Политика в отношении обработки персональных данных пользователей бизнес-приложений

ВНИМАТЕЛЬНО ОЗНАКОМЬТЕСЬ С НАСТОЯЩЕЙ ПОЛИТИКОЙ. ПОЛИТИКА СОДЕРЖИТ ОБЩУЮ ИНФОРМАЦИЮ О ТОМ, КАК ВАШИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ ПРИ ПОМОЩИ БИЗНЕС-ПРИЛОЖЕНИЙ HAMILTON APPS.

ВЫ ЯВЛЯЕТЕСЬ ПОЛЬЗОВАТЕЛЕМ БИЗНЕС-ПРИЛОЖЕНИЙ. ЕСЛИ ВЫ НЕ СОГЛАСНЫ С УСЛОВИЯМИ НАСТОЯЩЕЙ ПОЛИТИКИ, НЕ ИСПОЛЬЗУЙТЕ БИЗНЕС-ПРИЛОЖЕНИЯ.

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных пользователей бизнес-приложений принята Обществом с ограниченной ответственностью «Хамилтон Аппс» в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных». Назначение Политики состоит в определении основных условий обработки и защиты персональных данных с использованием бизнес-приложений, а также доведения их до сведения всех субъектов персональных данных.

1.2. В настоящей Политике в отношении обработки персональных данных используются указанные ниже термины (с большой или маленькой буквы):


«Актуализация» – действия по уточнению, обновлению и изменению персональных данных, направленные на обеспечение актуальности персональных данных по отношению к целям их обработки.

«Бизнес-приложения» – решения для организации, осуществления и упорядочивания бизнес-процессов предприятия, используемые для обработки персональных данных пользователей бизнес-приложений, а именно:

- Бизнес-приложение «Хамилтон Командировки и электронный счет агентства» – облачное приложение для оптимизации корпоративного Travel-менеджмента, позволяющее создавать заявки на командировку, осуществлять выбор опций по поездке и утверждать их в интуитивно-понятном интерфейсе;

- Бизнес-приложение «Хамилтон Авансовые отчеты» – облачное приложение для эффективного управления авансовыми отчетами, позволяющее создавать авансовые отчеты, утверждать и подписывать их электронными подписями;

- Бизнес-приложение «Хамилтон Запросы на отсутствие»– облачное приложение для оптимизации процессов согласования отпусков, дистанционной работы и иных случаев отсутствия работников в офисе.

«Блокирование» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

«Данные» – персональные данные Пользователей, обрабатываемые с использованием бизнес-приложений.

«Закон» – Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» в действующей редакции.

«Клиенты» – юридические лица, которым Компания оказывает облачные услуги (SaaS) посредством бизнес-приложений.

«Компания» – Общество с ограниченной ответственностью «Хамилтон Аппс», юридическое лицо по законодательству Российской Федерации, ОГРН 1077746338450, ИНН 7702633335, являющееся владельцем бизнес-приложений.

«Конфиденциальность Данных» – обязательное для выполнения лицом, получившим доступ к Данным, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

«Обработка» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

«Оператор» – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

«DPO» – работник Компании, назначенный Ответственным за организацию обработки персональных данных в Компании.

«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

«Политика» – настоящая Политика в отношении обработки персональных данных.

«Пользователи» – физические лица, являющиеся работниками у клиентов Компании и использующие бизнес-приложения. К числу Пользователей также относятся лица, сопровождающие их в поездках («пассажиры»).

«Предоставление» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

«Роскомнадзор» – уполномоченный орган по защите прав субъектов персональных данных.

«Сбор» – целенаправленный процесс получения персональных данных от субъекта персональных данных.

«Субъект персональных данных» – физическое лицо, к которому относятся персональные данные.

«Трансграничная передача» – передача персональных данных на территорию иностранного государства иностранному оператору.

«Уничтожение» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.

«Хранение» – процесс, предполагающий нахождение персональных данных в систематизированном виде в распоряжении Компании.

1.3. Политика Компании в отношении обработки Данных в бизнес-приложениях состоит в том, что Данные должны обрабатываться только в случаях и в порядке, установленных применимым законодательством. При этом соблюдение и защита прав и законных интересов субъектов персональных данных является главным приоритетом для Компании. Данные обрабатываются исключительно на законной и справедливой основе.

1.4. Настоящая Политика не применяется к случаям обработки персональных данных без использования бизнес-приложений.

1.5. Компания обрабатывает Данные посредством бизнес-приложений на правах лица, осуществляющего обработку персональных данных по поручению оператора в соответствии с ч.3 ст.6 Закона. Компания предоставляет бизнес-приложения в качестве облачных услуг (SaaS) своим клиентам. Клиенты выступают операторами Данных, давшими поручения на их обработку Компании.

1.6. Бизнес-приложения могут содержать ссылки на веб-ресурсы, принадлежащие Компании, другим компаниям Hamilton Apps или иным лицам. Действие настоящей Политики на указанные веб-ресурсы не распространяется. Пользователям, переходящим по ссылкам на сторонние веб-ресурсы, рекомендуется ознакомиться с политиками в отношении обработки персональных данных, размещенными на них.

1.7. Пользователь обладает следующими основными правами субъекта персональных данных:

- право на получение информации, касающейся обработки Данных;
- право требовать уточнения Данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- право на обжалование действий (бездействия) Компании в органах власти, в том числе в судебном порядке;
- право на защиту прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке либо согласно иной процедуре, предусмотренной применимым законодательством;
-иными правами, установленными применимым законодательством.

1.8. Пользователь обязан обеспечить актуальность и достоверность своих Данных.

1.9. Компания вправе обрабатывать Данные только в случаях, для достижения целей и с соблюдением иных условий, установленных Законом.

1.10. На Компанию возложены следующие основные обязанности:

- при сборе Данных Компания обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона;
- Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами;
- Компания обязана опубликовать в бизнес-приложениях настоящую Политику, сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу посредством пользовательского интерфейса бизнес-приложений;
- Компания при обработке Данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;
- Компания обязана отвечать на обращения субъектов персональных данных и запросы Роскомнадзора и предоставлять им информацию, касающуюся обработки Данных, в установленном Законом порядке;
- Компания обязана устранять нарушения законодательства, допущенные при обработке Данных, уточнять, блокировать и уничтожать Данные;
- Компания обязана до начала обработки персональных данных уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных за исключением случаев, установленных законом;
- Компания обязана назначить DPO;
- Компания несет иные предусмотренные законодательством обязанности в связи с обработкой Данных.

2. Цели обработки Данных

2.1. Обработка Данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка Данных, несовместимая с целями сбора персональных данных.

2.2. Компания обрабатывает Данные с использованием бизнес-приложений для достижения следующей цели: обеспечение соблюдения законов и иных нормативных правовых актов (в части технического обеспечения кадрового и бухгалтерского учета).

3. Правовые основания обработки Данных

3.1. Компания заключает с каждым клиентом договор на поручение обработки Данных, содержащий обязательные условия, предусмотренные законодательством РФ.

3.2. Клиенты обязаны получить у Пользователей согласия на обработку их Данных, включая поручение обработки этих Данных Компании (ч.4 ст.6 Закона).

4. Объем и категории обрабатываемых Данных, категории субъектов Данных

4.1. Содержание и объем обрабатываемых Данных должны соответствовать заявленным целям обработки. Обрабатываемые Данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. В бизнес-приложениях не обрабатываются специальные категории персональных данных (например, сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья), а также биометрические персональные данные.

4.3. В таблице ниже приведены сведения об основных категориях Данных применительно к каждому бизнес-приложению:

Наименование бизнес-приложения Категории обрабатываемых персональных данных
Бизнес-приложение «Хамилтон Командировки и электронный счет агентства» Персональные данные пользователя бизнес-приложения:
- данные аутентификации;
- тип запроса;
- фамилия, имя, отчество сотрудника;
- фамилия, имя, отчество заявителя;
- категория сотрудника;
- компания-плательщик;
- электронная почта;
- дата рождения;
- место рождения;
- код сотрудника;
- отдел;
- кост центр код;
- уровень сотрудника;
- данные заграничного паспорта;
- пол;
- местонахождение;
- номер телефона;
- должность;
- данные корпоративной банковской карты;
- линейный менеджер;
- гражданство;
- данные документа, удостоверяющего личность;
- бонусная карта;
- ID сотрудника;
- владение языком;
- государственный номер автомобиля;
- бизнес-цель и подцель запроса;
- клиент;
- проект;
- ответственный;
- одобряющий;
- бренд;
- сервисный заказ;
- ВБС элемент;
- коммерческая линия;
- внутренний код/EV;
- причина изменения/отмены командировки;
- информация о поездке;
- сведения о транспорте;
- сведения о гостинице;
- сведения о такси (трансфере);
- сведения об аренде машины;
- сведения о визе;
- сведения о расходах;
- аванс;
- суточные.
Персональные данные пассажиров:
- фамилия, имя, отчество;
- подтверждающие документы.
Бизнес приложение «Хамилтон Авансовые отчеты» Персональные данные пользователя бизнес-приложения:
- данные аутентификации;
- фамилия, имя, отчество сотрудника;
- фамилия, имя, отчество заявителя;
- фамилия, имя, отчество ассистента;
- номер авансового отчета;
- тип авансового отчета;
- компания-плательщик;
- код сотрудника;
- местонахождение;
- линейный менеджер;
- электронная почта;
- отдел;
- номер телефона;
- гражданство;
- должность;
- кост центр код;
- бизнес-цель и подцель запроса;
- клиент;
- проект;
- ответственный;
- одобряющий;
- бренд;
- сервисный заказ;
- ВБС элемент;
- коммерческая линия;
- внутренний код/EV;
- номер корпоративной карты;
- информация о банковской выписке;
- подтверждающие документы;
- сведения о расходах;
- аванс;
- суточные;
- информация о поездке;
- данные электронной подписи.
Бизнес-приложение «Хамилтон Запросы на отсутствие» Персональные данные пользователя бизнес-приложения:
- данные аутентификации;
- фамилия, имя, отчество заявителя;
- фамилия, имя, отчество сотрудника;
- код сотрудника;
- отдел;
- должность;
- электронная почта;
- линейный менеджер;
- тип отсутствия;
- даты отсутствия;
- квота;
- информация об обучении;
- остаток дней отсутствия;
- подтверждающие документы;

4.4. Доступ Пользователя к бизнес-приложениям, а также объем обрабатываемых Данных в каждом случае зависят от содержания услуг, которые клиент (работодатель Пользователя) заказал у Компании. Пользователю следует обратиться к своему работодателю для получения исчерпывающей информации о том, какие конкретно принадлежащие Пользователю категории Данных (из списка выше) обрабатываются в бизнес-приложениях.

5. Порядок и условия обработки Данных

5.1. Клиенты используют бизнес-приложения для решения рабочих задач согласно назначению бизнес-приложений, включая обработку Данных.

5.2. Пользователи могут обладать правами доступа к бизнес-приложениям в объеме, определяемом клиентами (их работодателями). Пользователи могут самостоятельно загружать в бизнес-приложения, изменять, актуализировать и удалять Данные. Конкретный объем действий с Данными, доступный для Пользователя, определяется клиентом (его работодателем).

5.3. Пользователи не вправе загружать в бизнес-приложения неактуальные, неполные или недостоверные Данные.

5.4. Компания обрабатывает Данные с использованием средств автоматизации и без использования средств автоматизации. Компания может совершать следующие действия (операции) и/или совокупность действий (операций) с Данными строго в рамках обеспечения технического функционирования бизнес-приложений:

- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- извлечение;
- передача (предоставление, доступ);
- блокирование;
- удаление; и
- уничтожение.

5.5. Компания по своей инициативе не осуществляет доступ к Данным и не выполняет никакие из указанных выше действий. Эти действия могут совершаться только при обеспечении технической реализации команд, вводимых Пользователями посредством пользовательского интерфейса бизнес-приложений, а также при техническом обеспечении штатного функционирования бизнес-приложений согласно документации к ним, согласованной с каждым клиентом.

5.6. В ряде случаев клиент может извлечь Данные из бизнес-приложений и осуществлять их дальнейшую обработку. Компания не участвует в такой обработке Данных, происходящей за рамками бизнес-приложений.

5.7. В случаях, когда Пользователь предоставляет Данные с использованием веб-форм, Компания всегда исходит из следующего:

- Пользователь следовал инструкциям по заполнению веб-формы, в том числе вносил сведения в специально предназначенные для них разделы;
- Пользователь является дееспособным и совершеннолетним;
- Пользователь сообщил достоверные и актуальные Данные.

5.8. Данные Пользователей обрабатываются до того, что наступит раньше: достижения цели их обработки; либо прекращения договора с соответствующим клиентом (по любому основанию); либо до отзыва Пользователем согласия на обработку его персональных данных, если отсутствуют иные установленные законом основания для продолжения обработки. При решении вопроса о достижении цели обработки, а также при установлении факта отзыва согласия Компания всегда руководствуется указаниями соответствующего клиента и действует, исходя из этих указаний. После наступления любого из указанных выше обстоятельств обработка Данных прекращается.

5.9. Компания не осуществляет трансграничную передачу Данных, обрабатываемых в бизнес-приложениях.

5.10. Компания признает Данные строго конфиденциальной информацией. Компания не раскрывает третьим лицам и не распространяет Данные без согласия соответствующего субъекта персональных данных, если иное не предусмотрено федеральным законом. Компания передает Данные или предоставляет доступ к ним органам дознания и следствия, судам, правоохранительным, надзорным органам и иным уполномоченным органам власти и должностным лицам при наличии оснований, предусмотренных применимым законодательством. Компания может передавать персональные данные лицам, обрабатывающим персональные данные на основании поручения в соответствии с ч.3 ст.6 Закона.

5.11. Сведения о реализуемых требованиях к защите Данных приведены в Приложении №1 к Политике.

5.12. Компания принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных. Обеспечение безопасности Данных достигается, в частности:

- определением угроз безопасности Данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей Данных;
- обнаружением фактов несанкционированного доступа к Данным и принятием мер;
- восстановлением Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности Данных и уровня защищенности информационных систем персональных данных.

5.13. Хранение Данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки Данных. Хранение Данных осуществляется на территории России.

5.14. Компания уделяет должное внимание вопросам работы с персональными данными в своей повседневной деятельности и их защите. Компания обеспечивает условия хранения Данных, исключающие неправомерный или случайный доступ к ним, путем реализации мероприятий физической защиты Данных, а также проведения соответствующих организационных мероприятий. Компания допускает к работе с персональными данными только работников с соответствующими должностными обязанностями при условии надлежащего оформления прав доступа и проведения с ними инструктажа.

6. Актуализация, исправление, удаление и уничтожение Данных, ответы на запросы субъектов персональных данных на доступ к Данным

6.1. В случае подтверждения факта неточности Данных или неправомерности их обработки Данные подлежат их актуализации Компанией, а обработка должна быть прекращена, соответственно.

6.2. При наступлении обстоятельств, указанных в п.5.8 Политики, Компания производит уничтожение Данных в установленные Законом сроки, либо осуществляет выгрузку (извлечение) баз Данных из бизнес-приложений и их передачу соответствующему клиенту. Порядок действий Компании определяется договором с каждым клиентом.

6.3. Компания обязана сообщить субъекту персональных данных или его представителю информацию об осуществляемой обработке Данных такого субъекта по запросу последнего.

7. Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным

7.1. Пользователи, являясь субъектами персональных данных, имеют право на получение информации, касающейся обработки их Данных, в том числе содержащей:

- подтверждение факта обработки Данных в Компании;
- правовые основания и цели обработки Данных;
- применяемые в Компании способы обработки Данных;
- наименование и место нахождения Компании, сведения о лицах, которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Компанией или на основании федерального закона;
- обрабатываемые Данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки Данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
- информацию об осуществленной или предполагаемой трансграничной передаче Данных;
- наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку Данных по поручению;
- иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

Для получения этой информации Пользователи вправе обратиться к их работодателю (клиенту – оператору Данных) или к Компании по контактным данным, указанным в п.7.13 ниже.

7.2. Указанные выше сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться Данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Данных.

7.3. Указанные в настоящем разделе сведения сообщаются субъекту персональных данных или его представителю, а также им предоставляется возможность ознакомления с соответствующими Данными при обращении либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Компанией, либо сведения, иным образом подтверждающие факт обработки персональных данных в Компании, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.4. Если указанные в настоящем разделе сведения, а также обрабатываемые Данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения указанных сведений и ознакомления с такими Данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.5. Субъект персональных данных вправе обратиться повторно в Компанию или направить повторный запрос в целях получения указанных выше сведений, а также в целях ознакомления с обрабатываемыми Данными до истечения срока, указанного в предыдущем пункте, в случае, если такие сведения и (или) обрабатываемые Данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

7.6. Компания вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего установленным законом условиям. Такой отказ должен быть мотивированным.

7.7. Право субъекта персональных данных на доступ к его Данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его Данным нарушает права и законные интересы третьих лиц.

7.8. Компания сообщает в Роскомнадзор по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

7.9. Все поступающие обращения и запросы регистрируются как входящая корреспонденция, а также учитываются в соответствующих реестрах Компании.

7.10. Обращения и запросы рассматриваются DPO. При возникновении вопросов или необходимости уточнения содержания запроса DPO связывается с лицом, направившем запрос / обращение по имеющемся в нем контактным данным.

7.11. Ответ на запрос / обращение оформляется в той же форме, в которой соответствующий запрос / обращение был получен (например, по электронной почте или в письменной форме), если иное прямо не установлено законодательством Российской Федерации или иная просьба не содержится в запросе / обращении.

7.12. Ответ на обращение субъекта персональных данных может быть подписан DPO или Генеральным директором Компании. Ответ на запрос Роскомнадзора подписывается Генеральным директором Компании или лицом, действующим по его поручению на основании доверенности, выданной от имени Компании.

7.13. Компания стремится обеспечить максимально оперативное и эффективное взаимодействие с субъектами персональных данных с целью недопущения нарушения их прав и законных интересов. Запрос / обращение следует направлять по следующему адресу:

ООО «Хамилтон Аппс»

Почтовый адрес: Россия, 105082, г. Москва, Переведеновский переулок, д.17, к.1

Электронная почта: hamiltonapps@vipservice.ru

Телефон: +7 (495) 150-38-15

Рабочее время: с понедельника по пятницу с 9.00 до 18.00, кроме государственных праздников в России.

Обращения принимаются в свободной форме, кроме случаев, когда форма и/или содержание обращения определены применимым законодательством или настоящей Политикой.

Приложение. Сведения о реализуемых требованиях к защите персональных данных

Компания постоянно совершенствует систему защиты персональных данных и предпринимает все необходимые для этого организационные, правовые и технические меры, а также учитывает существующие международные стандарты.

По мере необходимости и исходя из уровня защищенности Данных, выбранного для бизнес-приложений, Компания реализует следующие требования к защите персональных данных или обеспечивает их реализацию привлекаемыми для обработки данных лицами:

- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем Компании документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;
- обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) Компании или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника Компании по доступу к персональным данным, содержащимся в информационной системе.