Утверждено:

Приказом

Генерального директора

ООО «Сохраняем жизни»

№ 3_11 от 14_11_2024

г. Химки, 14_11_2024г.

Оглавление

1. Общие положения.
2. Термины и определения.
3. Организация обработки персональных данных.
4. Обращение с персональными данными.
5. Обрабатываемые персональные данные.
6. Условия обработки персональных данных.
7. Обязанности оператора персональных данных.
8. Порядок реагирования на запросы и обращения.
9. Обеспечение безопасности персональных данных.
10. Уничтожение персональных данных.
11. Ответственность за нарушения.




Положение по организации обработки и обеспечению безопасности персональных данных

1.Общие положения

1.1.Положение по организации обработки и обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Сохраняем жизни» (далее – «Положение») разработано в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона № 152‑ФЗ «О персональных данных» (далее – Закон «О персональных данных»).
1.2.Положение определяет порядок обработки персональных данных, а также устанавливает требования к обеспечению безопасности персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «Сохраняем жизни» (далее – «Оператор»).
1.3.Действие Положения распространяется на обработку персональных данных как с использованием средств автоматизации, так и без использования таких средств.
1.4.Нормы и правила, содержащиеся в Положении, являются обязательными для исполнения всеми работниками Оператора.
1.5.Пересмотр Положения осуществляется в следующих случаях:
(а) при появлении новых требований к обработке и обеспечению безопасности персональных данных со стороны российского законодательства и государственных органов, осуществляющих функции контроля (надзора);
(б) по результатам проверок государственных органов, осуществляющих функции контроля (надзора), выявивших несоответствия требованиям по обработке и обеспечению безопасности персональных данных;
(в) по результатам внутреннего контроля (аудита) системы защиты персональных данных в случае выявления существенных нарушений;
(г)по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности персональных данных и выявивших недостатки в правилах предоставления доступа к персональным данным.

2.Термины и определения

2.1.В Положении следующие термины имеют следующие значения:
2.1.1.Блокировка персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.1.2.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.3.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
−сбор, запись, систематизацию, накопление, хранение;
−уточнение (обновление, изменение);
−извлечение, использование, обезличивание;
−блокирование, удаление, уничтожение.
2.1.4.Ответственное лицо – лицо, ответственное за организацию обработки персональных данных.
2.1.5.Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.6.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.7.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.8.Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных.
2.1.9.Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.10.Утечка – неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных, повлекшая нарушение прав субъектов персональных данных.
2.2. Термины, употребленные с большой и строчной букв, равнозначны.

3.Организация обработки персональных данных

Ответственное лицо
3.1.Для организации обработки и обеспечения безопасности ПД, Оператор назначает Ответственное лицо.
3.2.Ответственное лицо обязано:
−контролировать выполнение работниками Оператора локальных актов, регулирующих обработку ПД, а также законодательства Российской Федерации в сфере ПД;
−актуализировать локальные акты Оператора, регулирующие обработку ПД, в связи с изменением законодательства Российской Федерации;
−организовать:
·уведомление Роскомнадзора об осуществлении обработки ПД, а также актуализацию сведений в реестре операторов;
·сбор и хранение согласий на обработку ПД;
−организовать своевременное ознакомление работников Оператора с:
·положениями законодательства Российской Федерации о ПД;
·локальными актами работодателя, регулирующими обработку ПД (в т.ч. с требованиями о защите ПД);
−руководить процессом внутреннего контроля, аудита соответствия обработки ПД законодательству Российской Федерации;
−руководить процессом оценки вреда, который может быть причинен в случае нарушения Закона «О персональных данных», соотношения вреда и принимаемых мер;
−совершать иные действия, направленные на организацию обработки и обеспечение безопасности ПД.

Допуск к персональным данным
3.3.Работники Оператора допускаются к обработке ПД в объеме, необходимом им для выполнения должностных обязанностей.
3.4.Перед началом работы с ПД работники Оператора, допущенные к обработке ПД, обязаны:
−ознакомиться под подпись с Положением;
−пройти инструктаж и обучение по работе с ПД;
−пройти инструктаж и обучение по работе с ПД в ИСПД.
3.5.Форма листа ознакомления с порядком обработки персональных данных у Оператора представлена в Приложении № 2.
3.6.Если на основании договоров, заключенных с юридическими или физическими лицами, Оператору необходимо предоставить таким лицам доступ к ПД, то соответствующие ПД предоставляются Оператором только после:
(а)заключения поручения на обработку ПД; или
(б) включения в договоры пунктов о конфиденциальности при обработке ПД.
3.7.Государственным органам, осуществляющим функции контроля (надзора), права доступа к ПД предоставляются только в сфере их компетенции и в объеме, предусмотренном действующим законодательством.
3.8.Методы и правила разграничения доступа определяются исходя из целесообразности и эффективности их применения. Используемые технические средства должны обладать возможностью реализации выбранного метода разграничения доступа.

4.Обращение с персональными данными

Хранение персональных данных
4.1.Хранение ПД субъектов осуществляется на бумажных и электронных носителях информации в специально выделенных хранилищах (помещениях) – шкафы, офисная мебель подразделений Оператора, а также в ИСПД Оператора, обеспечивающих сохранность ПД и их защиту от несанкционированного доступа.
4.2.Оператор может определить:
(а)особый режим доступа в помещения, в которых хранятся ПД;
(б)требования к оборудованию;
(в)установить перечень лиц, имеющих право доступа в данные помещения.
4.3.Необходимо обеспечивать раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях.
4.4.Срок хранения и обработки и персональных данных ограничен:
(а) достижением целей обработки и хранения персональных данных; или
(б) сроком действия согласия субъекта ПД на обработку ПД.
Уточнение персональных данных
4.5.Уточнение ПД при их обработке производится путем обновления или изменения данных на материальном или электронном носителях.
4.6.Если уточнение ПД не допускается техническими особенностями материального носителя, то ПД уточняют путем:
(а)фиксации на том же материальном носителе сведений о вносимых в них изменениях; или
(б)изготовления нового материального носителя с уточненными ПД.
Передача персональных данных
4.7.Передача ПД субъектов между подразделениями Оператора должна осуществляться только между работниками, допущенными к обработке ПД.
4.8.Передача ПД субъектов третьим лицам может осуществляться только при наличии согласия субъекта за исключением случаев, когда это необходимо:
−в целях исполнения условий договора;
(п. 5 ч. 1 ст. 6 Закона «О персональных данных»)
−в целях предупреждения угрозы жизни и здоровью субъекта ПД;
(п. 6 ч. 1 ст. 6 Закона «О персональных данных»)
−в иных случаях, не требующих согласия субъекта ПД.
(ст. ст. 6, 10, 10.1, 11 Закона «О персональных данных»)
4.9.Государственным органам, осуществляющим функции контроля (надзора), права доступа к ПД предоставляются только в сфере их компетенции и в объеме, предусмотренном действующим законодательством.

5.Анализ пользовательской активности

5.1.Оператор обрабатывает cookie-файлы, позволяющие отслеживать активность и вовлечённость пользователя.
Файлы cookie – это небольшие файлы, обычно состоящие из букв и цифр, загружаемые на устройство, когда вы обращаетесь к определенным веб-сайтам, например:
−Браузер и его версия;
−Операционная система и ее версия;
−Язык браузера;
−Ширина и высота клиентской части окна браузера;
−Время на сайте.
Файлы cookie позволяют сайту распознавать устройство пользователей сайтов, а Оператору анализировать пользовательскую активность.
Данные, собираемые с помощью cookie-файлов, обрабатываются автоматизированным способом. Основанием для обработки в этом процессе является согласие на обработку персональных данных, предоставляемое пользователем сервиса путем совершения конклюдентных действий – продолжения использования сервиса.
Пользователи могут отключить сбор cookie-файлов в настройках своего браузера.
5.2.Для анализа пользовательской активности Оператор использует сервис Яндекс.Метрика. Для использования сервиса Оператор передаёт пользовательские данные ООО «Яндекс» (119021, Москва, ул. Льва Толстого, д. 16):
−С полным перечнем данных, обрабатываемых Яндекс.Метрика можно ознакомиться по ссылке: http://api.yandex.com/metrika;
−С политикой конфиденциальности сервиса Яндекс.Метрики можно ознакомиться по ссылке: https://yandex.ru/legal/confidential/.
6.Обрабатываемые персональные данные6.1.Оператор осуществляет обработку персональных данных пользователей сайтов:
−https://savinglive.ru/;
−https://explicable.ru/.
6.2.Оператор осуществляет обработку ПД пользователей сайта и иных лиц в целях, указанных в Приложении №1 к Положению.

7.Условия обработки персональных данных

7.1.Оператор соблюдает следующие условия обработки ПД:
−наличие законного основания для обработки ПД;
−соблюдение общих принципов обработки ПД;
−выполнение Оператором обязанностей при обработке ПД:
(а)локализация ПД российских граждан на территории Российской Федерации;
(б)уведомление Роскомнадзора об осуществлении обработки ПД;
(в)соблюдение условий трансграничной передачи ПД;
(г) уведомление Роскомнадзора (ФСБ[1]) об утечке ПД.
7.2.Если ПД:
−зафиксированы на одном материальном/электронном носителе;
−обрабатываются в целях, несовместимых между друг другом,
должны быть приняты меры по обеспечению раздельной обработки данных ПД.
7.3.ПД следует получать непосредственно от субъекта ПД или от его законного представителя.
7.4.Если ПД возможно получить только у третьей стороны (контрагента), Оператор до начала обработки таких ПД обязан:
−принять возможные меры для проверки наличия законного основания для получения таких данных от третьей стороны;
−включить в договор с третьей стороной гарантии, заверения и иные договорные механизмы, позволяющие получить от контрагента подтверждение наличия законных оснований для передачи ПД.
7.5.В случае, если контрагент отказывается предоставить подтверждение наличия законных оснований для передачи ПД и включить в договор необходимые положения, Оператору рекомендуется рассмотреть возможности:
−уведомления субъекта ПД о получении его ПД. Уведомление должно содержать:
·адрес Оператора;
·наименование Оператора;
·цели обработки ПД;
·основание для обработки ПД;
·предполагаемые пользователи ПД;
·перечень обрабатываемых ПД;
·источники получения ПД;
·сведения о правах субъекта ПД, установленных Законом «О персональных данных»; либо
−отказа от обработки таких ПД.
7.6.Оператор освобождается от обязанности предоставить субъекту персональных данных указанные выше сведения, если:
(а)субъект ПД уведомлен об осуществлении обработки его ПД Оператором;
(б)ПД получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД;
(в)Оператор осуществляет обработку ПД для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПД;
(г) предоставление субъекту ПД указанных выше сведений нарушает права и законные интересы третьих лиц.

8.Обязанности оператора персональных данных

Локализация персональных данных
8.1.Оператор обязан использовать базы данных, находящиеся в Российской Федерации, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации.
8.2.Передавать ПД в другие страны возможно только после их внесения в базу данных на территории Российской Федерации.

Уведомление Роскомнадзора об осуществлении обработки
8.3.Оператор уведомляет Роскомнадзор об обработке ПД:
(а)на бумаге путем направления уведомления в территориальный орган; или
(б)в электронном виде, с усиленной квалифицированной электронной подписью либо с использованием учетной записи ЕСИА[2].
8.4.В случае изменения сведений, указанных в уведомлении, Оператор должен уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
8.5.В случае прекращения обработки ПД, Оператор обязан уведомить об этом Роскомнадзор в течение 10 (десяти) рабочих дней с даты прекращения обработки ПД.
Трансграничная передача персональных данных
8.6.Трансграничной передачей ПД признается передача ПД:
−иностранному гражданину или организации;
−находящимся на территории иностранного государства.
8.7.Оператор обязан уведомить Роскомнадзор о своем намерении осуществить трансграничную передачу ПД до начала передачи ПД.
8.8.До начала трансграничной передачи необходимо определить, включено ли иностранное государство, на территорию которого планируется передача ПД, в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД[3].
8.9.Оператор вправе осуществлять трансграничную передачу ПД:
(а)в государства, включенные в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД – с даты поступления уведомления в Роскомнадзор;
(б)в государства, которые не включены в перечень – по истечении 10 рабочих дней после уведомления Роскомнадзора при условии, что Роскомнадзор не наложил запрет или ограничение на трансграничную передачу.
8.10.До подачи уведомления Оператор обязан получить от лиц, которым планируется трансграничная передача ПД:
−сведения о принимаемых мерах по защите передаваемых ПД и об условиях прекращения их обработки;
−сведения о лицах, которым планируется трансграничная передача ПД:
·наименование/ФИО;
·номера контактных телефонов;
·почтовые адреса;
·адреса электронной почты.
−в случае трансграничной передачи на территорию государств, которые не обеспечивают адекватную защиту прав субъектов ПД – информацию о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся лица, которым планируется трансграничная передача ПД.
8.11.Ответственное лицо разрабатывает методику проведения оценки соблюдения конфиденциальности ПД и обеспечения безопасности ПД при их обработке лицами, которым планируется трансграничная передача ПД.
8.12.Уведомление о трансграничной передаче направляется отдельно от уведомления о намерении осуществлять обработку ПД.
Уведомление об утечке
8.13.Оператор обязан с момента выявления утечки уведомить Роскомнадзор (в некоторых случаях – ФСБ[4]):
−в течение 24 часов:
·об утечке;
·о предполагаемых причинах, повлекших нарушение прав субъектов ПД;
·о предполагаемом вреде, нанесенном правам субъектов ПД;
·о принятых мерах по устранению последствий утечки;
·предоставить сведения об Ответственном лице;
−в течение 72 часов:
·о результатах внутреннего расследования выявленного инцидента;
·предоставить сведения о лицах, действия которых стали причиной утечки (при наличии).

9.Порядок реагирования на запросы и обращения

Реагирование на запросы Роскомнадзора
9.1.Оператор обязан сообщить в Роскомнадзор требуемую информацию в течение 10 рабочих дней с даты получения запроса.
9.2.Указанный срок может быть продлен не более чем на 5 рабочих дней. Для этого Оператор должен направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
Реагирование на обращения субъектов ПД
9.3.Оператор обязан сообщить субъекту ПД или его представителю в течение 10 рабочих дней со дня получения обращения:
(а) информацию о наличии ПД, относящихся к соответствующему субъекту ПД;
(б) предоставить возможность ознакомления с этими ПД.
Чтобы исключить возможность ошибочного предоставления ПД данных другому лицу, Законом «О персональных данных» установлены требования к содержанию обращения (запроса). Обращение должно содержать:
−сведения о документе, удостоверяющем личность субъекта ПД (или его законного представителя): тип документа, серия и номер, кем и когда выдан;
−информацию о правоотношениях с Оператором (например, реквизиты заключенного договора или информация о получении какой-либо рекламной рассылки);
−подпись, в т.ч. электронную, в соответствии с законодательством Российской Федерации «Об электронной подписи».
9.4.Если обращение не содержит сведений, указанных в 9.3, Оператор вправе отказаться предоставлять информацию о ПД по обращению. В таком случае Оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий 10 рабочих дней со дня получения обращения субъекта ПД.
9.5.Если субъект ПД обратился с отзывом согласия на обработку его ПД, Оператор обязан прекратить их обработку в течение 10 рабочих дней со дня получения обращения. В отношении ПД, собранных в рекламных целях, Оператор обязан прекратить обработку ПД немедленно.
9.6.Указанные сроки могут быть продлены, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПД мотивированного уведомления с указанием причин.

10.Обеспечение безопасности персональных данных

Организация обеспечения безопасности
10.1. Оператор при обработке ПД обязан принимать необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
10.2. Для обеспечения безопасности ПД применяются следующие меры:
−определение угроз безопасности ПД при их обработке в ИСПД;
−применение организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает уровни защищенности ПД;
−применение процедур оценки соответствия средств защиты информации;
−применение для уничтожения ПД прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
−оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
−ведение учета электронных носителей ПД;
−обнаружение фактов несанкционированного доступа к ПД и принятие мер по предупреждению и ликвидации последствий утечек ПД;
−восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
−установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета действий, совершаемых с ПД в ИСПД;
−контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД.
10.3. В отсутствие работника на его рабочем месте не должно быть документов и электронных носителей информации, содержащих ПД.
10.4. Доступ работников Оператора и иных лиц в помещения, в которых осуществляется обработка и хранение ПД, ограничивается организационными мерами.
10.5. Организацию обработки ПД субъектов и контроль соблюдения мер их защиты в структурных подразделениях Оператора, работники которых имеют доступ к ПД, осуществляют их непосредственные руководители.
10.6. Организация защиты ПД, обрабатываемых в ИСПД, осуществляется в рамках действующей системы защиты.
10.7. Разработка и осуществление мероприятий по обеспечению безопасности ПД, обрабатываемых в ИСПД, может осуществляться сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ
.
Обеспечение безопасности при взаимодействии с третьими лицами
10.8. В целях обеспечения безопасности ПД, при взаимоотношении Оператора с третьими лицами должен проводиться мониторинг действий третьих лиц в ИСПД Оператора.
10.9. Оператор должен удостовериться до заключения договора в адекватном уровне обеспечения третьим лицом безопасности ПД в случае заключения с третьим лицом договора, одним из условий которого является передача ПД, обрабатываемых Оператором на законных основаниях.
10.10. Любое соединение с внешней информационной системой должно быть согласовано с Ответственным лицом. Любой доступ должен быть ограничен и протестирован на возможные уязвимости. Внешний доступ должен также отвечать следующим характеристикам:
−необходимо подписание владельцем внешней информационной системы соглашения о принятии на себя обязательств по обеспечению безопасности ПД в своей части сети, соединенной с сетью Оператора;
−должен быть обеспечен контроль доступа и аутентификация.
10.11. Повседневный контроль порядка обращения с ПД осуществляют руководители тех структурных подразделений Оператора, в которых обрабатываются ПД.
Меры безопасности в случае утечки
10.12.В целях обеспечения безопасности ПД, в случае утечки проводится внутреннее расследование причин утечки. Ответственное лицо руководствует проведением расследования.
10.13.При оценке предполагаемого вреда, нанесенного правам субъектов ПД, Оператор определяет одну из степеней вреда: высокую, среднюю или низкую.
10.14.Если по итогам оценки установлено, что субъекту могут быть причинены различные степени вреда, нужно применять более высокую степень.
10.15.Результаты оценки вреда необходимо оформлять актом оценки вреда. Акт должен содержать:
−наименование Оператора;
−адрес Оператора;
−дату акта и дату проведения оценки вреда;
−ФИО и подписи лиц, проводивших оценку вреда;
−степень вреда.
10.16.Ответственное лицо руководствуется Требованиями к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», утв. Приказом Роскомнадзора от 27.10.2022 № 178.

11.Уничтожение персональных данных

11.1.Уничтожение персональных данных производится в случаях:
−выявления неправомерной обработки ПД, если обеспечить правомерность обработки невозможно;
−требования субъекта ПД, если его ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
−отзыва субъектом ПД согласия на обработку его ПД, если их сохранение более не требуется для целей обработки;
−достижения цели обработки ПД или утраты необходимости в достижении этих целей;
−истечения сроков хранения ПД, установленных законодательством Российской Федерации;
−признания недостоверности ПД или получения их незаконным путем по требованию уполномоченного органа;
−в иных установленных законом случаях.
11.2.Уничтожение ПД должно быть осуществлено в следующие сроки:
−7 рабочих дней – при предоставлении субъектом ПД сведений, что ПД обрабатываются незаконно;
−10 рабочих дней – при выявлении неправомерной обработки ПД, если невозможно обеспечить наличие правового основания;
−10 рабочих дней – при обращении субъекта ПД с требованием о прекращении обработки;
−30 календарных дней – при отзыве согласия субъектом ПД, если хранение данных не требуется для иных целей;
−3 года – по завершении хранения документов по договору, стороной или выгодоприобретателем по которому является субъект ПД;
−5 лет – в отношении первичных учетных документов, регистров бухгалтерского учёта, бухгалтерской (финансовой) отчетности, аудиторских заключений о них, а также иных документов, необходимых для исчисления, уплаты или удержания, перечисления налогов;
−6 лет – в отношении документов, необходимых для исчисления и уплаты страховых взносов.
11.3.Уничтожение ПД в случаях, не указанных в п.11.2 Положения, осуществляется по истечении сроков для обработки ПД, указанных в Приложении №1.
11.4.Ответственное лицо принимает решения по вопросам уничтожения ПД.
11.5.Уничтожение ПД может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
(а) физическое уничтожение носителя (в том числе уничтожение через шредирование, сжигание);
(б) уничтожение информации с носителя (в том числе многократная перезапись в секторах магнитного диска).
11.6.Уничтожение части ПД, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих ПД, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
11.7.Подтверждающими документами об уничтожении ПД являются:
−акт об уничтожении ПД;
−выгрузка из журнала регистрации событий в ИСПД.
11.8.Оператор при уничтожении ПД руководствуется Требованиями к подтверждению уничтожения персональных данных, утв. Приказом Роскомнадзора от 28.10.2022 № 179.

12.Ответственность за нарушения

12.1. За неисполнение или ненадлежащее исполнение работником возложенных на него обязанностей по соблюдению установленного порядка работы с ПД работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
12.2. Ответственность за несоблюдение Положения несет работник, а также руководитель структурного подразделения, осуществляющего обработку ПД.
12.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, могут быть привлечены к административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

[1] ФСБ необходимо уведомлять в случае, если Общество относится к субъектам критической инфраструктуры.
[2] Форма уведомления доступна по ссылке.
[3] Приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
[4] ФСБ необходимо уведомлять в случае, если Общество относится к субъектам критической инфраструктуры.