Положение об обработке и защите персональных данных

1. Общие положения

Настоящее Положение регулирует внутреннюю политику АНО «МОХНАТАЯ ЛАПА» в части обработки и защиты персональных данных работников, клиентов и иных лиц. Целью документа является установление правил обработки ПД и мер по обеспечению их безопасности.

Оператор (АНО «МОХНАТАЯ ЛАПА») обеспечивает конфиденциальность и сохранность обрабатываемых ПД в соответствии с ФЗ-152, включая ст. 18.1 (назначение ответственного, локальные акты) и ст. 19 (меры по защите ПД).

2. Основные принципы обработки ПД

При обработке персональных данных АНО «МОХНАТАЯ ЛАПА» руководствуется следующими принципами (в дополнение к перечисленным в ст. 5 ФЗ-152):

• Законность и обоснованность: обработка ПД осуществляется только при наличии согласия субъекта или иного законного основания. Обработка недопустима, если она ставит под угрозу права и свободы человека.
• Прозрачность: субъект информируется об условиях обработки ПД (сбор, используемые технологии, передача третьим лицам и т.д.). Предусмотрены понятные формы согласия и информированного отказа.
• Минимизация и адекватность: обрабатываются только данные, непосредственно необходимые для заявленных целей; избыточные сведения не собираются.
• Точность и актуализация: ПД должны быть точными, достаточными и актуальными; при выявлении неточности они подлежат уточнению или удалению в соответствии со ст. 21 ФЗ-152.
• Ограничение хранения: ПД хранятся в форме, позволяющей идентифицировать субъектов, только до достижения целей обработки; по достижении целей данные уничтожаются или обезличиваются.
• Защита и конфиденциальность: ПД защищаются от неправомерного доступа, уничтожения, изменения и др. с помощью правовых, организационных и технических мер.
• Ответственность: за нарушение настоящего Положения предусмотрена дисциплинарная ответственность, а также меры согласно КоАП РФ и иным нормативам.

3. Категории обрабатываемых данных и субъектов

АНО «МОХНАТАЯ ЛАПА» обрабатывает персональные данные категорий:

• Сотрудников: ФИО, паспортные данные, контактные данные, сведения из трудовых документов, банковские реквизиты, результаты аттестаций и т.д.
• Клиентов, контрагентов, самозанятых: имя, контактные данные, паспортные сведения, данные контрактов, платежные реквизиты, телефон, адрес электронной почты и т.д.
• Посетителей сайта и пользователей услуг: адрес электронной почты, IP-адреса, прочие предоставленные данные.

Субъектом ПД является любое физическое лицо, персональные данные которого обрабатываются АНО «МОХНАТАЯ ЛАПА». Особые (биометрические, медицинские) данные не обрабатываются.

4. Организационные и технические меры защиты ПД

Оператор принимает следующие меры:

Организационные меры:

• Утверждены локальные нормативные акты (Настоящее Положение, Инструкции, Приказы), регламентирующие порядок обработки и защиты ПД.
• Назначен ответственный за ПД и уполномоченные (при необходимости) лица, которым выданы должностные инструкции по ПД.
• Сотрудники, имеющие доступ к ПД, проходят регулярное обучение и инструктажи. Подписываются обязательства о неразглашении ПД.
• Ведётся реестр обработок ПД, который включает перечень целей, категорий данных, сроки и способы обработки. Регулярно проводится анализ обоснованности хранения данных по каждому реестру.
• Разработаны и внедрены процедуры управления доступом: применяются должностные инструкции, режим секретности, правила доступа к помещениям и ИТ-системам. Проводится учёт и мониторинг выдачи пропусков, ключей, электронных карт.

Технические меры:

• Используются сертифицированные средства защиты информации (антивирусы, межсетевые экраны, СУБД с шифрованием и др.) для предотвращения несанкционированного доступа.
• Все устройства (компьютеры, носители, серверы) установлены в защищённые помещения. Серверные размещены в центральном офисе или облачных сервисах с уровнем защиты не ниже 3–4 (согласно Постановлению Правительства № 1119).
• Применяется политика сложных паролей, двухфакторная аутентификация, регулярное изменение паролей и учёт мероприятий доступа к системам.
• Настроены средства шифрования данных: локальное шифрование дисков сотрудников и базы данных клиентов, защищённые каналы связи (VPN, SSL/TLS) при передаче ПД через сети.
• Внедрены системы резервного копирования и восстановления данных. Резервные копии хранятся в зашифрованном виде и в изолированном месте.
• Ведётся журналирование действий с ПД: регистрируются все случаи создания, чтения, изменения и удаления ПД в информационных системах. Регулярно анализируются логи на предмет несанкционированной активности.

Дополнительные меры:

• Проведение регулярных тестов на уязвимости и аудитов безопасности (в том числе внешний аудит). Отслеживание новых угроз и оперативное обновление средств защиты.
• Обеспечение защиты бумажных документов: личные дела и папки с ПД хранятся в запираемых шкафах, при транспортировке защищаются конвертами. Используется шредер для уничтожения документов, содержащих ПД.

5. Внутренний контроль и аудит

АНО «МОХНАТАЯ ЛАПА» осуществляет регулярный внутренний контроль и (или) аудит соответствия обработки ПД требованиям закона, собственной Политике и локальным актам. Проверки проводятся не реже одного раза в год ответственным за ПД или комиссией, включающей представителей юридического, ИТ-отдела и службы безопасности.

По результатам проверок составляются акты, планы корректирующих мероприятий, которые утверждаются руководством. О ходе выполнения планов ответственность отчитывается перед Директором и при необходимости направляется отчёт в Роскомнадзор.

6. Ответственность

За нарушение Положения или допущенные нарушения при обработке ПД несут дисциплинарную, административную и (в случае виновных действий) уголовную ответственность лица в соответствии с законодательством РФ (ФЗ-152, Кодексом РФ об административных правонарушениях и УК РФ).

Положения настоящего документа обрабатывают принципы и меры, предусмотренные ст. 18.1 (назначение ответственных, локальные акты), ст. 19 (меры по защите) ФЗ-152, а также требованиями правительственных постановлений и приказов ФСТЭК/ФСБ.

Утверждено Приказом №3 от «14» августа 2026 г.