1.1. Настоящая Политика определяет комплекс организационно-технических мероприятий, применяемых в обществе с ограниченной ответственностью «АктивФинансМенеджмент» (далее – Общество), в целях обеспечения безопасности персональных данных при их обработке с использованием средств автоматизации и информационно-телекоммуникационных сетей, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
1.2. Целями настоящей Политики являются:
- сохранение конфиденциальности персональных данных при их обработке;
- обеспечение непрерывности доступа к персональным данным при их обработке;
- обеспечение целостности персональных данных;
- повышение осведомленности работников Общества в области рисков, связанных с обработкой персональных данных;
- определение степени ответственности и обязанностей сотрудников Общества по обеспечению безопасности персональных данных при их обработке в Обществе.
1.3. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации, содержащей персональные данные при их обработке в Обществе
1.4. Соблюдение настоящей Политики обязательно для всех работников Общества (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации, содержащей персональные данные при их обработке в Обществе, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.
2.1. Перечень персональных данных, обрабатываемых в Обществе, подлежащих защите, формируется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и целями Общества.
2.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
- физических лиц, вступивших в договорные отношения по оказанию услуг с Обществом;
- граждан, являющихся претендентами на замещение вакантных должностей в Обществе;
- граждан, являющихся работниками Общества.
3.1. Обеспечение защищенности персональных данных осуществляется администратором безопасности персональных данных.
3.2. Администратор безопасности назначается приказом директора Организации.
3.3. В своей деятельности администратор безопасности руководствуется требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Общества.
3.4. Контроль обеспечения безопасности персональных данных при их обработке в Обществе осуществляется ответственным за обработку персональных данных.
3.5. Ответственный за обработку персональных данных назначается приказом директора Организации.
3.6. В своей деятельности ответственный за обработку персональных данных руководствуется требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Организации.
3.7. Все работники Общества при выполнении своих должностных обязанностей обязаны соблюдать требования безопасности персональных данных, установленные требованиями законодательства Российской Федерации, Положения о защите персональных данных в обществе с ограниченной ответственностью «АктивФинансМенеджмент», настоящей Политикой, требованиями нормативных документов Общества.
4.1. Персональные данные субъектов персональных данных подлежат обработке с использованием средств автоматизации или без использования таких средств.
4.2. Обработка персональных данных в Обществе подразумевает действия по сбору, записи, систематизации, накоплению, хранению, уточнению (обновление, изменение), извлечению, использованию, передачи (предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Обществе
4.3. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначены ответственные лица за организацию обработки персональных данных и за обеспечение безопасности персональных данных.
4.4. Обеспечение безопасности персональных данных, а также разработка и внедрение средств защиты персональных данных основывается на анализе угроз безопасности персональных данных.
4.5. В качестве исходных данных для разработки Частной модели угроз в Обществе используется Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных, введённая Стандартом НАУФОР «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами – профессиональными участниками рынка ценных бумаг» (далее – Базовая модель угроз).
4.6. Во избежание несанкционированного доступа к персональным данным в здании, в котором располагается Общество, организован контрольно-пропускной режим. Входные двери в помещения, в которых осуществляется обработка персональных данных, в нерабочее время закрываются. Входные двери в помещение офиса и рабочие кабинеты сотрудников оборудованы охранной и противопожарной сигнализацией. Помещения Общества оборудуются техническими средствами обеспечения защиты и охраны помещений. Помещения кабинетов, где хранятся персональные данные, оборудуются шкафами для хранения информации на бумажных носителях.
4.7. Для обеспечения внутренней защиты персональных данных работников в помещения, в которых обрабатываются и хранятся персональные данные, имеют право доступа только те сотрудники, перечень которых утвержден приказом директора Общества.
4.8. Для защиты персональных данных и обеспечения безопасности персональных данных применяются меры организационно-технического характера: - ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные; - применение технических средств и организационных мероприятий по физической защите помещений, в которых осуществляется обработка персональных данных; - применение технических и организационных мероприятий по защите информации, содержащей персональные данные при их обработке в информационных системах персональных данных; - защита паролями доступа технических средств, входящих в состав информационных систем персональных данных; - применение технических средств обеспечения надлежащего режима эксплуатации технических средств информационных систем персональных данных; - применение технических средств резервного копирования и восстановления персональных данных, обеспечивающих целостность персональных данных при их обработке в Обществе.
4.9. Порядок обработки персональных данных без использования средств автоматизации в Обществе устанавливается, особенности такой обработки устанавливается Положением о порядке обработки персональных данных без использования средств автоматизации, утверждаемым директором Общества и запросов по вопросам персональных данных устанавливается Порядком работы с обращениями и запросами по вопросам персональных данных, утверждаемым директором Общества.
4.10. В случае возникновения инцидентов (нарушений) безопасности персональных данных в Обществе проводится расследование обстоятельств таких нарушений с выявлением причин и ответственных за нарушения безопасности персональных данных. Разбирательства проводятся по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению установленного уровня защищенности персональных данных (информационных систем персональных данных). Расследование обстоятельств проводится ответственным за обработку персональных данных в соответствии с Порядком проведения разбирательств по фактам инцидентов (нарушений) безопасности персональных данных, утверждаемым директором Общества.
4.11. Для контроля соответствия обработки персональных данных требованиям к защите персональных данных в Обществе проводятся мероприятия по внутреннему контролю (аудиту) соответствия обработки персональных данных требованиям к защите персональных данных. Мероприятия по внутреннему контролю осуществляются ответственным за обработку персональных данных в соответствии с Порядком внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утверждаемым директором Общества.
5.1. Сроки обработки персональных данных определяются согласием субъекта персональных данных на обработку персональных данных, сроком исковой давности, а также иными требованиями законодательства Российской Федерации и документов НАУФОР.
5.2. Обработка персональных данных прекращается с ликвидацией Общества.
6.1. Работники Общества, разгласившие персональные данные субъектов персональных данных, а также работники, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации и внутренними документами Общества.
7.1. Настоящая Политика является внутренним документом Общества, является общедоступной и подлежит размещению на официальном сайте Общества.
7.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
7.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обработку персональных данных Общества.
7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.