Положение об обработке и обеспечении безопасности персональных данных
- Общие положения
1.1. Настоящее Положение об обработке и обеспечении безопасности персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «Челэнергоприбор» (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Требованиям к защите персональных данных при их обработке в информационных системах, утвержденным Постановлением Правительства Российской Федерации от 01.11.2012 №1119, и Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
1.2. Настоящим Положением определяется порядок обработки и обеспечения безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств автоматизации и без использования средств автоматизации в ООО «Челэнергоприбор».
1.3. В настоящем Положении используются следующие понятия:
1.3.1. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.3.2. Информационная система персональных данных (далее – информационная система) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.3.3. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.3.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.3.5. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.6. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.3.7. Обработка персональных данных без использования средств автоматизации (далее – Неавтоматизированный способ) – действия с персональными данными, такие как сбор, систематизация, накопление, хранение, использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.3.8. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.3.9. Оператор – ООО «Челэнергоприбор», юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.3.10. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.3.11. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.3.12. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
1.3.13. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.3.14. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
1.3.15. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона “О персональных данных”.
Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом – третьем настоящего пункта.
Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
1.3.16. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
1.3.17. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона “О персональных данных”, и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона “О персональных данных”.
1.3.18. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
- Порядок обработки персональных данных
2.1. Обработка персональных данных в Информационных системах ООО «Челэнергоприбор» должна осуществляться на основе принципов:
— законности целей и способов обработки персональных данных и добросовестности;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Обработка персональных данных в Информационных системах ООО «Челэнергоприбор» может осуществляться оператором с письменного согласия субъектов персональных данных, за исключением следующих случаев, когда такого согласия не требуется, если:
-в связи с реализацией международных договоров Российской Федерации о реадмиссии;
-в связи с осуществлением правосудия и исполнением судебных актов;
-в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию;
-в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, для предоставления государственной или муниципальной услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
-в связи реализацией обязательств по обязательным видам страхования;
-в соответствии со страховым законодательством при обработке данных детей, оставшихся без попечения родителей;
-если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных а получение согласия субъекта персональных данных невозможно;
-при обработке персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
-при обработке персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
-если обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
-если обрабатываются персональные данные, доступ к которым предоставлен субъектом персональных данных для неограниченного круга лиц;
-если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
-если обработка персональных данных необходима для заключения (исполнения) договора, участником которого является субъект персональных данных;
-если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
-если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста (средства массовой информации) либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
-если обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 N 8-ФЗ;
-если это персональные данные участников общественного объединения и обработка данных осуществляется в соответствии с учредительными документами в пределах организации.
2.3. Обработка оператором специальных категорий персональных данных в Информационных системах ООО «Челэнергоприбор» допускается если:
— субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
— персональные данные являются общедоступными;
— персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
— обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
2.4. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2.5. Оператор, получающий доступ к персональным данным, должен обеспечивать конфиденциальность таких данных, за исключением случаев:
— в случае обезличивания персональных данных;
— в отношении общедоступных персональных данных.
2.6. Обработка персональных данных в Информационных системах ООО «Челэнергоприбор» осуществляется только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами, которыми предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2.7. Письменное согласие субъекта персональных данных на обработку своих персональных данных в Информационных системах ООО «Челэнергоприбор» должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
2.8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных в Информационных системах ООО «Челэнергоприбор» обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в Информационных системах ООО «Челэнергоприбор» дает в письменной форме законный представитель субъекта персональных данных.
2.10. В случае смерти субъекта персональных данных согласие на обработку его персональных данных в Информационных системах ООО «Челэнергоприбор» дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2.11. Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных в Информационных системах ООО «Челэнергоприбор», а оператор обязан их предоставить в соответствии со статьями 14 и 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Меры по обеспечению безопасности персональных данных при их обработке
3.1. Безопасность персональных данных, обрабатываемых в Информационных системах ООО «Челэнергоприбор», достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
3.2. Для обеспечения безопасности персональных данных при их обработке в Информационных системах ООО «Челэнергоприбор»:
— информации, обрабатываемой с использованием технических средств;
— информации, содержащейся на бумажной, магнитной, магнитно-оптической и иной основе (носителях).
3.3. Работы по обеспечению безопасности персональных данных при их обработке в Информационных системах ООО «Челэнергоприбор» являются неотъемлемой частью работ по созданию Информационных систем.
3.4. Обмен персональными данными при их обработке в Информационных системах ООО «Челэнергоприбор» осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических и программных средств.
3.5. Размещение Информационных систем ООО «Челэнергоприбор», специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
3.6. Безопасность персональных данных при их обработке в Информационных системах ООО «Челэнергоприбор» обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее – Уполномоченное лицо). Существенным условием договора является обязанность Уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
3.7. При обработке персональных данных в Информационных системах ООО «Челэнергоприбор» безопасность обеспечивается:
— проведением мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и(или) передачи их лицам, не имеющим права доступа к такой информации;
— своевременным обнаружением фактов несанкционированного доступа к персональным данным;
— недопущением воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
— возможностью незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— постоянным контролем за обеспечением уровня защищенности персональных данных.
3.8. Защита персональных данных, обрабатываемая в Информационных системах ООО «Челэнергоприбор», обеспечивается за счет средств ООО «Челэнергоприбор» в порядке, установленном федеральными законами.
3.9. Доступ сотрудников ООО «Челэнергоприбор» к персональным данным, обрабатываемым в Информационных системах ООО «Челэнергоприбор», для выполнения своих должностных обязанностей производится к соответствующим персональным данным на основании списка, утвержденного оператором.
- Особенности обработки персональных данных, осуществляемых без использования средств автоматизации
4.1. Персональные данные при их обработке, осуществляемой неавтоматизированным способом, должны обособляться от иной информации, фиксацией их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах книг (журналов) или на полях форм (бланков).
4.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой неавтоматизированным способом, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
4.3.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
— сведения о цели обработки персональных данных, осуществляемой неавтоматизированным способом;
— имя (наименование) и адрес оператора;
— фамилию, имя, отчество и адрес субъекта персональных данных;
— источник получения персональных данных;
— сроки обработки персональных данных;
— перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
— общее описание используемых оператором способов обработки персональных данных.
4.3.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую неавтоматизированным способом.
4.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
4.3.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных:
4.4.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
4.4.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется Материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
4.6. Правила, предусмотренные пунктами 4.4 и 4.5 настоящего положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
4.7. Уточнение персональных данных при осуществлении их обработки неавтоматизированным способом производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.8. Обработка персональных данных, осуществляемая неавтоматизированным способом, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- Обязанности лиц, имеющих доступ к персональным данным
5.1. Ответственность за обеспечение безопасности персональных данных и надлежащий режим работы Информационных систем ООО «Челэнергоприбор» возлагается на руководителя.
5.2. В своей работе сотрудники ООО «Челэнергоприбор», допущенные к обработке персональных данных в Информационных системах ООО «Челэнергоприбор», должны руководствоваться требованиями федеральных законов, нормативно-правовых документов Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации, а также настоящим Положением и инструкцией пользователя по защите персональных данных, обрабатываемых в Информационных системах.
5.3. В должностные инструкции сотрудников ООО «Челэнергоприбор», уполномоченных на обработку персональных данных в Информационных системах Школы, должны быть внесены обязанности о необходимости выполнения требований по обеспечению безопасности обрабатываемых ими персональных данных.
5.4. Ответственный за обеспечение безопасности персональных данных в ООО «Челэнергоприбор» руководствуется в своей деятельности инструкцией ответственного за обеспечение безопасности персональных данных, обрабатываемых в Информационных системах ООО «Челэнергоприбор».
5.5. При обнаружении нарушений порядка предоставления персональных данных, обрабатываемых в Информационных системах ООО «Челэнергоприбор», оператор незамедлительно приостанавливает предоставление персональных данных пользователям Информационных систем ООО «Челэнергоприбор» до выявления причин нарушений и устранения этих причин.
5.6. За нарушение норм настоящего Положения, а также федеральных законов, регламентирующих порядок обработки и обеспечения безопасности персональных данных, сотрудники ООО «Челэнергоприбор», допущенные к работе с персональными данными в Информационных системах ООО «Челэнергоприбор» несут гражданско-правовую, административную, уголовную и дисциплинарную ответственность в соответствии с действующим законодательством.