приказом ответственного за обработку персональных данных;

-    ограничение допуска в помещения, где хранятся документы, которые содержат персональные данные;

-    хранение документов, содержащих персональные данные субъектов персональных данных, в шкафах, запирающихся на ключ;

-    хранение документов, содержащих трудовые книжки работников, в сейфе в отделе кадров.

  • 2.2. В целях обеспечения конфиденциальности документы, содержащие персональные данные субъектов персональных данных, оформляются, ведутся и хранятся только работниками, допущенными в установленном порядке к обработке персональных данных и подписавшими обязательства о неразглашении персональных данных. В противном случае работники к обработке персональных данных не допускаются.
  • 2.3. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта персональных данных на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
  • 2.4. Передача информации, содержащей сведения о персональных данных, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

 

  • 3. Меры, принимаемые Организацией, по обеспечению безопасности персональных данных в информационных системах.
    • 3.1. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

-    идентификация и аутентификация субъектов доступа и объектов доступа;

-    установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

-    управление доступом субъектов доступа к объектам доступа;

-    ограничение программной среды;

-    защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

-    регистрация событий безопасности;

-    сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

-    обнаружение (предотвращение) вторжений;

-    контроль (анализ) защищенности персональных данных;

-    обеспечение целостности информационной системы и персональных данных;

-    обеспечение доступности персональных данных;

-    защита среды виртуализации;

-    защита технических средств;

-    защита информационной системы, ее средств, систем связи и передачи данных;

-    выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

-    управление конфигурацией информационной системы и системы защиты персональных данных;

-    определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах.

  • 3.2. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
  • 3.3. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
  • 3.4. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
  • 3.5. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
  • 3.6. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
  • 3.7. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
  • 3.8. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
  • 3.9. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
  • 3.10. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
  • 3.11. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
  • 3.12. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
  • 3.13. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, и должны включать защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
  • 3.14. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
  • 3.15. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
  • 3.16. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
  • 3.17. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

-    определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных;

-    адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

-    уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

-    дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

  • 4. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

 

  1. Угрозы и уровни защищенности персональных данных в информационных системах.
    • 1. Угрозы защищенности персональных данных.
      • 1.1. Организация определяет тип угроз безопасности и уровень защищенности персональных данных, которые хранятся в информационных системах, и предпринимает меры по защите информации.
      • 1.2. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
      • 1.3. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
      • 1.4. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
    • 2. Уровни защищенности персональных данных.
      • 2.1. Организация определяет уровни защищенности персональных данных в соответствии с утвержденной Генеральным директором Организации Методикой определения уровня защищенности персональных данных в информационной системе персональных данных.
      • 2.2. Первый уровень защищенности. Если Организация отнесла информационную систему к первому типу угрозы или если тип угрозы второй, но Организация обрабатывает специальные категории персональных данных более 100 тыс. физических лиц без учета работников.
      • 2.3. Второй уровень защищенности. Если тип угрозы второй и Организация обрабатывает специальные категории персональных данных работников вне зависимости от их количества, или специальные категории персональных данных менее чем 100 тыс. физических лиц, или любые другие категории персональных данных более чем 100 тыс. физических лиц, или при третьем типе угрозы Организация обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
      • 2.4. Третий уровень защищенности. Если при втором типе угрозы Организация обрабатывает общие персональные данные работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Организация обрабатывает специальные категории персональных данных работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Организация обрабатывает биометрические персональные данные, или при третьем типе угрозы Организация обрабатывает общие персональные данные более чем 100 тыс. физических лиц.
      • 2.5. Четвертый уровень защищенности. Если при третьем типе угрозы Организация обрабатывает только общие персональные данные работников или менее чем 100 тыс. физических лиц.
    • 3. В случае определения в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов, дополнительно к мерам по обеспечению безопасности персональных данных, указанным в 2.3. настоящего документа, могут применяться следующие меры:

-    проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

-    тестирование информационной системы на проникновения;

-    использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

  • 4. Меры, принимаемые для обеспечения уровней защищенности.
    • 4.1. В целях защиты персональных данных:
      • 4.1.1. При четвертом уровне защищенности персональных данных Организация:

- обеспечивает режим безопасности помещений, в которых размещает информационную систему;

-  обеспечивает сохранность носителей информации;

- утверждает перечень работников, допущенных к персональным данным;

- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.

  • 4.1.2. При третьем уровне защищенности персональных данных дополнительно к мерам, перечисленным в пункте 3.4.1.1. настоящего Положения, Организация назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
  • 4.1.3. При втором уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 3.4.1.1. и 3.4.1.2. настоящего Положения, Организация ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
  • 4.1.4. При первом уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 3.4.1.1.—3.4.1.3. настоящего Положения, Организация:

- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;

- создает отдел, ответственный за безопасность персональных данных в системе, либо возлагает такую обязанность на один из существующих отделов работодателя.

  • 4.2. При использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации:
    • 4.2.1. Для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

-    средства вычислительной техники не ниже 5 класса;

-    системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

-    межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

  • 4.2.2. Для обеспечения 3 уровня защищенности персональных данных применяются:

-    средства вычислительной техники не ниже 5 класса;

-    системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

-    межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

  • 4.2.3. Для обеспечения 4 уровня защищенности персональных данных применяются:

-      средства вычислительной техники не ниже 6 класса;

-      системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

-      межсетевые экраны 5 класса.

  • 4.2.4. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
  • 4.3. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры.

 

  1. Требования к оценке вреда, который может быть причинен субъектам

персональных данных

  • 1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - оценка вреда), осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором.
  • 2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:
    • 2.1. Высокую в случаях:

- обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;

- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;

- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

- обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований;

- поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

- сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

  • 2.2. Среднюю в случаях:

- распространения персональных данных на официальном сайте Организации в информационно-телекоммуникационной сети «Интернет», а равно предоставление персональных данных неограниченному кругу лиц;

- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

- продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

- получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

- осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

  • 2.3. Низкую в случаях:

- ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;

- назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

  • 3. Результаты оценки вреда оформляются актом оценки вреда. Акт оценки вреда должен содержать:

- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;

- дату издания акта оценки вреда;

- дату проведения оценки вреда;

- фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

- степень вреда, которая может быть причинена субъекту персональных данных.

Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.

  • 4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч. 3.1 ст. 21 Федерального закона №152-ФЗ «О персональных данных».
  • 5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
Заказ обратного звонка
Оставьте Ваш телефон и наш специалист свяжется с Вами в ближайшее время
 
Ваша заявка успешно отправлена.
Наши менеджеры свяжутся с Вами.
Произошла ошибка
cal