Фабрика Profil Doors
г. Москва, пр. Маршала Жукова д. 49
г. Москва, пр. Маршала Жукова д. 49
Приложение к приказу № б/н от «02» апреля 2025 г.
ПОЛИТИКА
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения1.1. Политика об обработке и защите персональных данных (далее - Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО "ПРОФИЛЬ ДОРС ДИЗАЙН" (далее - Предприятие).
1.2. Основные понятия, используемые в Политике:
1.2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.2.2. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
1.2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение, предоставление (передачу), доступ, обезличивание, блокирование, удаление, уничтожение.
1.2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.2.6. Предоставление (передача) персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.2.10. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не предоставлять третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных. Оператор персональных данных вправе:
- обрабатывать персональные данные в заявленных целях и в соответствии с действующим законодательством;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
1.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
2. Порядок и принципы обработки персональных данных
2.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными.
2.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Федеральным законом 06.04.2011 № 63-ФЗ «Об электронной подписи» и другими нормативными актами РФ.
2.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
2.5. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.6. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.
2.7. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена регистрационными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных являются:
- совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных: Конституция РФ; Трудовой кодекс РФ, Налоговый Кодекс РФ, Гражданский Кодекс РФ, Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральный закон от 28.03.1998 № 53-ФЗ "О воинской обязанности и военной службе", Положение о воинском учете, утв. постановлением Правительства РФ от 27.11.2006
№ 719, Инструкция об организации работы по обеспечению функционирования системы воинского учета, утв. приказом Министра обороны РФ от 22.11.2021 № 700, Методические рекомендации, утв. Генеральным штабом Вооруженных Сил РФ 11.07.2017, иные правовые акты РФ, правовые акты субъектов РФ на территории деятельности Оператора и принятые на их основе нормативные правовые и локальные акты, регулирующие отношения, связанные с деятельностью Оператора в сфере обработки персональных данных;
- регистрационные документы Оператора;
- договоры, заключаемые между Оператором и субъектом персональных данных;
- договоры поручения на обработку персональных данных;
- согласие на обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных", при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.3. К категориям субъектов персональных данных относятся:
- Работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей (соискатели);
- Родственники и/или члены семей работников Оператора;
- Клиенты и контрагенты Оператора (юридические лица, физические лица и индивидуальные предприниматели, посетители Интернет-ресурсов Оператора);
- Представители/работники клиентов и контрагентов Оператора;
- Потенциальные потребители товаров и услуг Оператора (представители юридических лиц, индивидуальные предприниматели и/или их представители, физические лица и/или их представители).
5. Условия и порядок обработки персональных данных
работников Оператора, бывших работников, кандидатов на замещение вакантных должностей (соискателей)
5.1. К целям обработки персональных данных работников Оператора, бывших работников, кандидатов на замещение вакантных должностей относятся:
- ведение кадрового и бухгалтерского учета;
- обеспечение соблюдения трудового законодательства РФ;
- обеспечение соблюдения налогового законодательства РФ;
- обеспечение соблюдения пенсионного законодательства РФ;
- подготовка, заключение и исполнение гражданско-правового договора;
- продвижение товаров, работ, услуг на рынке
5.2. Состав обрабатываемых в целях, указанных в пункте 5.1 настоящей Политики, персональные данные работников Оператора, бывших работников, кандидатов на замещение вакантных должностей включает:
• Первичные учетные данные (в соответствии с унифицированной формой личной карточки работника (утверждена Постановлением Госкомстата России от 05.01.2004 №1);
• Финансовое состояние
- сведения, содержащиеся в справках о доходах, расчетных листах и обязательствах имущественного характера;
• Сведения об организации рабочих процессов
- номер служебного телефона;
- служебный е-mail;
- внутренний идентификатор;
• Кадровая документация
- сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
- данные трудовой книжки, вкладыша в трудовую книжку или ее электронные реквизиты;
- сведения о прохождении государственной (муниципальной) гражданской службы (должность, дата увольнения);
- информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
- иные персональные данные, связанные с характером выполняемых работ.
5.3. Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, трудовым договором, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.
5.4. Получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
5.4.1. Обработка специальных категорий персональных данных работников, граждан, претендующих на замещение вакантных должностей, в том числе сведений о состоянии здоровья (с учетом требований Закона об иммунопрофилактике инфекционных заболеваний и ст.76 ТК РФ), относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п.2.3 ч.2 ст.10 Федерального закона "О персональных данных" в рамках трудового законодательства, пенсионным законодательством Российской Федерации и принятыми в соответствии с ними нормативными актами.
Получения специальных категорий персональных данных работников или граждан, претендующих на замещение вакантных должностей, у третьей стороны в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требует получение письменного согласия.
5.4.2. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
5.4.3. При получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой
информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
5.4.4. При передаче персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст.41 Трудового кодекса РФ) или трудовом договоре.
5.4.5. При передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации и нормативными правовыми актами в сфере транспортной безопасности);
5.4.6. При передаче его персональных данных организациям, оказывающих услуги в сфере связи (в соответствии с Федеральным законом от 7 июля 2003 г. N 126-ФЗ "О связи" и принятыми в соответствии с ним нормативными правовыми актами).
5.4.7. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно, если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст.372 Трудового кодекса РФ.
5.5. Сбор видео и аудио информации, полученной на территории служебных зданий и помещений работодателя, осуществляется без идентификации субъектов персональных данных и обязательным использованием текстовой и графической информации для обозначения мест сбора данных. Обработка собранных данных осуществляется только в целях обеспечения безопасности, сохранности имущества и мониторинга трудовой дисциплины и качества клиентского сервиса. Обработка видео и аудио информации с использованием автоматизированных средств запрещена.
5.6. При привлечении сторонних организаций или индивидуальных предпринимателей (самозанятых граждан) для ведения кадрового и бухгалтерского учета или оказания иных услуг работодатель обязан соблюдать требования, установленные ч.3 ст.6 Федерального закона "О персональных данных", в том числе, получить согласие работников на передачу их персональных данных.
Содержание согласия работника должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора, согласия на обработку персональных данных или иного документа и отвечать требованиям, предъявляемым к содержанию согласия, согласно Федерального закона "О персональных данных".
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
5.7. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ не требует получения от субъекта согласия на обработку его персональных данных, если:
- от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор;
- при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц;
- при направлении своих персональных данных соискателем по собственной инициативе на электронный или почтовый адрес Оператора или при личном посещении Оператора.
Во всех остальных случаях обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ требует получения от субъекта согласия на обработку его персональных данных
5.8. В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной Оператором, то данная типовая форма анкеты должна соответствовать требованиям п.7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где
согласие на обработку персональных данных подтверждается соискателем путем проставлением отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
5.9. В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
5.10. Обработка персональных данных работников, граждан, претендующих на замещение вакантных должностей осуществляется при условии получения согласия указанных лиц в следующих случаях:
5.10.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим трудовым законодательством Российской Федерации;
5.10.2. При трансграничной передаче персональных данных
5.10.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
5.11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, граждан, претендующих на замещение должностей осуществляется путем:
- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение (специалисту) работодателя);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в информационные системы работодателя, используемые кадровым подразделением (специалистом) работодателя.
5.12. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников или граждан, претендующих на замещение должностей, а также их представителей на основании нотариальной доверенности.
5.13. В случае возникновения необходимости получения персональных данных работников/соискателей у третьей стороны, следует известить об этом работника/соискателя заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
Согласие работника/соискателя на получения персональных данных работников/соискателей у третьей стороны не требуется, если получение их персональных данных производится из открытых источников или государственных информационных систем.
5.14. Запрещается получать, обрабатывать и приобщать к личному делу работников персональные данные, не соответствующим целям обработки, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.15. При сборе персональных данных сотрудник кадрового подразделения (специалист) работодателя, осуществляющий сбор (получение) персональных данных непосредственно от работников, граждан, претендующих на замещение должностей обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
5.16. Передача (распространение, предоставление) и использование персональных данных работников, граждан, претендующих на замещение должностей осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
6. Условия обработки персональных данных лиц, состоящих в родстве (свойстве) с работниками
6.1. Обработка персональных данных близких родственников работника, полученных от самого работника, в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат и т.д.) не требует получения согласия близких родственников работника на обработку персональных данных.
В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
6.2. В случае достижения цели обработки персональных данных работодатель обязан прекратить такую обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено действующим законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между работодателем и работником.
7. Условия обработки персональных данных субъектов в связи с осуществлением хозяйственной деятельности
7.1. Обработка персональных данных в рамках осуществления хозяйственной деятельности осуществляется:
- при исполнении обязательств согласно заключенным договорам в соответствии с Гражданским кодексом РФ;
- при обращении субъектов персональных данных;
- при обращении уполномоченных государственных органов.
7.2. Субъектами персональных данных при исполнении обязательств согласно заключенным договорам в соответствии с Гражданским кодексом РФ являются:
- Клиенты и контрагенты Оператора (юридические лица, физические лица и индивидуальные предприниматели, посетители Интернет-ресурсов Оператора);
- Представители/работники клиентов и контрагентов Оператора;
- Потенциальные потребители товаров и услуг Оператора (представители юридических лиц, индивидуальные предприниматели и/или их представители, физические лица и/или их представители).
7.3. К целям обработки персональных данных в рамках осуществления хозяйственной деятельности Оператора относятся:
- ведение бухгалтерского учета;
- обеспечение соблюдения налогового законодательства РФ;
- подготовка, заключение и исполнение гражданско-правового договора;
- продвижении товаров и услуг, предоставляемые Оператором в рамках осуществления хозяйственной деятельности.
7.4. Условия обработки персональных данных клиентов и контрагентов Оператора:
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором в связи с заключением и исполнением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора:
• Первичные учетные данные контрагентов и их представителей
- фамилия, имя, отчество;
• Сведения о реквизитах контрагента
- сведения о регистрации по месту регистрации или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- данные паспорта или иного удостоверяющего личность документа (при необходимости);
- номер счета в банке и/или номер банковской карты;
- данные документа, подтверждающего регистрацию в качестве индивидуального предпринимателя;
- ИНН;
- СНИЛС (при необходимости).
• Сведения о лицах, действующих от имени контрагента
- - фамилия, имя, отчество;
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- замещаемая должность;
- данные паспорта или иного удостоверяющего личность документа;
- данные и состав документа, подтверждающие право субъекта действовать от имени юридического лица или индивидуального предпринимателя;
7.5. При заключении и исполнении договора оператор может запросить копии обрабатываемых документов.
7.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи или почтовой (курьерской) адресной рассылкой, размещением информации на Интернет-ресурсах Оператора допускается только при условии предварительного согласия субъекта персональных данных.
Согласие на обработку персональных данных может быть исполнено в виде отдельного документа на бумажном носителе, электронной форме, а также в любой позволяющей подтвердить факт его получения форме, и может быть включено в текст договора или иного соглашения.
Обработке подлежат следующие персональные данные потенциальных потребителей:
- фамилия, имя, отчество;
- номер телефона;
- Адрес электронной почты;
Оператор также осуществляет обработку данных, которые передаются в автоматическом режиме: IP-адрес, сведения о типе браузера, надстройках браузера, времени запроса, cookie, сведения о местонахождении (геолокации) субъектов персональных данных, совершаемых ими действиях на Интернет-ресурсах Оператора и т.д. – указанные данные носят обезличенный характер и могут собираться программным обеспечением и/или техническими средствами Интернет-ресурса Оператора при условии, что настройки устройств и программного обеспечения субъектов персональных данных допускают сбор таких данных и информации..
Обезличенные данные субъектов персональных данных, собираемые с помощью сервисов интернет- статистики, служат для сбора информации о действиях субъектов персональных данных на Интернет-ресурсах Оператора, улучшения качества работы Интернет-ресурсов Оператора. Информация об актуальном местонахождении (геолокации) субъектов персональных данных собирается для целей предложения субъектов персональных данных товаров и услуг, находящихся в максимальной близости и/или в пределах одного территориального образования с субъектами персональных данных. В этом случае направляется уведомление о сборе соответствующей информации на устройства субъектов персональных данных до начала сбора данной информации. Оператор также может предоставлять обезличенные данные субъектов персональных данных для проведения статистических и иных исследований на основе таких обезличенных данных.
7.7. Условия обработки персональных данных при обращении субъектов персональных данных (граждан):
Персональные данные граждан, обратившихся оператору лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
7.7.1. В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
- фамилия, имя, отчество;
- почтовый адрес;
- адрес электронной почты;
- указанный в обращении контактный телефон;
- иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
7.7.2. Обработка персональных данных, необходимых в связи с обработкой обращения граждан, осуществляется без согласия субъектов персональных данных в связи с выполнением конклюдентных действий самими заявителями (добровольное и самостоятельное раскрытие своих персональных данных оператору).
7.7.3. Передача или распространение персональных данных граждан, указанных в обращении, третьим лицам без письменного согласия субъектов персональных данных не допускается.
7.7.4. Порядок рассмотрения забросов граждан по вопросам обработки оператором их персональных данных производится в соответствии с пунктом 9 настоящей Политики.
7.8. Условия обработки персональных данных по обращениям уполномоченных государственных органов:
7.8.1. Не требуется согласие субъектов персональных данных при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности и других ведомств при осуществлении ими государственного надзора и контроля, уполномоченных запрашивать информацию о работниках оператора, клиентах/контрагентах (их представителей/работников) в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
7.8.2. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, оператор обязан получить согласие клиента/контрагента или его представителей/работников на предоставление его персональных данных и предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
7.9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается при осуществлении хозяйственной деятельности в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
7.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (клиентов/контрагентов) или их уполномоченных представителей.
7.11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся к оператору в рамках осуществления им хозяйственной деятельности, производится путем:
- получения оригиналов документов или надлежащим образом оформленных юридически-значимых документов в электронной форме;
- получения заверенных копий документов, в т.ч. в электронной форме;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- внесения персональных данных в прикладные программные подсистемы оператора;
- внесения персональных данных в прикладные программные подсистемы в случае, если такое требование установлено действующим законодательством РФ.
7.12. При осуществлении хозяйственной деятельности запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных целями обработки и законодательством Российской Федерации.
7.13. При сборе персональных данных уполномоченное должностное лицо оператора, осуществляющее получение персональных данных непосредственно от субъектов персональных данных или их представителей обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
7.14. Оператор вправе поручить обработку персональных данных, полученных в результате выполнения хозяйственной деятельности, другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Содержание согласия субъекта персональных данных должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
Согласие субъекта персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно Федерального закона "О персональных данных".
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
8. Порядок обработки персональных данных субъектов персональных данных
в информационных системах
8.1. Обработка персональных данных в информационных системах персональных данных (ИСПДн) Оператора осуществляется с учетом положений нормативных актов РФ в сфере информационной безопасности.
8.2. Классификация ИСПДн, указанных в пункте 8.1 настоящей Политики, осуществляется в порядке, установленном законодательством Российской Федерации.
8.3. Работникам Оператора, имеющим право осуществлять обработку персональных данных в ИСПДн Оператора, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями/регламентами работников оператора и требованиями, установленными разработчиком ИСПДн.
8.4. Информация в ИСПДн может вноситься как в автоматическом режиме, при получении персональных данных в электронном виде, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
8.5. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным третьих лиц, а также принятия следующих мер по обеспечению безопасности:
- Определение угроз безопасности персональных данных при их обработке в ИСПДн Оператора;
- Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн Оператора, необходимых для выполнения требований к защите персональных данных, установленные Правительством Российской Федерации;
- Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в эксплуатируемых ИСПДн;
- Учет машинных носителей персональных данных;
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- Установление правил доступа к персональным данным, обрабатываемым в ИСПДн Оператора, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн оператора;
- Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
8.6. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей персональных данных.
8.7. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение безопасности персональных данных при их обработке в ИСПДн оператора, должно обеспечить:
8.7.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных Оператора и руководителя Оператора;
8.7.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
8.7.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.7.4. Постоянный контроль за обеспечением уровня защищенности персональных данных;
8.7.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
8.7.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
8.7.7. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
8.7.8. Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.8. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение функционирования ИСПДн Оператора, немедленно принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
8.9. Обмен персональными данными при их обработке в ИСПДн Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
8.10. В случае выявления нарушений порядка обработки персональных данных в ИСПДн Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7.1. Обработка персональных данных в рамках осуществления хозяйственной деятельности осуществляется:
- при исполнении обязательств согласно заключенным договорам в соответствии с Гражданским кодексом РФ;
- при обращении субъектов персональных данных;
- при обращении уполномоченных государственных органов.
7.2. Субъектами персональных данных при исполнении обязательств согласно заключенным договорам в соответствии с Гражданским кодексом РФ являются:
- Клиенты и контрагенты Оператора (юридические лица, физические лица и индивидуальные предприниматели, посетители Интернет-ресурсов Оператора);
- Представители/работники клиентов и контрагентов Оператора;
- Потенциальные потребители товаров и услуг Оператора (представители юридических лиц, индивидуальные предприниматели и/или их представители, физические лица и/или их представители).
7.3. К целям обработки персональных данных в рамках осуществления хозяйственной деятельности Оператора относятся:
- ведение бухгалтерского учета;
- обеспечение соблюдения налогового законодательства РФ;
- подготовка, заключение и исполнение гражданско-правового договора;
- продвижении товаров и услуг, предоставляемые Оператором в рамках осуществления хозяйственной деятельности.
7.4. Условия обработки персональных данных клиентов и контрагентов Оператора:
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором в связи с заключением и исполнением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора:
• Первичные учетные данные контрагентов и их представителей
- фамилия, имя, отчество;
• Сведения о реквизитах контрагента
- сведения о регистрации по месту регистрации или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- данные паспорта или иного удостоверяющего личность документа (при необходимости);
- номер счета в банке и/или номер банковской карты;
- данные документа, подтверждающего регистрацию в качестве индивидуального предпринимателя;
- ИНН;
- СНИЛС (при необходимости).
• Сведения о лицах, действующих от имени контрагента
- - фамилия, имя, отчество;
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- замещаемая должность;
- данные паспорта или иного удостоверяющего личность документа;
- данные и состав документа, подтверждающие право субъекта действовать от имени юридического лица или индивидуального предпринимателя;
7.5. При заключении и исполнении договора оператор может запросить копии обрабатываемых документов.
7.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи или почтовой (курьерской) адресной рассылкой, размещением информации на Интернет-ресурсах Оператора допускается только при условии предварительного согласия субъекта персональных данных.
Согласие на обработку персональных данных может быть исполнено в виде отдельного документа на бумажном носителе, электронной форме, а также в любой позволяющей подтвердить факт его получения форме, и может быть включено в текст договора или иного соглашения.
Обработке подлежат следующие персональные данные потенциальных потребителей:
- фамилия, имя, отчество;
- номер телефона;
- Адрес электронной почты;
Оператор также осуществляет обработку данных, которые передаются в автоматическом режиме: IP-адрес, сведения о типе браузера, надстройках браузера, времени запроса, cookie, сведения о местонахождении (геолокации) субъектов персональных данных, совершаемых ими действиях на Интернет-ресурсах Оператора и т.д. – указанные данные носят обезличенный характер и могут собираться программным обеспечением и/или техническими средствами Интернет-ресурса Оператора при условии, что настройки устройств и программного обеспечения субъектов персональных данных допускают сбор таких данных и информации..
Обезличенные данные субъектов персональных данных, собираемые с помощью сервисов интернет- статистики, служат для сбора информации о действиях субъектов персональных данных на Интернет-ресурсах Оператора, улучшения качества работы Интернет-ресурсов Оператора. Информация об актуальном местонахождении (геолокации) субъектов персональных данных собирается для целей предложения субъектов персональных данных товаров и услуг, находящихся в максимальной близости и/или в пределах одного территориального образования с субъектами персональных данных. В этом случае направляется уведомление о сборе соответствующей информации на устройства субъектов персональных данных до начала сбора данной информации. Оператор также может предоставлять обезличенные данные субъектов персональных данных для проведения статистических и иных исследований на основе таких обезличенных данных.
7.7. Условия обработки персональных данных при обращении субъектов персональных данных (граждан):
Персональные данные граждан, обратившихся оператору лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
7.7.1. В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
- фамилия, имя, отчество;
- почтовый адрес;
- адрес электронной почты;
- указанный в обращении контактный телефон;
- иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
7.7.2. Обработка персональных данных, необходимых в связи с обработкой обращения граждан, осуществляется без согласия субъектов персональных данных в связи с выполнением конклюдентных действий самими заявителями (добровольное и самостоятельное раскрытие своих персональных данных оператору).
7.7.3. Передача или распространение персональных данных граждан, указанных в обращении, третьим лицам без письменного согласия субъектов персональных данных не допускается.
7.7.4. Порядок рассмотрения забросов граждан по вопросам обработки оператором их персональных данных производится в соответствии с пунктом 9 настоящей Политики.
7.8. Условия обработки персональных данных по обращениям уполномоченных государственных органов:
7.8.1. Не требуется согласие субъектов персональных данных при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности и других ведомств при осуществлении ими государственного надзора и контроля, уполномоченных запрашивать информацию о работниках оператора, клиентах/контрагентах (их представителей/работников) в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
7.8.2. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, оператор обязан получить согласие клиента/контрагента или его представителей/работников на предоставление его персональных данных и предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
7.9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается при осуществлении хозяйственной деятельности в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
7.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (клиентов/контрагентов) или их уполномоченных представителей.
7.11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся к оператору в рамках осуществления им хозяйственной деятельности, производится путем:
- получения оригиналов документов или надлежащим образом оформленных юридически-значимых документов в электронной форме;
- получения заверенных копий документов, в т.ч. в электронной форме;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- внесения персональных данных в прикладные программные подсистемы оператора;
- внесения персональных данных в прикладные программные подсистемы в случае, если такое требование установлено действующим законодательством РФ.
7.12. При осуществлении хозяйственной деятельности запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных целями обработки и законодательством Российской Федерации.
7.13. При сборе персональных данных уполномоченное должностное лицо оператора, осуществляющее получение персональных данных непосредственно от субъектов персональных данных или их представителей обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
7.14. Оператор вправе поручить обработку персональных данных, полученных в результате выполнения хозяйственной деятельности, другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Содержание согласия субъекта персональных данных должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
Согласие субъекта персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно Федерального закона "О персональных данных".
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
8. Порядок обработки персональных данных субъектов персональных данных
в информационных системах
8.1. Обработка персональных данных в информационных системах персональных данных (ИСПДн) Оператора осуществляется с учетом положений нормативных актов РФ в сфере информационной безопасности.
8.2. Классификация ИСПДн, указанных в пункте 8.1 настоящей Политики, осуществляется в порядке, установленном законодательством Российской Федерации.
8.3. Работникам Оператора, имеющим право осуществлять обработку персональных данных в ИСПДн Оператора, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями/регламентами работников оператора и требованиями, установленными разработчиком ИСПДн.
8.4. Информация в ИСПДн может вноситься как в автоматическом режиме, при получении персональных данных в электронном виде, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
8.5. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным третьих лиц, а также принятия следующих мер по обеспечению безопасности:
- Определение угроз безопасности персональных данных при их обработке в ИСПДн Оператора;
- Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн Оператора, необходимых для выполнения требований к защите персональных данных, установленные Правительством Российской Федерации;
- Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в эксплуатируемых ИСПДн;
- Учет машинных носителей персональных данных;
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- Установление правил доступа к персональным данным, обрабатываемым в ИСПДн Оператора, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн оператора;
- Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
8.6. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей персональных данных.
8.7. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение безопасности персональных данных при их обработке в ИСПДн оператора, должно обеспечить:
8.7.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных Оператора и руководителя Оператора;
8.7.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
8.7.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.7.4. Постоянный контроль за обеспечением уровня защищенности персональных данных;
8.7.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
8.7.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
8.7.7. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
8.7.8. Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.8. Структурное подразделение оператора или назначенное лицо (в том числе индивидуальный предприниматель или организация по договору), ответственное за обеспечение функционирования ИСПДн Оператора, немедленно принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
8.9. Обмен персональными данными при их обработке в ИСПДн Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
8.10. В случае выявления нарушений порядка обработки персональных данных в ИСПДн Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
9. Рассмотрение запросов субъектов персональных данных
или их представителей.
9.1. Субъекты персональных данных или их представители имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
11) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
9.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.4. Сведения предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом оператора, осуществляющего обработку соответствующих персональных данных при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в правоотношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
При наличии технической возможности Оператора запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с применяемой Оператором технологией и законодательством Российской Федерации.
9.5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
9.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем
субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
9.7. В случае, если обрабатываемые Оператором персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.8. Субъект персональных данных вправе обратиться повторно в центральный аппарат Роскомнадзора или направить повторный запрос в целях получения сведений, указанных в настоящей Политике, до истечения срока, указанного в пункте 9.7 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.4 настоящей Политики, должен содержать обоснование направления повторного запроса.
9.9. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 9.7 и 9.8 настоящей Политики. Такой отказ должен быть мотивированным.
9.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10. Актуализация (уточнение), блокирование, и уничтожение персональных данных при устранении нарушений при обработке персональных данных
10.1. В случае выявления неправомерной обработки или неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
10.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных.
10.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных.
10.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.3 – 10.5 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11. Сроки обработки и хранения персональных данных
11.1. Сроки обработки и хранения персональных данных работников (бывших работников) Оператора определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных:
11.1.1. Персональные данные, содержащиеся в приказах по личному составу работников (о приеме, о переводе, об увольнении, об установлении надбавок), личных делах работников, законченные делопроизводством до 1 января 2003 года подлежат хранению в кадровом подразделении оператора в течение 75 лет
11.1.2. Персональные данные, содержащиеся в приказах по личному составу работников (о приеме, о переводе, об увольнении, об установлении надбавок), личных делах работников, законченные делопроизводством после 1 января 2003 года подлежат хранению в кадровом подразделении оператора в течение 50 лет.
11.1.3. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях работников, подлежат хранению в кадровом подразделении оператора в течение пяти лет.
11.2. Персональные данные, используемые в целях продвижения товаров, работ, услуг на рынке, подлежат хранению до запрета субъекта персональных данных на их обработку, но не более 20 лет.
11.3. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных оператору в связи с исполнением последним хозяйственной деятельности, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
Персональные данные, предоставляемые субъектами на бумажном носителе в связи с исполнением оператором хозяйственной деятельности, хранятся на бумажных носителях в структурных подразделениях оператора, к полномочиям которых относится обработка персональных данных в связи с предоставлением услуг
11.4. Персональные данные граждан, обратившихся к оператору лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет;
11.5. Персональные данные граждан, претендующих на замещение должностей, хранятся в течении 30 календарных дней.
11.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
11.7. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
11.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Оператора.
11.8. Срок хранения персональных данных, внесенных в ИСПДн Оператора должен соответствовать сроку хранения бумажных (электронных) оригиналов документов, содержащих персональные данные, если иное не установлено действующим законодательством.
12. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении иных законных оснований
12.1. Руководителями структурных подразделений Оператора, осуществляющими обработку персональных данных, должен проводиться систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
12.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается Комиссией, состав которой утверждается приказом руководства Оператора.
По итогам заседания Комиссии составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами Комиссии и утверждается руководителем Оператора.
12.3. Оператором в порядке, установленном законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Должностное лицо Оператора, назначенное приказом руководителя Оператора, сопровождает документы, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание, механическое или химическое уничтожение).
По окончании процедуры уничтожения подрядчиком и должностным лицом оператора составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.
Допускается уничтожение документов, содержащих персональные данные, должностным лицом Оператора (измельчение, сжигание и т.д.) с обязательным составлением Акт об уничтожении документов, содержащих персональные данные.
12.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
13. Лицо, ответственное за организацию обработки персональных данных оператора
13.1. Ответственный за организацию обработки персональных Оператора (далее - Ответственный за ПДн) назначается руководителем Оператора из числа работников Оператора или лиц, с которыми заключен договор гражданско-правового характера.
Обязанности Ответственного за ПДн могут исполнятся юридическим лицом или индивидуальным предпринимателем на основании заключенного договора.
13.2. Ответственный за ПДн в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящей Политикой.
13.3. Задачами Ответственного за ПДн являются:
- организация принятия правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществление внутреннего контроля за соблюдением работниками Оператора требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- обеспечение доведения до сведения работников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, а также осуществление контроля за приемом и обработкой таких обращений и запросов Оператором;
- в случае нарушения Оператором требований к защите персональных данных принятие необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
13.4. Ответственный за ПДн вправе иметь доступ к информации, касающейся обработки персональных данных Оператором и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых оператором третьих лиц с возложением на них соответствующих обязанностей и закреплением ответственности.
13.5. Ответственный за ПДн несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных Оператором в соответствии с положениями законодательства Российской Федерации в области персональных данных.
или их представителей.
9.1. Субъекты персональных данных или их представители имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
11) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
9.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.4. Сведения предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом оператора, осуществляющего обработку соответствующих персональных данных при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в правоотношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
При наличии технической возможности Оператора запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с применяемой Оператором технологией и законодательством Российской Федерации.
9.5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
9.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем
субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
9.7. В случае, если обрабатываемые Оператором персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.8. Субъект персональных данных вправе обратиться повторно в центральный аппарат Роскомнадзора или направить повторный запрос в целях получения сведений, указанных в настоящей Политике, до истечения срока, указанного в пункте 9.7 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.4 настоящей Политики, должен содержать обоснование направления повторного запроса.
9.9. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 9.7 и 9.8 настоящей Политики. Такой отказ должен быть мотивированным.
9.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10. Актуализация (уточнение), блокирование, и уничтожение персональных данных при устранении нарушений при обработке персональных данных
10.1. В случае выявления неправомерной обработки или неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
10.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных.
10.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных.
10.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.3 – 10.5 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11. Сроки обработки и хранения персональных данных
11.1. Сроки обработки и хранения персональных данных работников (бывших работников) Оператора определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных:
11.1.1. Персональные данные, содержащиеся в приказах по личному составу работников (о приеме, о переводе, об увольнении, об установлении надбавок), личных делах работников, законченные делопроизводством до 1 января 2003 года подлежат хранению в кадровом подразделении оператора в течение 75 лет
11.1.2. Персональные данные, содержащиеся в приказах по личному составу работников (о приеме, о переводе, об увольнении, об установлении надбавок), личных делах работников, законченные делопроизводством после 1 января 2003 года подлежат хранению в кадровом подразделении оператора в течение 50 лет.
11.1.3. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях работников, подлежат хранению в кадровом подразделении оператора в течение пяти лет.
11.2. Персональные данные, используемые в целях продвижения товаров, работ, услуг на рынке, подлежат хранению до запрета субъекта персональных данных на их обработку, но не более 20 лет.
11.3. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных оператору в связи с исполнением последним хозяйственной деятельности, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
Персональные данные, предоставляемые субъектами на бумажном носителе в связи с исполнением оператором хозяйственной деятельности, хранятся на бумажных носителях в структурных подразделениях оператора, к полномочиям которых относится обработка персональных данных в связи с предоставлением услуг
11.4. Персональные данные граждан, обратившихся к оператору лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет;
11.5. Персональные данные граждан, претендующих на замещение должностей, хранятся в течении 30 календарных дней.
11.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
11.7. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
11.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Оператора.
11.8. Срок хранения персональных данных, внесенных в ИСПДн Оператора должен соответствовать сроку хранения бумажных (электронных) оригиналов документов, содержащих персональные данные, если иное не установлено действующим законодательством.
12. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении иных законных оснований
12.1. Руководителями структурных подразделений Оператора, осуществляющими обработку персональных данных, должен проводиться систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
12.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается Комиссией, состав которой утверждается приказом руководства Оператора.
По итогам заседания Комиссии составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами Комиссии и утверждается руководителем Оператора.
12.3. Оператором в порядке, установленном законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Должностное лицо Оператора, назначенное приказом руководителя Оператора, сопровождает документы, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание, механическое или химическое уничтожение).
По окончании процедуры уничтожения подрядчиком и должностным лицом оператора составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.
Допускается уничтожение документов, содержащих персональные данные, должностным лицом Оператора (измельчение, сжигание и т.д.) с обязательным составлением Акт об уничтожении документов, содержащих персональные данные.
12.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
13. Лицо, ответственное за организацию обработки персональных данных оператора
13.1. Ответственный за организацию обработки персональных Оператора (далее - Ответственный за ПДн) назначается руководителем Оператора из числа работников Оператора или лиц, с которыми заключен договор гражданско-правового характера.
Обязанности Ответственного за ПДн могут исполнятся юридическим лицом или индивидуальным предпринимателем на основании заключенного договора.
13.2. Ответственный за ПДн в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящей Политикой.
13.3. Задачами Ответственного за ПДн являются:
- организация принятия правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществление внутреннего контроля за соблюдением работниками Оператора требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- обеспечение доведения до сведения работников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, а также осуществление контроля за приемом и обработкой таких обращений и запросов Оператором;
- в случае нарушения Оператором требований к защите персональных данных принятие необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
13.4. Ответственный за ПДн вправе иметь доступ к информации, касающейся обработки персональных данных Оператором и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых оператором третьих лиц с возложением на них соответствующих обязанностей и закреплением ответственности.
13.5. Ответственный за ПДн несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных Оператором в соответствии с положениями законодательства Российской Федерации в области персональных данных.