Положение о порядке обработки персональных данных ИП «Арефьев Евгений Александрович» (далее - Положение) определяет цели, условия, порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, которые обрабатывает компании ИП «Арефьев Евгений Александрович» (далее - Компания) с использованием средств автоматизации или без использования таковых.

Приложение разработано с учётом требований Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

1.1. В Положении используются термины и определения, согласно ст.3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ:

1.1.1. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.1.2. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.1.3. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.1.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, блокирование, удаление, уничтожение персональных данных.

1.1.5. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.6. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

1.1.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.1.8. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.1.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.1.10. Автоматическая обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.1.11. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.1. Цели и сфера действия Положения

2.1.1. Положение определяет цели обработки персональных данных, устанавливает общие требования к обеспечению безопасности персональных данных, которые обрабатывает Компания с использованием средств автоматизации или без использования таких средств.

2.1.2. Положение должно быть доведено до каждого работника Компании, осуществляющего обработку персональных данных, под роспись. Личной подписью каждый работник подтверждает, что он проинформирован о факте обработки им персональных данных и категориях обрабатываемых персональных данных, а также ознакомлен с требованиями по обработке и обеспечению безопасности персональных данных, указанных в Положении, и иных внутренних документах, регламентирующих обработку персональных данных, в части, касающейся его должностных обязанностей.

2.2. Принципы обработки персональных данных

2.2.1. Обработка персональных данных должна осуществляться на основании следующих принципов:

● Законность целей и способов обработки персональных данных и добросовестности;

● Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;

● Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

● Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

● Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных. Персональные данные должны храниться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3. Способы обработки персональных данных

2.3.1. Компания может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств. Все меры защиты при обработке персональных данных распространяются на бумажные и электронные носители информации.

2.3.2. Перечень действий с персональными данными, которые могут осуществляться Компания при обработке персональных данных:

● Сбор;

● Запись;

● Систематизация;

● Накопление;

● Хранение;

● Уточнение (обновление, изменение);

● Извлечение;

● Использование;

● Передача (распространение, предоставление, доступ);

● Обезличивание;

● Блокирование;

● Удаление;

● Уничтожение.

2.4. Необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных

2.4.1. Компания обязана уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных, согласно статье 22 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.

3.1. Субъекты персональных данныхКомпания может осуществлять обработку персональных данных следующих категорий субъектов персональных данных:

3.1.1. Работников, состоявших или состоящих в трудовых отношениях с Компанией

3.1.2. Физических лиц, состоявших или состоящих в договорных или иных гражданско-правовых отношениях с Компанией

3.1.3. Посетителей веб сайта sab-space.ru (далее веб-сайт).

Категории персональных данных

3.2. В Компании должна проводиться классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъектов персональных данных. Рекомендуется выделять следующие категории персональных данных:

3.2.1. Персональные данные, отнесённые в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ к специальным категориям персональных данных;

3.2.2. Персональные данные, отнесённые в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ к биометрическим персональным данным;

3.2.3. Персональные данные, отнесённые в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ к общедоступным или обезличениям персональным данным;

3.2.4. Персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным.

3.3. В информационных системах Компании не должна осуществляться обработка персональных данных, относящихся к:

3.3.1. Специальным категориям персональных данных, касающимся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости;

3.3.2. Персональным данным о частной жизни, о членстве субъектов персональных данных в общественных объединениях иди их профсоюзной деятельности.

3.4. Обработка персональных данных, указанных в пункте 3.2.2 Положения может осуществляться только в установленных законодательством случаях.

4.1. В Компании определены следующие цели обработки персональных данных:

4.1.1. Обработка персональных данных работников Компании может осуществляться с целью:

● Организации учета работников;

● Ведения кадрового и бухгалтерского учёта;

● Содействия работникам в трудоустройстве;

● Обучения;

● Продвижения по службе;

● Обеспечения личной безопасности работников;

● Контроля количества и качества выполняемой работы;

● Обеспечения сохранности имущества;

● Открытия личных банковских счетов работников для перечисления заработной платы;

● Страхования по программам добровольного медицинского страхования;

● Перечисления страховых взносов в негосударственные пенсионные фонды;

● Пользования различного рода льготами в соответствии с ТК РФ, НК РФ, иными федеральными законами, а также уставом и нормативными актами компании.

4.1.2. Обработка персональных данных физических лиц, состоявших или состоящих в договорных или иных гражданско-правовых отношениях с Компанией, осуществляется с целью:

● Извлечения прибыли;

● Заключения договоров и исполнения обязательств по заключённым договорам;

● Осуществления видов деятельности, предусмотренных учредительными документами Компании.

4.1.3. Обработка персональных данных пользователей Мобильного приложения осуществляется с целью:

● Регистрации и авторизация пользователей Мобильного приложения;

● Отправки пользователям сообщений информационного характера и сервисных сообщений;

● Информирования пользователей посредством телефонного звонка;

● Оценки и анализа работы Мобильного приложения;

● Усовершенствования работы и функциональных возможностей Мобильного приложения;

● Направления пользователям Мобильного приложения уведомлений о новых продуктах и услугах, специальных предложений и различных событий.

4.1.4. Обработка персональных данных посетителей веб-сайта осуществляется с целью:

● Осуществления связи с посетителями сайта и направление им уведомлений, запросов и информации, относящейся к работе веб-сайта и сервисов;

● Выполнения соглашений с посетителями сайта и обработка их запросов и заявок;

● Периодического предоставления информации об услугах и деятельности Компании;

● Оценки и анализа работы веб-сайта;

● Усовершенствования работы и функциональных возможностей веб-сайта;

● Информирования посетителей веб-сайта посредством телефонного звонка.

5.1. Для целей обработки персональных данных, определённых в разделе 4 Положения, определены следующие объём и содержание персональных данных:

5.1.1. Объем и содержание персональных данных работников Компании:

● Фамилия, имя, отчество;

● Дата рождения;

● Место рождения;

● Пол;

● Гражданство;

● Паспортные данные или данные иного документа удостоверяющего личность (серия, номер, когда и кем выдан);

● Сведения, характеризующие физиологические особенности (изображение лица);

● Адрес местожительства;

● Номер телефона;

● Адрес электронной почты;

● Иная контактная информация;

● Сведения об образовании, квалификации, о наличии специальных знаний и специальной подготовки;

● Сведения о трудовой деятельности, заработной плате и иных доходах и расходах;

● Сведения о воинском учёте;

● Сведения о семейном положении и детях;

● Сведения о страховых полисах обязательного и (или) добровольного медицинского страхования;

● Сведения об идентификационном номере налогоплательщика;

● Трудовой договор, трудовая книжка;

● Копии приказов о приёме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

● Личная карточка по форме Т-2;

● Заявления, объяснительные и служебные записки работка;

● Иная информация, необходимая для достижения вышеуказанных целей и предусмотренная действующим трудовым законодательством.

5.1.2. Объем содержание персональных данных физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с компанией:

● Фамилия, имя, отчество;

● Дата рождения;

● Место рождения;

● Пол;

● Гражданство;

● Паспортные данные или данные иного документа удостоверяющего личность (серия, номер, когда и кем выдан);

● Сведения, характеризующие физиологические особенности (изображение лица);

● Сведения об идентификационном номере налогоплательщика;

● Адрес местожительства;

● Номер телефона;

● Адрес электронной почты;

● Иная контактная информация;

● Иная информация, необходимая для достижения вышеуказанных целей и предусмотренная действующим трудовым законодательством.

5.1.3. Объем и содержание персональных данных пользователей Мобильного приложения

● Фамилия, имя, отчество;

● Номер телефона;

● Адрес электронной почты;

● Обезличенные данные о посетителях, которые обрабатываются с помощью сервисов Яндекс Метрика, Google Analytics.

5.1.4. Объем и содержание персональных данных физических лиц-посетителей веб-сайта:

● Фамилия, имя, отчество;

● Номер телефона;

● Адрес электронной почты;

● Обезличенные данные о посетителях, которые обрабатываются с помощью сервисов Яндекс Метрика, Google Analytics.

6.1. Для целей обработки персональных данных, определённых в разделе 4 Положения, определены следующие сроки обработки персональных данных:

6.1.1. Для персональных данных работников Компании - в течение срока действия трудового договора. Компания обрабатывает персональные данные уволенных работников в течение срока, установленного п.5 ч.3 ст.24 части первой НК РФ, ч.1 ст.29 Федерального закона «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ.

6.1.2. Для персональных данных физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с компанией - в течение срока действия договора, заключённых с ними. Компания может обрабатывать персональные данные клиентов после окончания сроков действия договоров, заключённых с ними, в течение срока установленного п.5 ч.3 ст.24 части первой НК РФ, ч.1 ст.29 Федерального закона «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ.

6.1.3. Для персональных данных пользователей Мобильного приложения - до момента удаления аккаунта в Мобильном приложении.

6.1.4. Для персональных данных посетителей веб-сайта - до момента достижения цели обработки персональных данных.

7.1. Обработка персональных данных, категории субъектов указанных в п.3.1 Положения, может осуществляться только с письменного согласия субъектов персональных данных.

7.2. Для каждой из категорий субъектов персональных данных, определённых в п.3.1 Положения, должна быть разработана и утверждена приказом руководителя компании, форма согласия на обработку персональных данных. Форма согласия должна быть разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.

8.1. Конфиденциальность персональных данных

8.1.1. В соответствии с Указом Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к сведениям конфиденциального характера.

8.2.1. В Компании должен быть документально оформлен и утверждён перечень обрабатываемых персональных данных.

8.3.1. При обработке персональных данных компанией и третьими лицами, получающими доступ к персональным данным, должна быть обеспечена их конфиденциальность, то есть сознаны условия, не допускающие распространение персональных данных без согласия субъекта персональных данных, за исключением следующих случаев:

● В случае обезличивания персональных данных;

● В отношении общедоступных персональных данных.

8.2. Поручение обработки персональных данных третьему лицу

8.2.1. Если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

8.3. Хранение и уничтожение персональных данных

8.3.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели их обработки.

8.3.1. Компания должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством, в следующих случаях в сроки, установленные законодательством:

● По достижении целей обработки или при утрате необходимости в их достижении;

● По требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконного полученными или не являются необходимыми для заявленной цели обработки;

● При отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством;

● При невозможности устранения оператором допущенных нарушений при обработке персональных данных.

8.4. Обработка персональных данных в целях продвижения товаров и услуг

8.4.1. Обработка персональных данных в целях продвижения товаров и услуг на рынке путём осуществления прямых контактов с потенциальными потребителями с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных, разработанного и утверждённого в соответствии с требованиями п.7.2 Положения.

8.5. Трансграничная передача персональных данных

8.5.1. Трансграничная передача персональных данных (передача через государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства) может осуществляться только при наличии письменного согласия субъекта персональных данных, разработанного и утверждённого в соответствии с требованиями п.7.2 Положения.

8.5.2. Трансграничная передача персональных данных может осуществляться без согласия субъекта персональных данных в случаях:

● Исполнения договора, створной которого является субъект персональных данных;

● Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

8.6. Обработка обращений и запросов

8.6.1. В Компании должен быть определён и документально зафиксирован порядок действий в случае запросов уполномоченных органов по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.

9.1. Общие положения

9.1.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Компании.

9.1.2. Для выбора и реализации методов и способов защиты персональных данных может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

9.1.3. В Компании должен быть определен, документально зафиксирован и утверждён список лиц, имеющих доступ которых к персональным данным, обрабатываемых в информационных системах Компании, необходимым для выполнения служебных (трудовых, должностных) обязанностей.

9.1.4. Допускается указание работников в списке на ролевой основе, в соответствии с занимаемой должностью на основании требований:

9.1.4.1. Должны быть выделены и документально определены роли работников.

9.1.4.2. Роли следует персонифицировать с установлением ответственности за их выполнение, ответственность должна быть документально зафиксирована в должностной инструкции.

9.1.4.3. Должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочиями (ролями), позволяющими получить контроль над защищаемым информационным активом Компании.

9.1.4.4. Должны быть документально определены процедуры (которые должны предусматривать документальную фиксацию результатов проводимых проверок) приёма на работу, влияющие на обеспечение информационной безопасности, включающие проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов и проверку в части профессиональных навыков, оценку профессиональной пригодности.

9.1.4.5. Должны быть документально определены процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановые проверки (с документальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах информационной безопасности или подозрений в таком поведении или участии.

9.1.4.6. Все работники Компании должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.

9.1.4.7. При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

9.1.4.8. Обязанность работников по выполнению требований по обеспечению информационной безопасности должны включаться трудовые договоры и (или) должностные инструкции.

9.1.5. Доступ работников Компании к персональным данным и обработка персональных данных работников Компании должны осуществляться только для выполнения их должностных обязанностей.

9.1.6. В Компании должен быть определен и документально зафиксирован порядок доступа работников и иных лиц в помещения, в которых ведётся обработка персональных данных.

9.1.7. Невыполнение работниками Компании требований по обеспечению информационной безопасности должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

9.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке

9.2.1. Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационных системах информационные технологии.

9.2.2. Все информационные системы персональных данных Компании подлежат обязательному определению типов угроз информационных систем персональных данных.

9.2.3. Определение типов угроз информационных систем персональных данных должна осуществляться компанией в соответствии с:

9.2.3.1. Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждённых Постановлением Правительства РФ от 01.11.2012 № 1119.

9.2.3.2. Результаты определения типов угроз информационных систем персональных данных должны быть оформлены соответствующий Актом.

9.2.3.3. При отнесении автоматизированных систем (АБС) к информационным системам персональных данных используется следующий подход: АБС целью создания и использования которых, в том числе, является обработка персональных данных, должны быть включены в список информационных систем, в которых обрабатываются персональные данные.

9.2.3.4. Для каждой информационной системы персональных данных должны быть определены цели обработки персональных данных, объём и содержание обрабатываемых персональных данных, перечень действий с персональными данными и способы их обработки.

9.2.3.5. Роли следует персонифицировать с установлением ответственности за их выполнение, ответственность должна быть документально зафиксирована в должностной инструкции.

9.2.3.6. Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки.

9.2.3.7. При взаимодействии с внешними организациями и клиентами требования по обеспечению информационной безопасности должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

9.2.4. Для персональных данных, обрабатываемых в информационных системах Компании, должны быть установлены и документально определены уровни защищенности персональных данных.

9.3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации

9.3.1. При обработке в компании персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации, в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённым Постановлением Правительства РФ от 15.09.2008 №687.

9.3.2. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, что бы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальные носители) и установить перечень лиц, осуществляемых обработку персональных данных либо имеющих доступ к ним.

9.3.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

9.3.4. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающиеся несанкционированный доступ к ним.

9.3.5. Допускается хранение материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающиеся несанкционированный доступ к ним.

9.3.6. Работники Компании, осуществляющие обработку персональных данных без использования автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и Правилах осуществления такой обработки.

9.3.7. Приказом руководителя компании утверждается перечень мест хранения персональных данных, обрабатываемых без использования средств автоматизации.

9.3.8. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

9.3.8.1. Типовая форма должна содержать:

● Сведения о цели обработки персональных данных;

● Наименование и адрес Компании;

● Фамилию, имя, отчество и адрес субъекта персональных данных;

● Перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

● Общее описание используемых Компанией способов обработки персональных данных.

9.3.8.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своём согласии на обработку его персональных данных.

9.3.9. Материальные носители персональных данных, по достижении целей обработки содержащихся на них персональных данных, подлежат уничтожению, если иное не предусмотрено законодательством (полное физическое и не восстановимое уничтожение персональных данных, содержащихся на таких носителях). В Компании должен быть определен и документально зафиксирован порядок уничтожения материальных носителей персональных данных.

9.4. Мероприятия по обеспечению безопасности персональных данных при хранении носителей персональных данных

9.4.1. В компании должен быть определен и документально зафиксирован порядок учета и хранения материальных носителей персональных данных устанавливающий:

● Места хранения носителей персональных данных;

● Требования по обеспечению безопасности персональных данных при хранении из носителей;

● Ответственных за реализацию требований по обеспечению безопасности персональных данных;

● Порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении носителей персональных данных.

10.1 Лицом, осуществляющим функции по организации защиты персональных данных в Компании является лицо, ответственное за обработку персональных данных.

10.2. Лицо, ответственное за обработку персональных данных назначается приказом руководителя Компании.

10.3. Лицо, ответственное за обработку персональных данных назначается приказом руководителя Компании.

10.4. В своей деятельности лицо, ответственное за обработку персональных данных, руководствуются законодательными и нормативно-правовыми актами РФ в области защиты персональных данных, Положением и иными нормативными актами Компании.

10.5. Права, обязанности и ответственность лица, ответственного за обработку персональных данных определяются должностной инструкцией.

За выполнением требований Положения осуществляется контроль.

Перечень мероприятий по контролю, его периодичность, определяется Планом проведения контроля (как внутреннего контроля, так и контроля с привлечением внешних независимых проверяющих организаций) обеспечения безопасности персональных данных.

Контроль заключается в проверке выполняемых требований нормативных документов по защите информации, в также в оценке обоснованности и эффективности принятых мер.

По результатам контроля составляется заключение.

Мероприятия по контролю могут осуществляться на договорной основе сторонами организациями.

Лица, виновные в нарушении требований Положения, несут гражданскую, административную, дисциплинарную, уголовную и иную предусмотренную законодательством ответственность.