ПОЛИТИКА

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение документа
Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» и определяет основные принципы и порядок обработки персональных данных, а также реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.

1.2 Область действия
Действие настоящей Политики распространяется на процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу, распространению), блокированию, удалению, обезличиванию, уничтожению ПДн, осуществляемые как с использованием средств вычислительной техники (средств автоматизации), в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

1.3 Используемые сокращения
ИСПДн – Информационная система персональных данных
ПДн – Персональные данные
РФ – Российская Федерация

1.4 Используемые термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Компания / Работодатель/ Общество – Акционерное общество «Л’Ореаль».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Компании и действует бессрочно.
Компания проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, а также в следующих случаях:
­ • при изменении положений законодательства РФ в области ПДн;
­ • при создании новых или внесении изменений в существующие процессы обработки ПДн;
­ • по решению руководства Компании.

2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

При организации обработки ПДн Компания руководствуется следующими принципами:
­ • обработка ПДн осуществляется на законной и справедливой основе;
­ • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
­ • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
­ • обработке подлежат только ПДн, которые отвечают целям их обработки;
­ • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
­ • при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;

Компания осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта ПДн на обработку его персональных данных.
Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает Компанию об изменении своих ПДн, и не принимает на себя каких-либо обязательств по проверке полученных ПДн, хотя и оставляет за собой право при необходимости выполнить такую проверку законными способами.
Компания производит обработку ПДн, в соответствии с договорными обязательствами (исполнение соглашений, договоров и обязательств), общехозяйственной деятельностью Компании, а также в соответствии с требованиями законодательства РФ в области ПДн.
Категории субъектов, чьи ПДн обрабатываются в Компании, а также цели обработки определены в Приложении А к настоящей Политике.

3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ

Обработка персональных данных Компанией допускается в следующих случаях:
• при наличии согласия Субъекта ПДн на обработку его ПДн;
• обработка необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Компанию функций, полномочий и обязанностей;
• для заключения договора по инициативе Субъекта ПДн и исполнения договора, стороной которого или выгодоприобретателем, по которому является Субъект ПДн. Такими договорами, без ограничения, являются трудовые договоры с работниками, договоры страхования, в которых Работники и Члены семей работников являются выгодоприобретателями, договоры гражданско-правового характера с контрагентами – физическими лицами;
• обработка необходима для осуществления прав и законных интересов Компании и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъектов ПДн;
• обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
• обработка ПДн, разрешенных Субъектом ПДн для распространения;
• ПДн подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.

При обработке ПДн субъекта обеспечивается их конфиденциальность, целостность и доступность.
Компания не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом ПДн, не указано в полученном от него согласии на обработку ПДн.
Компания не обрабатывает биометрические персональные данные.
При сборе ПДн Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации.
Компания не осуществляет принятие решений, порождающих юридические последствия в отношении пользователей или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

Передача и раскрытие персональных данных третьим лицам

Компания вправе передать ПДн пользователя третьим лицам в случаях:
­ • пользователь предоставил в установленной форме согласие на передачу ПДн;
­ • передача ПДн осуществляется на основании заключаемого с пользователем договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Компания может поручить обработку ПДн другому лицу при выполнении следующих условий:
­ • пользователь предоставил в установленной форме согласие на поручение обработки его ПДн другому лицу;
­ • поручение обработки ПДн осуществляется на основании заключаемого с пользователем договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

В поручении Компании должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, перечень обрабатываемых по поручению персональных данных, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, по запросу Компании в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», об уведомлении Компании о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн и несет ответственность перед Компанией.
Компания несет ответственность перед субъектом ПДн за действия лица, которому Компания поручила обработку ПДн.
Компания не размещает ПДн Субъекта в общедоступных источниках и не распространяет персональные данные неограниченному кругу лиц без предварительного согласия Субъекта персональных данных.

4. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания осуществляет обработку ПДн с использованием средств автоматизации, а также без использования таких средств.
В соответствии со статьей 18 п. 5 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», при сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев:
­ • обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
­ • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
­ • обработка ПДН необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
­ • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

5. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой, Инструкцией по уничтожению ПДн и архивным законодательством Российской Федерации.
Уничтожение документов, содержащих ПДн, производится:
­ • в случае отзыва согласия Субъекта ПДн, если отсутствуют иные законные основания обработки ПДн;
­ • по достижении целей их обработки или при утрате необходимости в их достижении;
­ • при истечении предусмотренного согласием субъекта или установленного локальными нормативными актами Компании срока обработки ПДн;
­ • в случае выявления неправомерной обработки ПДн в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки ПДн;
­ • при получении соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;

В случае отсутствия возможности уничтожения ПДн в течение требуемого срока, осуществляется блокирование таких ПДн и обеспечивается уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством РФ в области ПДн.
В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
В случае если обработка персональных данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Уничтожение ПДн осуществляется согласно документу «Инструкция по уничтожению ПДн».

6. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания в ходе своей деятельности осуществляет трансграничную передачу ПДн юридическим лицам на территории иностранных государств. При этом вопросы обеспечения адекватной защиты прав Субъектов ПДн и обеспечения безопасности их ПДн при трансграничной передаче являются приоритетом для Компании, решение которых реализуется в соответствии с законодательством Российской Федерации в области ПДн.
С целью обеспечения безопасности ПДн при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Перед осуществлением трансграничной передачи ПДн Компания обязана получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Компания до начала осуществления деятельности по трансграничной передаче персональных данных обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных согласно требованиям законодательства РФ.

7. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Компании разработан и введен порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
Компания предпринимает разумные меры для поддержания точности и актуальности, имеющихся у Компании ПДн, а также удаления устаревших и других недостоверных или излишних ПДн. Субъект ПДн несёт ответственность за предоставление достоверных сведений ПДн, а также за обновление предоставленных ПДн в случае каких-либо изменений.
Данный порядок обеспечивает соблюдение следующих прав субъекта ПДн:
– право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн;
• правовые основания и цели обработки ПДн;
• цели и применяемые Компанией способы обработки ПДн;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн.
– право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

Субъект ПДн может реализовать вышеуказанные права путем направления письменного запроса на официальный адрес Компании: 119180, г. Москва, 4-й Голутвинский пер-к, дом 1/8, стр.1-2, в Акционерное общество «Л’Ореаль» с пометкой «запрос касательно персональных данных» или на электронный адрес компании: CORPRU.Personaldata@loreal.com. Запрос также может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие, что субъект ПДн состоит в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя.
В случае, если ПДн были получены Компанией от субъекта ПДн через веб-сайты, мобильные приложения допускается обработка запроса от субъекта ПДн, направленного на электронную почту CORPRU.PersonalData@loreal.com. При этом запрос должен включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению.

8. ОБЯЗАННОСТИ И ПРАВА КОМПАНИИ

В соответствии с требованиями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Компания обязуется:
­• осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
­• не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
­• представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
­• осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
­• представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных», в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПДн или его представителя.
• ­ разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
­• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
­• вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней;
• ­ блокировать обработку ПДн в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц;
•  уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае если обеспечить правомерность обработки ПДн невозможно, если иной срок не установлен действующим законодательством;
­• уведомлять субъекта ПДн или его представителя обо всех изменениях, касающихся соответствующего субъекта ПДн;
­• вести журнал учета обращений субъектов ПДн, в котором фиксируются все запросы и обращения субъекта ПДн или его представителя;
­ прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
• ­ прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн.

В соответствии с положениями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Компания имеет право:
• ­ осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
­• отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса.

9. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Меры по обеспечению безопасности ПДн, применяемые в Компании, включают:
­• разработку локальных актов Компании, реализующих требования законодательства, в том числе Политики в отношении обработки персональных данных;
­• отказ от любых способов обработки персональных данных, не соответствующих целям, заранее определенных Компанией;
­• назначение ответственного за организацию обработки ПДн;
• ­ назначение должностного лица, ответственное за обеспечение безопасности ПДн;
• ­ ограничение состава работников Компании, имеющих доступ к персональным данным, и организация разрешительной системы доступа к ним;
• ­ ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Компании в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
­• обучение всех категорий работников, непосредственно осуществляющих обработку ПДн, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
• ­ проведение периодического внутреннего контроля силами Компании или с привлечением внешнего аудитора соответствия обработки ПДн требованиям законодательства, политике Компании в отношении обработки персональных данных и иным локальным актам Компании, регламентирующим работу с персональными данными;
• ­ ограничение доступа посторонних лиц в помещения Компании;
­ издание документов, определяющих политику Компании в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений;
­• оценку вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области ПДн;
• ­ определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);
• ­ применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
­• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
­ оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• ­ учет машинных носителей ПДн;
• ­ обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• ­ восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
­ установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• ­ иные правовые, организационные и технические меры.
 
10. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ

Компания назначает лицо, ответственное за организацию обработки ПДн.
Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Генерального директора Компании.
Лицо, ответственное за организацию обработки ПДн обязано:
• ­ осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства РФ в области ПДн, а также внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• ­ доводить до сведения работников Компании положения законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
• ­ участвовать в пересмотре внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• ­ организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
­• исполнять иные обязанности и нести иные права, определенные в соответствующем локальном документе Компании.

Иные обязанности и права Ответственного за организацию обработки ПДн определяются в локальном документе Компании «Руководство должностного лица, ответственного за организацию обработки персональных данных».

11. ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИ

Работники Компании, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Компании несут дисциплинарную, гражданско-правовую и административную или уголовную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн.