Положение о порядке хранения и защиты персональных данных пользователей

ПОЛОЖЕНИЕ

о порядке хранения и защиты персональных данных пользователей

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение и область действия документа
Настоящее Политика в отношении обработки персональных данных в ООО Инвестиционная девелоперская компания «ЭНКО» (далее — Политика) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в ООО Инвестиционная девелоперская компания «ЭНКО» (далее Организация).
Настоящая Политика разработана в соответствии с федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом РФ.
Цель настоящей Политики – определение порядка обработки персональных данных субъектов персональных данных в Организации.
Юридические и физические лица, в соответствии со своими полномочиями владеющие, получающие и использующие информацию о субъектах персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность за нарушение правил обработки и защиты этой информации.
Настоящая Политика вступает в силу с момента её утверждения генеральным директором Организации и действует бессрочно до замены её новой Политикой.
Все изменения в Политика вносятся приказом генерального директора Организации.
Все сотрудники Организации, имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящей Политикой под роспись для последующего её исполнения.
2 ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Термины и определения
Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности, защищаемой криптосредством информации или с целью создания условий для этого.
Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.
2
Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.
Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.
Доступ к информации – возможность получения информации и ее использования.
Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона — это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Модель угроз – перечень возможных угроз информации.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
4
Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2.2 Определение перечня персональных данных, обрабатываемых в ООО Инвестиционная девелоперская компания «ЭНКО»
2.2. В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:
2.2.1 Персональные данные работников
Персональные данные работников обрабатываются в следующих целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;
- отражения информации в кадровых документах;
- начисления заработной платы;
- исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
- представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;
- предоставления сведений третьим лицам для оформления полиса ДМС;
- предоставления налоговых вычетов;
- обеспечения моей безопасности;
- контроля количества и качества выполняемой мной работы;
- обеспечения сохранности имущества работодателя
В ООО Инвестиционная девелоперская компания «ЭНКО» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие персональные данные сотрудников:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО Инвестиционная девелоперская компания «ЭНКО»
- сведения о доходах в ООО Инвестиционная девелоперская компания «ЭНКО»;
- сведения о деловых и х качествах, носящих оценочный характер.
5
2.2.2 Персональные данные соискателей на вакантные должности
Цели обработки персональных данных соискателей:
- трудоустройство на вакантные должности ООО Инвестиционная девелоперская компания «ЭНКО».
В ООО Инвестиционная девелоперская компания «ЭНКО» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных соискателей:
- фамилия;
- имя;
- отчество;
- дата рождения;
- место рождения;
- гражданство;
- пол;
- сведения о воинском учете;
- сведения об образовании;
- сведения о трудовом стаже;
- другие данные, указанные соискателем самостоятельно в резюме.
2.2.3 Персональные данные лиц, не являющихся штатными или внештатными сотрудниками, а также не являющимися соискателями (далее Клиентов) Организации.
Цели обработки персональных данных лиц, не являющихся штатными или внештатными сотрудниками Организации:
- создания информационных баз данных Организации;
- предложения продуктов и услуг Организации, и организаций партнеров (контрагентов) Организации, в том числе рекламы;
- заключения и исполнения договоров, где Клиент является стороной либо выгодоприобретателем или поручителем.
В ООО Инвестиционная девелоперская компания «ЭНКО» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных Клиентов:
Фамилия, имя, отчество, серия и номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации и фактического места жительства, сведения о доходах содержащиеся в справке 2-НДФЛ, адрес электронной почты, номер телефона (мобильный, домашний).
3 Принципы обработки персональных данных
3.1 Общие принципы обработки
Обработка персональных осуществляется на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.
Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться
6
только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.
Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.
Правила обработки и защиты персональных данных без использования средств автоматизации установлены в соответствующем внутреннем документе ООО Инвестиционная девелоперская компания «ЭНКО».
Правила обработки персональных данных в информационных системах персональных данных установлены в Инструкции администратора информационной безопасности и в Инструкции пользователя информационной системы персональных данных.
3.2 Порядок сбора и хранения персональных данных
При сборе персональных данных Организация обязана предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
В структурных подразделениях по Организации создаются, обрабатываются и хранятся следующие документы, содержащие персональные данные работников:
а) Карточка ф. Т-2, в которой отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:
общие сведения (ФИО работника, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование, профессия, общий трудовой стаж, состояние в браке, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона);
•
сведения о воинском учете;
•
данные о приеме на работу.
В дальнейшем в карточку ф. Т-2 вносятся:
•
сведения о переводах на другую работу;
•
сведения об аттестации;
•
сведения о повышении квалификации;
•
сведения о профессиональной переподготовке;
•
сведения о наградах (поощрениях), почетных званиях;
•
сведения об отпусках;
•
сведения о социальных льготах и гарантиях.
б) Анкета, которая заполняется работником при приеме на работу (содержатся анкетные и биографические данные работника).
в) Трудовой договор (содержит сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника).
г) Подлинники и копии приказов по личному составу и основания к ним (содержат информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника).
7
е) Копии свидетельств о заключении брака, рождении детей (необходимы работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством).
ж) Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством).
з) Справка о сумме заработной платы, иных выплат и вознаграждений за 2 последние календарные года для начисления пособия по временной нетрудоспособности.
и) Копии документов об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности).
к) При необходимости иные документы (материалы служебных расследований, подлинники и копии отчетных, аналитических и справочных материалов), содержащие персональные данные работников.
Персональные данные соискателей на вакантные должности попадают в Организацию через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Организации. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться в Организации, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности.
Персональные данные Клиентов поступают в Организацию при обращении Клиентов в Организацию и заключении договора, и обрабатываются до достижения цели обработки, указанной в согласии Клиента на обработку персональных данных.
3.3 Передача персональных данных третьим лицам
Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом, не допускается.
Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.
3.4 Трансграничная передача персональных данных
Трансграничная передача персональных данных Организацией не осуществляется.
3.5 Порядок уничтожения и блокирования персональных данных
Организация обязана прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также уведомить о своих действиях субъекта персональных
8
данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных – три рабочих дня.
В целях оперативной организации уничтожения персональных данных на бумажных носителях приказом генерального директора Организации назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.
Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных администратором информационной безопасности Организации по запросу субъекта или при достижении целей обработки персональных данных.
Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.
3.6 Защита персональных данных
При обработке персональных данных Организация принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.
Защита персональных данных при неавтоматизированной их обработке регламентируется внутренним документом «Правила обработки персональных данных без использования средств автоматизации».
Защита персональных данных при их обработке в информационной системе персональных данных (далее - ИСПДН) регламентирована Инструкцией администратора информационной безопасности ИСПДН, Инструкцией пользователя ИСПДН и другими внутренними документами Организации по защите информации.
Приказом генерального директора Организации назначена группа реагирования на инциденты информационной безопасности.
В Организации разработана Модель угроз ИСПДН и Модель нарушителя. Проведена классификация ИСПДН.
В Организации проведена внутренняя оценка эффективности принятых мер по защите персональных данных, подтвердившая соответствие состояние системы защиты персональных данных требованиям к защите персональных данных.
4 ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
4.1 Организация доступа к персональным данным субъектов
Должностные лица Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.
В Организации разработана и утверждена разрешительная система допуска к персональным данным (Политика в области информационной безопасности). Круг лиц, допущенных к обработке персональных данных, определяет руководство Организации на основании данных, представленных руководителями подразделений, в которых ведется обработка персональных данных. Данный Перечень утверждается генеральным директором Организации.
9
Должностные лица Организации допускаются к обработке персональных данных после ознакомления с настоящим Политикам, инструкцией пользователя ИСПДН, а также с иной организационно-распорядительной документацией Организации по защите персональных данных.
Должностные лица Организации перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных.
Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, служб и процессов, допущенных к работе с персональными данными.
В случае обнаружения нарушений правил обработки персональных данных в Организации руководство Организации и/или администратор информационной безопасности и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.
4.2 Организация доступа субъекту персональных данных к его персональным данным
Организация, обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.
Для получения доступа к своим персональным данным субъекту необходимо направить в Организацию запрос, содержащий паспортные данные субъекта персональных данных, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.
Работники Организации должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.
В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.
С целью организации своевременной обработки запросов и обращений субъектов персональных данных в Организации разработан и утвержден документ «Правила рассмотрения запросов субъектов персональных данных или их представителей».
5 Права и обязанности ООО Инвестиционная девелоперская компания «ЭНКО»
Организация имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.
В случае выявления недостоверных персональных данных или неправомерных действий с ними Организации при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Организация обязана устранить допущенные нарушения или, в случае
10
невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.
Должностные лица Организации, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.
В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных Организация обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
Организация обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.
6 ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ ООО Инвестиционная девелоперская компания «ЭНКО»
6.1 Общие положения
Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Организации, которые устанавливают порядок обработки персональных данных в Организации, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.
6.2 Права субъекта персональных данных
В целях защиты персональных данных, хранящихся в Организации, субъект персональных данных имеет право:
–
требовать исключения или исправления неверных, или неполных персональных данных;
–
на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
–
определять своих представителей для защиты своих персональных данных;
–
на сохранение и защиту своей личной и семейной тайны;
–
на обжалование в суде любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.
6.3 Обязанности субъектов персональных данных
- передавать Организации достоверные персональные данные;
- в случае изменений в персональных данных или обнаружения ошибок, или неточностей в них, незамедлительно сообщить об этом в Организацию.
7 Права субъектов персональных данных
7.1 Получение сведений об Организации
Субъект персональных данных имеет право на получение сведений об Организации, о месте ее нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных
11
вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2 Доступ к своим персональным данным
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
–
подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;
–
способы обработки персональных данных, применяемые Организацией;
–
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
–
перечень обрабатываемых персональных данных и источник их получения;
–
сроки обработки персональных данных, в том числе сроки их хранения;
–
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3 Ограничение прав субъектов персональных данных
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1)
обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2)
предоставление персональных данных нарушает конституционные права и свободы других лиц.
8 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Общие положения
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.
12
8.2 Персональная ответственность должностных лиц ООО Инвестиционная девелоперская компания «ЭНКО»
Должностные лица Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.
Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.
Должностные лица Организации, получающие доступ к персональным данным, несут персональную ответственность за обеспечение конфиденциальности, предоставленной им информации. Кроме того, должностные лица Организации, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.