документы

1. Общие положения.

1.1. Настоящее положение утверждено в целях защиты прав и свобод человека и гражданина, в том числе обеспечения права на личную неприкосновенность при обработке его персональных данных.
1.2. Настоящее положение утверждено во исполнение и основано на федеральных законах России «О персональных данных», «Об информации, и информационных технологиях и о защите информации».

2. Принципы обработки персональных данных и обеспечения их безопасности.

2.1. Обработка персональных данных хозяйственным обществом – обществом с ограниченной ответственностью «ТРАНСФЕРКОММЕРЦ» (далее – Общество) осуществляется в связи с выполнением функций, определяемых положениями Общества о действии обслуживаемой им информационной системы (далее – Система) и соглашениями и договорами Общества в отношении функционирования данной Системы.
2.2. Целями обработки Обществом персональных данных являются:
представление на единой универсальной платформе территориально-отраслевого взаимодействия и контроля Системы правовых стандартов и обобщённых данных производства профессиональной деятельности, осуществляемой физическими и юридическими лицами (профессиональными участниками),
поиск и подбор профессиональных участников, их групп для производства профессиональной деятельности на запрашиваемых территориях, периоды времени и в отраслях и сферах деятельности,
– которые соответствуют составу персональных данных, указанному в п. 3 настоящего Положения.

2.3. Общество, как оператор обработки персональных данных, осуществляет обслуживание Системы, обеспечивающей автоматизированное хранение и обработку указанного в Положении состава данных, вводимых в Систему субъектами персональных данных, а также самостоятельную независимую от Системы обработку персональных данных.
2.4. Обработка персональных данных Обществом также осуществляется в связи с реализацией своих прав и обязанностей по гражданско-правовым договорам с профессиональными физическими лицами, использующими Систему в своей профессиональной деятельности.
2.5. Основной задачей Общества при обеспечении безопасности персональных данных является предотвращение несанкционированного доступа к ним недобросовестных третьих лиц и предупреждение нарушения такими лицами личной неприкосновенности пользователей и участников Системы, а также коммерческой, адвокатской и иной профессиональной тайны.
2.6. Для обеспечения безопасности персональных данных все вводимые в Систему персональные данные имеют свой ограниченный состав и строго разделяются на открытые (публичные) данные о лице и закрытые данные о нём и его деятельности или действиях.

3. Состав персональных данных

3.1. Все передаваемые Обществу персональные данные их субъектами (физическими лицами) и юридическими лицами в отношении физических лиц имеют состав открытых (публичных) данных и состав закрытых (конфиденциальных в целях защиты) персональных данных.
3.2. Открытые (публичные) данные не являются персональными данными, требующими защиту персональных данных в соответствии с законом о персональных данных, поскольку хоть и содержат данные, имеющие отношение к физическому лицу, однако являются общепринятыми обезличенными данными, не позволяющими по ним определить прямо или косвенно конкретное физическое лицо, или содержащих только фамилии, имена и отчества, когда таких данных не достаточно для угрозы безопасности личной неприкосновенности субъектов персональных данных.
3.3. Закрытые персональные данные – это данные о физическом лице, совокупность которых составит информацию, относящуюся к прямо или косвенно определённому физическому лицу, то есть являются персональными данными по закону о персональных данных, в соответствии с которым им должна быть обеспечена защита от несанкционированного доступа третьих лиц.
3.4. Все персональные данные в базах данных Общества и Системы складываются из поступающих персональных данных, вводимых самими субъектами персональных данных и юридическими лицами в отношении физических лиц посредством самостоятельной независимой от воли Общества (оператора) регистрации данных в Системе, и из поступающих персональных данных из общедоступных публичных источников путём копирования и архивирования публичных баз данных.
3.5. В Системе, являющейся, информационной системой содержатся только открытые (публичные) данные, относящиеся к физическим лицам, но не позволяющие их идентифицировать. Система не является общедоступным источником персональных данных.
3.6. Все поступающие в базы данных Общества закрытые персональные данные передаются самими субъектами персональных данных и поэтому Общество как оператор персональных данных несёт ответственность только за сохранность закрытого состава персональных данных.
3.7. Открытые (публичные) персональные данные в соответствии с пунктами 3, 7, 11 части 1 статьи 6 Федерального закона «О персональных данных» не требуют согласия их субъекта персональных данных на обработку, поскольку в таком случае она осуществляется для достижения общественно значимых целей, а также может быть связана с использованием общедоступных открытых для неограниченного круга лиц персональных данных, содержащихся в публичных государственных кадастрах, каталогах и реестрах, в том числе подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами, или когда такие данные обрабатываются в связи с участием субъекта персональных данных в судопроизводстве или исполнительном производстве по исполнению судебного акта.
3.8. Закрытые персональные данные вводятся с согласия субъекта персональных данных и в условиях уведомления его о наличии настоящего Положения.
3.9. Перечень закрытых персональных данных, являющихся персональными данными субъекта персональных данных:
Фамилия, Имя, Отчество,
год рождения,
населённый пункт места нахождения или проживания,
номера телефонов,
сведения о профессиональном стаже в виде наименований организаций и года начала и окончания профессиональной деятельности,
сведения об образовании и государственной регистрации в виде электронных образов подтверждающих их документов,
необязательное в отношении регистрации в государственных реестрах членство и участие в юридических лицах, не связанное с расовой, национальной, политической, религиозной, философской, принадлежностью и интимной жизнью.
3.10. Перечень открытых (публичных) данных, относящихся к лицу, но не являющихся конфиденциальными персональными данными субъекта персональных данных:
Фамилия, Имя, Отчество,
сведения об образовании в виде общих данных о специализации, квалификации, аттестации,
сведения о государственной регистрации в виде общих данных документов о лицензировании, аккредитации, сертификации, разрешений,
сведения о профессиональном стаже в виде общего количества лет по каждой из специализаций, квалификаций, статуса квалификационного, аттестационного, лицензионного, аккредитационного и другого,
обязательное в отношении регистрации в государственных реестрах членство и участие в юридических лицах, не связанное с расовой, национальной, политической, религиозной, философской, принадлежностью и интимной жизнью, государственной, коммерческой тайной.
3.11. Закрытые персональные данные являются конфиденциальными и раскрытию как неопределённому кругу лиц (распространению), так и определённым, но не уполномоченным в соответствии с настоящим Положением на то лицам (сообщению), не подлежат.
3.12. Исключением из правила, предусмотренного п. 3.11. может быть только случай, когда электронные образы документов, подтверждающих специализацию, квалификацию, аттестацию, аккредитацию, лицензии, разрешения могут быть сообщены запросившему профессионального участника, обладающего такими документами, физическому или юридическому лицу после аутентификации этих лиц.
3.13. Раскрытию, то есть предоставлению для ознакомления неопределённому кругу лиц подлежит только состав открытых (публичных) данных о лицах.
3.14. Общество, как оператор персональных данных, обязано запросить у физического лица, передающего свои персональные данные (субъекта персональных данных), согласие на их обработку Обществом в соответствии с порядком настоящего Положения, в той форме, которая позволяет подтвердить факт получения от лица такого согласия, если исключительно письменная форма не предусмотрена отдельными положениями закона.
3.15. Факт идентификации физического лица, давшего согласие на обработку его персональных данных в электронной форме может быть подтверждена направлением соответствующей электронной формы с электронным образом какого-либо документа, имеющего прямое отношение к данному лицу.

3.16. Согласие субъекта персональных данных должно содержать:
«В целях исполнения требований Федерального Закона «О персональных данных» № 152 от 27.07.2006 г. даю свое согласие Обществу с ограниченной ответственностью «ТРАНСФЕРКОММЕРЦ» на обработку моих персональных данных и подтверждаю, что, давая такое согласие, действую своей волей и в своем интересе и принимаю, что целью Общества прежде всего является мои защита и профессиональный успех, поэтому никак не обязывает меня к сообщению сведений и перечень ниже указанных сведений рекомендуется для вышеназванного.
К закрытым (конфиденциальным и не подлежащим раскрытию и распространению) сведениям обо мне относятся: Фамилия, Имя, Отчество, год рождения, населённый пункт места нахождения или проживания (полные адреса сообщать не нужно), номера телефонов, сведения о профессиональном стаже в виде наименований организаций и года начала и окончания профессиональной деятельности, сведения об образовании в виде данных документов о специализации, квалификации, аттестации, сведения о государственной регистрации в виде данных документов о лицензировании, аккредитации, сертификации, разрешений, членство и участие в юридических лицах, не связанное с расовой, национальной, политической, религиозной, философской, принадлежностью и интимной жизнью, а также государственной тайной.
К открытым (публичным и общественно значимым, не достаточным для угрозы безопасности личной неприкосновенности) сведениям обо мне относятся: Фамилия, Имя, Отчество и сведения об образовании в виде общих данных о специализации, квалификации, аттестации, сведения о государственной регистрации в виде общих данных о лицензировании, аккредитации, сертификации, разрешений, сведения о профессиональном стаже в виде общего количества лет по каждой из специализаций, квалификаций, статуса квалификационного, аттестационного, лицензионного, аккредитационного и другого, имеющееся в государственных реестрах или обязательное членство и участие в юридических лицах.
Целью обработки моих персональных данных является предоставление мне Обществом функциональных достижений, указанных в Положении Общества о действии обслуживаемой им информационной системы, поэтому не возражаю против обработки моих персональных данных с использованием средств автоматизации и без использования таких средств.
Более подробно о правилах обработки персональных данных можно ознакомиться по адресу: www.домен / «Об организации» / «Положение о порядке обработки и защиты персональных данных».

3.17. Срок хранение открытых (публичных) данных неограничен.

3.18. Закрытые персональные данные хранятся до прекращения профессиональной деятельности субъекта персональных данных или в случае направления оператору персональных данных мотивированного заявления о блокировании его закрытых персональных данных а также открытых данных в связи с государственной или коммерческой тайной или в связи с возникшими угрозами безопасности жизни как его так и иных лиц.
3.19. Обработка и использование закрытых персональных данных любого субъекта персональных данных осуществляется Обществом на протяжении всего срока осуществления любым профессиональным участником профессиональной и производственной деятельности с участием или в отношении данного субъекта персональных данных, регистрация и учёт которой осуществляется в картотеке материалов и дел производственной и процессуальной деятельности Системы, не содержащей закрытых персональных данных.
3.20. Обработка и использование закрытых персональных данных профессионального участника осуществляется Оператором на протяжении всего срока обладания профессиональным участником тем статусом, данные о котором имеются в базах данных Системы.
3.21. Хранение персональных данных после окончания сроков, указанных в п. 3.18 – 3.20, составляет 5 лет с даты достижения цели их обработки.

4. Организация обработки персональных данных и мер их защиты.

4.1. Доступ к закрытому перечню персональных данных могут иметь только назначенные отдельным приказом руководителя Общества лица, которые каким-либо образом связаны с профессиональной производственной или процессуальной деятельностью пользователей и участников Системы или определённой её части, либо лица, которым на основании заключённого с ними договора Обществом поручено определённое техническое или юридическое обслуживание или сопровождение Системы или определённой её части.
4.2. Отдельная информационная часть (части) Системы может быть полностью отделена от той части Системы, которая подключена к общественной информационно-телекоммуникационной сети, для обработки закрытых персональных данных в таких частях отдельными уполномоченными на то лицами.
4.3. Руководителем Общества назначается ответственный за организацию обработки персональных данных, который:
1) проводит внутренний контроль соответствия обработки персональных данных законодательству и настоящему Положению,
2) указанных в п. 4.1. настоящего Положения уполномоченных лиц ознакамливает с настоящим Положением, о чём им и данными лицами делаются соответствующие записи,
3) ходатайствует перед руководителем Общества об исключении определённых лиц из приказа о доступе (то есть запрете доступа) их к той части Системы, которая содержит базу закрытых персональных данных.
4) выявляет нарушения законодательства в сфере персональных данных и настоящего Положения или факты несанкционированного доступа к базам данных Системы и Общества и докладывает руководителю Общества, а также в случае необходимости составляет материал о таком нарушении конкретным лицом, содержащий пояснительный доклад, объяснения лиц и технический или иной протокол фактических и/или технических обстоятельств нарушения,
5) незамедлительно принимает организационные и технические меры для прекращения вышеуказанного нарушения и устранения, при возможности, последствий такого нарушения, о чём докладывает руководителю Общества в пояснительном докладе или отдельным докладом к нему,
6) ежегодно проводит аудит соответствия обработки персональных данных законодательству и настоящему Положению и об оценке мер предупреждения вреда, о чём составляет соответствующий отчёт об информационном аудите безопасности Системы.
4.4. В отчёте информационного аудита Системы указываются:
организационные и технические меры, принимаемые за отчётный период действия Системы,
количество и последствия выявленных нарушений в сфере персональных данных и настоящего положения, несанкционированного воздействия на информационную систему за отчётный период,
анализ угроз и оценка вреда информационной безопасности в сфере персональных данных, соотношение рисков вероятного вреда и принимаемых мер, направленных на обеспечение как отдельных правил так и общих принципов настоящего Положения, то есть необходимый уровень защищённости персональных данных,
предложения по изменению и дополнению настоящего Положения в целях модернизации и совершенствования мер и средств защиты информации и персональных данных,
состояние и общие данные учёта всех аппаратно-программных комплексов той части Системы, которая содержит базы данных с закрытыми персональными данными с указанием на уровень их сохранности от несанкционированного доступа,
установление уровня защищённости персональных данных при их обработке в информационной системе в зависимости от типа угроз, актуальных для информационной системы (в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных) и отражение в отчёте информационного аудита обстоятельств исполнения требований, указанных в п. 5 настоящего Положения, в том числе использования программных шифровальных (криптографических) средств и иных программных средств защиты информации соответствующего класса защиты и безопасности.
4.5. Регистрация и учёт действий, совершаемых с появившимися в Системе и в Обществе персональными данными пользователей Системы осуществляется при ведении картотеки, указанной в п. 3.19. настоящего Положения, а с появившимися в Системе персональными данными профессиональных участников Системы при ведении каталогов профессиональных участников Системы.

5. Обеспечение безопасности персональных данных.

5.1. Обеспечение защиты персональных данных достигается положениями постановления Правительства Российской Федерации № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации № 687 от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Указа Президента Российской Федерации № 188 от 06.03.1997г. «Об утверждении перечня сведений конфиденциального характера», Приказа Федеральной службы по техническому и экспортному контролю России № 21 от 18.02.2013г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
5.2. Обеспечение защиты персональных данных в Системе при их обработке Обществом, осуществляемой без использования средств автоматизации, достигается следующими мерами:
1) строгое обособление закрытых и открытых данных при представлении Системой информации,
2) территориально-отраслевая обособленность данных при их обработке разными уполномоченными по персональным данным,
3) электронные ключи общего доступа (доступа ко всей обособленной базе данных Системы) к закрытым данным запрещается хранить на программно-аппаратных и самих аппаратных средствах, а их хранение на отдельном материальном носителе должно быть осуществлено только в режиме, непрерывно исключающем доступ иных лиц.
5.3. При фиксации персональных данных на бумажных носителях не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы.
5.4. При несовместимости целей обработки персональных данных, зафиксированных на одном бумажном носителе, если бумажный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающие одновременное копирование иных персональных данных, не подлежащих распространению и использованию.
5.5. Необходимо обеспечивать раздельное хранение документированной информации о персональных данных, обработка которых осуществляется в различных целях.
5.6. Допуск работников оператора персональных данных к обработке персональных данных в информационной системе осуществляется на основании электронных ключей доступа или ключей электронных цифровых подписей.
5.7. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки информационной системы.
5.8. Хранение резервных и технологических копий баз данных информационной системы, содержащих информацию персонального характера, осуществляется на носителях, доступ к которым ограничен.
5.9. При невозможности технической реализации отдельных выбранных мер или технических средств по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
5.10. Указанные в п. 5.9. настоящего Положения компенсирующие меры обязательно описываются в настоящем Положении.
5.11. Для защиты персональных данных от актуальных угроз безопасности информационной системы Обществом предпринимаются организационные меры по техническому разделению персональных данных на открытые и закрытые составы, указанные в п.3 настоящего Положения.
5.12. Для исключения в Системе актуальных угроз безопасности персональным данным, связанных с наличием недокументированных (недекларированных) возможностей, то есть возможностей технических устройств и/или программного обеспечения, не отраженных в стандартной сертификационной или лицензионной документации, которые могут быть скрытыми, Общество:
1) запрещает ввод закрытых персональных данных в Систему;
2) не использует предоставленное Системе программное обеспечение для обработки закрытых персональных данных, а осуществляет такую обработку с использованием самостоятельных индивидуальных каналов связи уполномоченных руководителем оператора персональных данных лиц, которым запрещено разглашать указанные данные,
3) изготавливает электронные формы ввода данных в отношении физических лиц в Систему, которые содержат только открытые (публичные) данные,
4) принимает в собственные независимые от баз данных Системы закрытые базы данных, доступ к которым имеют только уполномоченные оператором лица, закрытые персональные данные, передаваемые самими субъектами персональных данных при помощи индивидуальных программно-аппаратных средств, находящихся во владении или использовании самих субъектов персональных данных.
5.13. Для обеспечения минимального уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения
ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

6. Права оператора персональных данных.

В целях защиты персональных данных, выявления недобросовестных профессиональных участников или исправления технической ошибки Общество имеет право:
6.1. запрашивать у любых лиц информацию, необходимую для реализации своих полномочий строго в соответствии с целями настоящего Положения,
6.2. осуществлять проверку сведений, содержащихся в базах данных Системы и привлекать для осуществления такой проверки государственные органы в пределах своих полномочий,
6.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Положения, нормативных правовых актов в области защиты персональных данных,
6.4. привлекать к дисциплинарной ответственности лиц, допустивших неправомерные действия с персональными данными, нарушения настоящего Положения.

Утверждено Приказом генерального директора ТРАНСФЕРИНФОРМОПЕРАТОР                      от « 28 » июня 2021 г. № 6