Политика обработки данных

Редакция от «01» ноября 2022 г.


ПОЛИТИКА

ООО «ТЕЛЕСИСТЕМС» в области обработки и защиты персональных данных

1. Общие положения
1.1. Настоящий документ определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «ТЕЛЕСИСТЕМС» (далее — Оператор, Общество или ООО «ТЕЛЕСИСТЕМС»). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
1.2 .Политика разработана и применяется в соответствии  с  п.  2 ч. 1 ст.  18.1  Федерального  закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.3. В Политике используются термины и определения в соответствии с их значением, приведенным в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных».
1.4. В Политике используются следующие сокращения:
ПДн – персональные данные;
ИБ – информационная безопасность;
Политика – настоящая Политика ООО «ТЕЛЕСИСТЕМС» в области обработки и защиты персональных данных;
ФИО - Фамилия, имя, отчество;
Федеральный закон «О персональных данных» - Федеральный закон от  27.07.2006 N 152-ФЗ «О персональных данных».
ИСПДн - это информационная система персональных данных.
Файлы cookie - это файлы с небольшим объемом данных, которые могут содержать анонимный уникальный идентификатор. Файлы cookie передаются в веб-браузер с сайта Общества https://oootelesystems.ru/ (далее - сайт Общества, сайт), и сохраняются на устройстве пользователя.

2. Информация об Операторе 
Наименование: Общество с ограниченной ответственностью «ТЕЛЕСИСТЕМС»,
ОГРН 1147847064628 ИНН 7813582460,
Место нахождения: 197110, г. Санкт-Петербург, ул. Красного Курсанта, д. 25, лит. Ж.

3. Цели обработки персональных данных:
Оператор обрабатывает персональные данные исключительно в следующих целях:
3.1. Исполнение требований действующего законодательства;
3.2. Принятие решения о заключении трудовых договоров;
3.3. Ведение кадрового делопроизводства, заключение и выполнение обязательств по трудовым договорам;
3.4. Организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
3.5. в целях заключении договоров с клиентами и контрагентами /потенциальными клиентами и контрагентами Общества и выполнения обязательств по ним, а также при предоставлении потенциальными клиентами и контрагентами своих персональных данных на сайте Общества, расположенном в сети Интернет, для дальнейшего получения информации об услугах, предоставляемых Обществом.
3.6. Заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

4. Правовые основания обработки персональных данных
4.1. Настоящий документ разработан на основании и в соответствии со следующими нормативно правовыми актами:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 07.07.2003 N 126-ФЗ «О связи»;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в РФ»;
- Договоры, заключаемые между оператором и субъектом персональных данных, в том числе трудовые и гражданско-правовые договоры;
- Согласие субъекта персональных данных (в случаях, предусмотренных действующем законодательством, письменное согласие).
- и других нормативных правовых актов, регулирующие отношения в сфере обеспечения безопасности персональных данных.
4.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
4.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookies»).

5. Основные категории субъектов персональных данных
5.1 Оператором осуществляется как автоматизированная, так и неавтоматизированная обработка персональных данных следующих категорий субъектов персональных данных:
5.1.1. соискателей (кандидатов) на вакантные должности в ООО «ТЕЛЕСИСТЕМС»;
5.1.2. работников, заключивших трудовые договоры с ООО «ТЕЛЕСИСТЕМС»;
5.1.3. родственников работников ООО «ТЕЛЕСИСТЕМС»;
5.1.4. уволенных работников;
5.1.5. клиентов/потенциальных клиентов- физических лиц -ООО «ТЕЛЕСИСТЕМС» (пользователи услуг связи, иных услуг, оказываемых ООО «ТЕЛЕСИСТЕМС», покупатели товаров ООО «ТЕЛЕСИСТЕМС»);
5.1.6. контрагентов/потенциальных контрагентов - физических лиц по договорам гражданско-правового характера с ООО «ТЕЛЕСИСТЕМС» за исключением указанных в абзаце 5.1.5. настоящей Политики;
5.1.7. посетителей ООО «ТЕЛЕСИСТЕМС»;
5.1.8.  посетители сайта ООО «ТЕЛЕСИСТЕМС»;
5.1.9.  уполномоченных на основании доверенности представители вышеперечисленных субъектов;
5.1.10. других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в разделе 3 Политики).

6. Содержание и Объем обрабатываемых персональных данных

7. Принципы обработки Оператором персональных данных
7.1. Обработка персональных данных организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
7.2. Оператором с учетом требований действующего законодательства Российской Федерации может осуществляться обработка биометрических персональных данных. Обработка биометрических персональных данных возможна Оператором только на основании согласия субъекта персональных данных в письменной форме.
7.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи может осуществляться Оператором только при условии предварительного согласия субъекта персональных данных и прекращается по его требованию.
7.4. Персональные данные могут быть получены не от субъекта персональных данных (от третьего лица или из другого источника). При этом, до начала обработки персональных данных, субъекту направляется уведомление об обработке его персональных данных за исключением следующих случаев:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
- персональные данные получены Оператором на основании федерального законодательства или в связи с исполнением договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

8. Порядок и условия обработки персональных данных
8.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
8.3. К обработке персональных данных допускаются только те работники ООО «ТЕЛЕСИСТЕМС», в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
8.4. Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы ООО «ТЕЛЕСИСТЕМС»;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой ООО «ТЕЛЕСИСТЕМС» деятельности.
8.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
8.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами ООО «ТЕЛЕСИСТЕМС» обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов ООО «ТЕЛЕСИСТЕМС» в области персональных данных.
8.7. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
8.8. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
8.9. ООО «ТЕЛЕСИСТЕМС» вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению ООО «ТЕЛЕСИСТЕМС», обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
8.10. В случае, когда ООО «ТЕЛЕСИСТЕМС» на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
8.11. Сроки хранения персональных данных в ООО «ТЕЛЕСИСТЕМС» определяются в соответствии с законодательством Российской Федерации и нормативными актами ООО «ТЕЛЕСИСТЕМС» в области документооборота.
8.12. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
8.13 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
8.14. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8.15. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
8.16. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».
8.17. Порядок сбора персональных данных с помощью «cookie:
8.17.1. В зависимости от выполняемых функций и целей мы используем сессионные и постоянные файлы cookie.
При использовании файлов cookie обрабатываются общие привычки пользователей и история использования Сайта, выявляются проблемы и возможные недостатки в работе Сайта, собирается статистика о потоке пользователей на Сайте, количество пользователей, время, проведенное на Сайте и т.д. Файлы cookie также используются для обеспечения полной функциональности Сайта и его удобства для пользователя.

Вышеуказанные файлы cookie не могут быть отключены индивидуально, однако можно изменить настройки веб-браузера, чтобы отказаться от всех файлов cookie, если вы не хотите их принимать.
8.17.2. Как используются файлы cookie
Общество использует файлы cookie для улучшения функциональности Сайта и предоставления пользователю своих продуктов и услуг, а именно:
  • для поддержания безопасности и проверки данных пользователя при навигации со страницы на страницу, что позволяет избежать повторного ввода данных каждый раз при переходе на новую страницу Сайта;
  • для запоминания веб-браузером имени и пароля пользователя, чтобы не нужно было вводить свои данные каждый раз, когда пользователь посещает Сайт;
  • для обеспечения безопасности и удобства процесса покупки товара или услуги на Сайте;
  • для сбора и компиляции анонимной агрегированной информации для статистических и оценочных целей, чтобы помочь нам понять, как пользователи используют Сайт, поскольку это помогает улучшить структуру представления информации на Сайте.
8.17.3. Файлы cookie и аналитика/реклама
Сайт использует аналитические и рекламные файлы cookie.
Аналитические файлы cookie позволяют нам собирать информацию об использовании Сайта, улучшить качество содержания Сайта, определить, что интересует пользователей Сайта, как улучшить функциональность Сайта и как сделать его более удобным. Аналитические файлы cookie анализируют, как пользователь взаимодействует с Сайтом (собранные данные не идентифицируют пользователя лично). Мы используем статистические данные и файлы cookie для их последующей обработки системой аналитики данных Яндекс.Метрика. Анонимные статистические данные могут передаваться подрядчикам, работающим над коммуникационными и другими проектами в соответствии с договорным соглашением. Аналитические файлы cookie не обязательны для отображения содержания Сайта, пользователь может в любое время ограничить или отключить их.
Рекламные файлы cookie используются для настройки рекламы в соответствии с интересами пользователя, а так же для продвижения услуг Общества и третьих лиц. Мы используем рекламные файлы cookie для их последующей обработки рекламными системами, к которым относятся сервисы Яндекс.Директ, и Вконтакте. В таких случаях файлы cookie управляются третьими лицами в соответствии с рекомендациями Общества и исключительно в указанных целях. Подробнее об использовании файлов cookie перечисленными сервисами и возможностях управления вы можете узнать в соответствующих политиках перечисленных сервисов (политики конфиденциальности, файлы cookie, пользовательские соглашения и т.п.). Для размещения рекламных файлов cookie необходимо согласие пользователя, которое пользователь вправе отозвать в любое время.
8.17.4. Управление и отказ
Управление файлами cookie возможно путем изменения пользователем настроек используемого веб-браузера. Пользователь имеет возможность изменить пользовательские настройки, тем самым заблокировав файлы cookie и обеспечив недоступность отдельных компонентов Сайта. Инструкции о том, как это сделать, обычно расположены в разделах браузера "Help", "Tools" или "Edit". На некоторых сторонних сайтах имеется возможность отказаться от использования их файлов cookie напрямую по специальной ссылке.
Использование файлов cookie может быть отключено или ограничено, но без файлов cookie
невозможно будет в полной мере воспользоваться всеми функциями Сайта.

9. Ответы на запросы субъектов на доступ к персональным данным. Актуализация, исправление, удаление и уничтожение персональных данных

9.1. Сведения, указанные в части 7 статьи 14 Федерального закона "О персональных данных", предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
9.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона "О персональных данных" все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.4 Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО «ТЕЛЕСИСТЕМС» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «ТЕЛЕСИСТЕМС», подпись (в том числе электронная) субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.6 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных" в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ООО «ТЕЛЕСИСТЕМС» вносит в них необходимые изменения.
9.8. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «ТЕЛЕСИСТЕМС» уничтожает такие персональные данные.
9.9. ООО «ТЕЛЕСИСТЕМС» уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.10 ООО «ТЕЛЕСИСТЕМС» обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

10. Требования к защите персональных данных, реализуемые ООО «ТЕЛЕСИСТЕМС»
10.1. Обеспечение безопасности персональных данных при их обработке в ООО «ТЕЛЕСИСТЕМС» осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
10.2. ООО «ТЕЛЕСИСТЕМС» предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
10.3. Меры защиты, реализуемые ООО «ТЕЛЕСИСТЕМС» при обработке персональных данных, включают:
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах ООО «ТЕЛЕСИСТЕМС»;
- организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в ООО «ТЕЛЕСИСТЕМС»;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в ООО «ТЕЛЕСИСТЕМС» мер по обеспечению безопасности персональных данных;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- осуществление внутреннего контроля за соблюдением в ООО «ТЕЛЕСИСТЕМС» законодательства Российской Федерации и локальных нормативных актов ООО «ТЕЛЕСИСТЕМС» при обработке персональных данных.
- определение угроз безопасности персональных данных при их обработке.
10.4. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «ТЕЛЕСИСТЕМС» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

11. Организационная структура обеспечения безопасности персональных данных
Организационная структура обеспечения безопасности персональных данных Оператора:
11.1. Генеральный директор ООО «ТЕЛЕСИСТЕМС». Обеспечивает организацию системы безопасности персональных данных Оператора.
11.2. Комиссия по классификации информационных систем персональных данных. Подотчетна Генеральному директору ООО «ТЕЛЕСИСТЕМС». Осуществляет определение типов угроз безопасности персональных данных и уровней защищенности персональных данных при их обработке в информационных системах персональных данных ООО «ТЕЛЕСИСТЕМС»
11.3. Ответственный за обеспечение безопасности персональных данных. Подотчетен Генеральному директору ООО «ТЕЛЕСИСТЕМС». Осуществляет разработку, организацию и проведение мероприятий по обеспечению безопасности персональных данных в ООО «ТЕЛЕСИСТЕМС».
11.4. Администратор информационной безопасности ООО «ТЕЛЕСИСТЕМС». Подотчетен Генеральному директору ООО «ТЕЛЕСИСТЕМС». Осуществляет организацию выполнения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «ТЕЛЕСИСТЕМС».
11.5. Руководители структурных подразделений, осуществляющих обработку персональных данных. Подотчетны Генеральному директору ООО «ТЕЛЕСИСТЕМС» и Ответственному за обеспечение безопасности персональных данных. Отвечают за выполнение установленного в ООО «ТЕЛЕСИСТЕМС» порядка обработки и обеспечения безопасности персональных данных.
11.6. Работники структурных подразделений, осуществляющих обработку персональных данных. Подотчетны Руководителям структурных подразделений. Осуществляют обработку и обеспечение безопасности персональных данных в соответствии с установленным в ООО «ТЕЛЕСИСТЕМС» порядком.
11.7. Разработка и проведение мероприятий по обеспечению безопасности персональных данных в организации также может осуществляться на договорной основе сторонними организациями, имеющими соответствующие лицензии.

12. Мероприятия по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке
Мероприятия по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке включают в себя:
12.1. определение состава информационных систем персональных данных Оператора;
12.2. определение перечня и типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных Оператора;
12.3. определение необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Оператора;
12.4. создание системы защиты персональных данных, включающей организационные и технические меры по обеспечению безопасности персональных данных, среди которых:
- назначение ответственных за организацию обработки персональных данных в Компании;
- назначение ответственных за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Оператора;
- утверждение перечня работников, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных обязанностей;
- периодическое проведение обучения работников по вопросам обработки обеспечения безопасности персональных данных;
- организация режима обеспечения безопасности помещений, в которых размещены технические средства информационных систем персональных данных, препятствующего возможности неконтролируемого проникновения в эти помещения лиц, не имеющих права доступа в эти помещения;
- обеспечение безопасности мест хранения носителей персональных данных и непосредственно сохранности носителей;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в том числе шифровальных (криптографических) средств защиты информации;
- управление доступом к информационным ресурсам информационных систем персональных данных;
- резервирование технических средств, дублирование массивов и носителей персональных данных;
- использование защищенных каналов связи при передаче персональных данных через сети связи общего пользования (Интернет);
- предотвращение внедрения в информационные системы персональных данных вредоносных программ и программных закладок;
- обнаружение вторжений в информационные системы персональных данных, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- анализ защищенности информационных систем персональных данных, предполагающий применение специализированных программных средств;
- использование средств антивирусной защиты;
- и др.
12.5. Определение типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Оператора производится Комиссией по классификации информационных систем персональных данных в соответствии с положениями Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Состав и полномочия Комиссии по классификации информационных систем персональных данных определяется Приказом Генерального директора ООО «ТЕЛЕСИСТЕМС».
12.6. Решение Комиссии об определении типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных ООО «ТЕЛЕСИСТЕМС» оформляется соответствующим актом.
12.7. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится:
- до ввода информационной системы персональных данных в эксплуатацию;
- периодически, при этом периодичность проведения такой оценки устанавливается Компанией (но не реже, чем предусмотрено действующим законодательством Российской Федерации).
12.8. Для проведения оценки эффективности реализованных мер по обеспечению безопасности могут привлекаться на договорной основе сторонние организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.
12.9. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных может проводиться в рамках работ по аттестации информационных систем персональных данных.
12.10. Особенности обеспечения безопасности персональных данных при их обработке без использования средств автоматизации определяются Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и отдельными локальными нормативными актами Оператора, связанными с неавтоматизированной обработкой персональных данных.

13. Хранение персональных данных.
13.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
13.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
13.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
13.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДн.
13.5. Хранение Персональные данные в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

14. Уничтожение персональных данных.
14.1. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
14.2. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
14.3. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
14.4. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
14.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 14.5 Политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
14.7. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения запрещении или об ограничении трансграничной передачи персональных данных, предусмотренного частью 8 или 12 статьи 12 Федерального закона «О персональных данных», оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.