ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «СУМИТЕК ИНТЕРНЕЙШНЛ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение является основополагающим локальным актом
ООО «СУМИТЕК ИНТЕРНЕЙШНЛ» (ИНН: 7709340842, ОГРН: 1027739138745, местонахождение: 119017, Москва г, вн.тер.г. муниципальный округ Якиманка, ул. Большая Ордынка, д. 40, стр. 2), включая филиалы, представительства и обособленные подразделения (далее – Оператор), регулирующим вопросы обработки персональных данных Оператора.

1.2. Настоящее Положение разработано в соответствии с положениями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 15.09. 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», других действующих нормативно-правовых актов Российской Федерации.

1.3. Целью настоящего Положения является обеспечение соблюдения требований законодательства Российской Федерации в отношении персональных данных и обеспечение защиты персональных данных субъектов персональных данных, указанных в настоящем Положении, от несанкционированного доступа, неправомерного использования, изменения, копирования, разглашения, распространения, уничтожения и иных неправомерных действий.

1.4. Положение действует в отношении всех персональных данных, которые обрабатывает Оператор, с применением средств автоматизации и без применения таких средств, и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора www.sumitec.ru в актуальной редакции.

1.6. Оператор в одностороннем порядке может актуализировать и заново утверждать Положение по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечение безопасности персональных данных. При внесении изменений в настоящее Положение, в заголовке Положения указывается дата действующей редакции. Новая редакция Положения вступает в силу с момента его размещения на соответствующей странице сайта, если иное не будет предусмотрено новой редакцией. Оператор рекомендует регулярно проверять содержание настоящего Положения на предмет его возможных изменений.

1.7. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до его замены новой версией.

1.8. Настоящее Положение доводится до сведения всех работников персонально под роспись. Подписывая ознакомление с Положением, работник подтверждает, что содержание Положения ему понятно.

1.9. Настоящее Положение в полном объеме распространяется на все филиалы, представительства и иные обособленные структурные подразделения Оператора.

1.10. Контроль за исполнением требований настоящего Положения осуществляется должностным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.11. Ответственным за соответствие процесса обработки и защиты персональных данных в Обществе настоящему Положению, а также за пересмотр и обновление Положения является руководитель Юридического и административного департамента Общества.

1.12. Во всем ином, что не предусмотрено настоящим Положением, Оператор руководствуется положениями действующего законодательства Российской Федерации.

2. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

2.1. В настоящем Положении используются следующие термины с соответствующими им определениями:

Персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу – субъекту персональных данных.

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передача (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение;

- смешанная обработка с передачей по внутренней сети Оператора и по сети Интернет.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

Работник – физическое лицо, вступившее в трудовые отношения с Оператором на основании трудового договора и на иных основаниях, предусмотренных ст. 16 Трудового кодекса Российской Федерации.

Кандидат – физическое лицо, рассматриваемое Оператором по заявке/анкете/резюме, размещенных на сайтах по поиску работы, социальных сетях и др. соответствующих источниках информации, направившее непосредственно Оператору резюме, информация о котором передана от соответствующего кадрового агентства – для принятия решения о приглашении на собеседование или предложении о приеме на работу у Оператора и/или получивший приглашение на собеседование/предложение о работе от Оператора.

Соискатель на вакантную должность – физическое лицо, разместившее своё заявку/анкету/резюме на сайтах по поиску работы или иных советующих источниках информации и/или подавшее заявку/анкету/резюме непосредственно Оператору на рассмотрение своей кандидатуры в качестве работника Оператора.

Контрагент – клиенты, партнеры, поставщики, исполнители по гражданско-правовым договорам возмездного оказания услуг, подряда или агентов по агентскому договору, потенциальные клиенты или партнеры, поставщики – физические лица и индивидуальные предприниматели, а также представители юридического лица в правоотношениях с Оператором (работники\представители по доверенности).

База потенциальных кандидатов Оператора – база данных квалифицированных специалистов-соискателей, сформированная из данных соискателей на вакантную должность, из которой Оператор может выбирать кандидатов с необходимыми навыками и опытом на вакантные должности в случае их возникновения.

3. ЦЕЛИ И КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ

3.1. Оператор обрабатывает персональные данные следующих видов субъектов персональных данных:

- работников Оператора (включая внешних совместителей), в том числе бывших работников Оператора;

- родственников работников Оператора;

- соискателей, кандидатов на вакантные должности у Оператора;

- посетителей и пользователей сайта Оператора;

- контрагентов Оператора;

- посетителей офисов\территории Оператора.

3.2. Обработка персональных данных работников Оператора, в том числе бывших:

3.2.1. Цели обработки:

- соблюдение требований трудового, налогового, пенсионного и иного законодательства РФ;

- реализация прав и исполнение обязанностей в рамках трудовых отношений с работником;

- осуществления предусмотренной уставом деятельности;

- соблюдение требований локальных нормативных актов, действующих у Оператора;

- предоставление работникам предусмотренных у Оператора социальных льгот, гарантий и компенсаций, материальной помощи;

- начисление заработной платы и иных выплат, причитающихся работнику в соответствии с законодательством Российской Федерации или трудовым договором, предоставление вычетов по НДФЛ;

- содействия работникам в повышении квалификации, обучении и продвижении по службе, пользовании льготами и дополнительными поощрениями;

- контроль рабочих процессов, количества и качества выполняемой работниками работы и исполнения должностных обязанностей;

- защита жизни и здоровья, обеспечение личной безопасности работников, обеспечение сохранности имущества;

- проведение аудитов деятельности Оператора, в том числе внешними провайдерами;

- предоставления дополнительных услуг за счёт Оператора (добровольного медицинского страхования, страхования субъектов персональных данных от несчастных случаев, обеспечение мобильной связью, оформление корпоративной банковской карты, предоставление услуг такси и пр.);

- обеспечение командировок, служебных поездок, доставки работников, работающих вахтовым методом, обеспечение проживания, оформление виз, билетов и пр.;

- организация пропускного режима на территории зданий и офисов Оператора, ее филиалов, представительств и иных обособленных структурных подразделений;

- оформление на работников Оператора доверенностей для выполнения предусмотренных обязанностей;

- ведение контактных справочников сотрудников Оператора для внутреннего информационного обеспечения деятельности Оператора, ее филиалов, представительств и обособленных подразделений;

- исполнение иных обязательств и требований, предусмотренных локальными нормативными актами Оператора, трудовым договором и законодательством Российской Федерации.

3.2.2. Объем и категории, обрабатываемых персональных данных работников, в том числе бывших:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения);

- пол, гражданство, дата и место рождения, возраст;

- реквизиты и данные паспорта, заграничного паспорта или иного документа, удостоверяющего личность;

- данные миграционной карты (при наличии), разрешения на работу иностранного гражданина;

- адрес места проживания;

- сведения о регистрации по месту жительства или пребывания;

- почтовый адрес;

- номера телефонов и сведения о других способах связи;

- цветное цифровое фотографическое изображение лица, полученное при приеме на работу;

- сведения об образовании и полученных компетенциях;

- семейное положение, сведения о составе семьи, реквизиты свидетельств о регистрации брака, о рождении ребенка;

- сведения о воинском учете, реквизиты документов воинского учета и содержащиеся них данные, статус в качестве военнообязанного;

- сведения о водительском удостоверении;

- сведения о трудовой деятельности, трудовом стаже, предыдущих местах работы, приеме, переводе, увольнении, об аттестации, о повышении квалификации, о профессиональной переподготовке и иных событиях, относящихся к трудовой деятельности в Оператора, о доходах с предыдущих мест работы;

- реквизиты трудового договора;

- данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа (СНИЛС); реквизиты свидетельства обязательного пенсионного страхования, идентификационный номер налогоплательщика, статус резидента;

- сведения о банковском (лицевом) счете, реквизиты банковской карты;

- сведениях, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;

- сведения о доходах (заработной плате и иных выплатах), социальных льготах, налоговых и социальных начислениях, сведения об удержаниях из заработной платы;

- информация о состоянии здоровья, сведения об инвалидности, о нетрудоспособности, результаты обязательных предварительных и периодических медицинских осмотров, других обязательных медицинских осмотров, сведения, содержащиеся в листках нетрудоспособности;

- сведения о поощрениях, наградах, взысканиях и привлечении к ответственности;

- иные персональные данные, предоставляемые работниками в рамках реализации обязательств и требований, предусмотренных локальными нормативными актами Оператора, трудовым договором и законодательством Российской Федерации.

3.2.3. Способы обработки:

- смешанная;

- с передачей по внутренней сети Оператора;

- с передачей по сети Интернет.

Сроки обработки:

- в течение срока действия трудового договора, дальнейшая обработка возможна на основании требований законодательства РФ;

По истечении сроков, определенных законодательством РФ, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учета и использования архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется;

- в течение срока действия трудового договора работника Оператора, в части номера телефона и сведений о других способах связи.

3.2.4. Правовое основание обработки персональных данных работников Оператора, в том числе бывших:

- законодательство Российской Федерации;

- Трудовой договор;

- согласие субъекта персональных данных на обработку его персональных данных;

- локальные нормативные акты Оператора.

3.3. Обработка персональных данных родственников работников Оператора

3.3.1. Цели обработки:

- предоставление льгот и гарантий, предусмотренных законодательством РФ или локальными нормативными актами Оператора;

- информирование супругов, родственников в экстренных случаях о работнике Оператора; выполнение требований нормативных правовых актов органов государственного статистического учета

- исполнение Оператором обязательств, предусмотренных локальными нормативными актами Оператора и законодательством Российской Федерации;

- ведение личных карточек работников Оператора по унифицированной форме Т-2, утвержденной Постановлением Госкомстата РФ от 05.01.2004 № 1;

- заключение, исполнение, изменение, расторжение договоров добровольного медицинского страхования членов семьи работников Оператора.

3.3.2. Объем и категории, обрабатываемых персональных данных родственников и членов семьи работников Оператора:

- фамилия имя отчество, дата рождения;

- пол;

- гражданство;

- дата и место рождения, возраст;

- данные паспорта или иного удостоверяющего личность документа;

- степень родства;

- номер телефона, адрес электронной почты или сведения о других способах связи;

- адрес места проживания или места регистрации по месту жительства;

- сведения о состоянии здоровья; ­

- сведения, содержащиеся в свидетельствах о государственной регистрации актов гражданского состояния; ­

- сведения об инвалидности;

- иные персональные данные, предоставляемые работниками и\или родственниками и членами семьи в соответствии с требованиями трудового законодательства.

3.3.3. Способы обработки:

- смешанная;

- с передачей по внутренней сети Оператора;

- с передачей по сети Интернет.

Сроки обработки:

- в течение срока действия трудового договора работника, дальнейшая обработка возможна на основании требований законодательства РФ;

- в течение срока действия трудового договора работника Оператора, чьим родственником является, в отношении номера мобильного телефона и сведений о других способах связи;

- до достижения цели обработки или отзыва согласия на обработку персональных данных.

3.3.5. Правовое основание обработки персональных данных родственников работников Оператора:

- законодательство РФ;

- локальные нормативные акты Оператора;

- согласие субъекта персональных данных на обработку его персональных данных.

3.4. Обработка персональных данных кандидатов\соискателей на вакантные должности Оператора

3.4.1. Цели обработки:

- рассмотрение резюме кандидата на замещения вакантной должности в Оператора, а также возможности прохождения отбора на замещение соответствующих вакантных должностей, трудоустройства успешно прошедших отбор на замещение соответствующих вакантных должностей;

- оценка деловых, профессиональных навыков и компетенций, проверка деловой репутации;

- ведение базы потенциальных кандидатов Оператора.

3.4.2. Объем и категории, обрабатываемых персональных данных кандидатов\соискателей на вакантные должности Оператора:

- фамилия, имя, отчество;

- пол, возраст, дата и место рождения;

- номер телефона, адрес электронной почты или сведения о других способах связи;

- сведения об образовании, сведения об ученой степени, сведения о профессиональной переподготовке и (или) повышении квалификации, о пройденных курсах, стажировках, полученных компетенциях;

- отношение к воинской обязанности, сведения о воинском учете;

- сведения о трудовой деятельности, трудовом стаже, предыдущих местах работы;

- цифровое фотографическое изображение лица;

- сведения о профессиональных и личностных качествах;

- сведения о ожидаемом уровне оплаты труда;

- сведения о увлечениях;

- иные сведения, указанные в резюме и/или анкете кандидата;

- сведения о судимости в случаях, предусмотренных законодательством РФ;

- иные персональные данные, сообщаемые кандидатами\соискателями в резюме, анкете, опросниках и\или сопроводительных письмах.

3.4.3. Способы обработки:

- смешанная;

- без передачи по внутренней сети Оператора;

- с передачей по сети Интернет (поступившие через корпоративную электронную почту Оператора напрямую от кандидата, предоставленные Оператором, оказывающей услуги по подбору персонала, отобранные на интернет ресурсах по поиску кандидатов на вакантную должность).

Сроки обработки:

- на период принятия решения о приеме либо отказе в приеме на работу, и в течение 30 (тридцати) календарных дней с даты принятия решения об отказе в приеме на работу;

- при помещении в базу потенциальных кандидатов Оператора – до 3 (трёх) лет.

3.4.4. Правовое основание обработки персональных данных кандидатов\соискателей на вакантные должности Оператора:

- законодательство РФ;

- договор между Оператором и контрагентом, оказывающим услуги по подбору персонала поручения на обработку персональных данных;

- согласие субъекта персональных данных на обработку его персональных данных.

3.5. Обработка персональных данных контрагентов Оператора:

3.5.1. Цели обработки:

- осуществления предусмотренной уставом деятельности;

- продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов, в том числе направление писем, уведомлений, информации и запросов, связанных с деятельностью Оператора по оказанию услуг и иной информации, а также обработки заявлений, заявок и иных сообщений, связанных с их интересом к товарам, работам и услугам Оператора;

- заключение, изменение или расторжение гражданско-правового договора;

- проверка полномочий лица, подписывающего договор;

- учет доверенностей на представителей контрагентов Оператора;

- оформление пропуска для проезда\прохода на охраняемую территорию Оператора;

- проверка допусков на выполнение работ, услуг;

- надлежащее исполнение заключенного гражданско-правового договора, в том числе оказание услуг или выполнение работ для субъектов персональных данных;

- осуществления расчетов;

- защита жизни, здоровья и иных важных интересов;

- осуществления прав и законных интересов Оператора или третьих лиц, в том числе защиты от нарушения авторских прав, мошенничества и иного недобросовестного поведения;

- исполнения иных требований законодательства Российской Федерации.

3.5.2. Объем и категории, обрабатываемых персональных данных контрагентов Оператора:

- фамилия, имя, отчество;

- данные паспорта или иного документа, удостоверяющего личность;

- реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе и в форме электронного документа (СНИЛС), идентификационный номер налогоплательщика;

- номер телефона, адрес электронной почты или сведения о других способах связи;

- марка, модель, регистрационный номер транспортного средства;

- данные водительского удостоверения;

- банковские реквизиты: номер счета в банке и т.п.;

- должность, название компании, адрес места работы;

- данные о начислениях физическим лицам, являющимся исполнителями или агентами по гражданско-правым договорам;

- ОГРНИП индивидуального предпринимателя;

- прочие сведения, необходимые для заключения и исполнения договоров, состав которых определяется требованиями действующего законодательства Российской Федерации.

3.5.3. Способы обработки:

- смешанная;

- с передачей по внутренней сети Оператора;

- с передачей по сети Интернет.

Сроки обработки:

- в течение 5 лет с момента истечения срока действия договора, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством РФ.

3.5.4. Правовое основание обработки персональных данных контрагентов Оператора:

- законодательство РФ;

- договор, заключенный между Оператором и контрагентом;

- локальные нормативные акты Оператора.

3.6. Обработка персональных данных посетителей и пользователей сайта Оператора:

3.6.1. Цели обработки:

- обработка обращений и заявок, установление с посетителями сайта обратной связи;

- направления сообщений информационного характера о товарах и услугах Оператора;

- с целью ведения статистики посещений сайта;

- ведение статистики и анализа работы сайта.

3.6.2. Объем и категории, обрабатываемых персональных данных посетителей и пользователей сайта Оператора:

- фамилия, имя, отчество;

- адрес электронной почты;

- номер телефона;

- название организации;

- иная информация, которую пользователь решил предоставить;

- пользовательские данные: сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана;

- источник откуда пришел на сайт пользователь;

- с какого сайта или по какой рекламе;

- язык ОС и браузера;

- какие страницы открывает и на какие кнопки нажимает пользователь;

- ip-адрес.

3.6.3. Способы обработки:

- автоматизировано;

- с передачей по внутренней сети Оператора;

- с передачей по сети Интернет.

Сроки обработки:

- до достижения предусмотренной цели обработки либо до отзыва субъектом персональных данных согласия на обработку персональных данных.

3.6.4. Правовое основание обработки персональных данных посетителей и пользователей сайта Оператора:

- согласие на обработку персональных данных, данное субъектом персональных данных на сайте Оператора;

- локальные нормативные акты Оператора.

3.7. Обработка персональных данных физических лиц, проходящих в офис\на территорию Оператора:

3.7.1. Цели обработки:

- обеспечение требований безопасности и защиты жизни, обеспечения безопасности и сохранности имущества, а также обеспечение и иных интересов;

- оформление разового пропуска для прохода\проезда на охраняемую территорию, контроль убытия с охраняемой территории.

3.7.2. Объем и категории, обрабатываемых персональных данных физических лиц, проходящих на территорию Оператора:

- фамилия, имя, отчество;

- данные документа, удостоверяющего личность;

- название Оператора;

- марка, модель, регистрационный номер транспортного средства;

3.7.3. Способы обработки:

- смешанная;

- без передачи по внутренней сети Оператора;

- без передачи по сети Интернет.

3.7.4. Сроки обработки:

- до достижения цели обработки персональных данных.

3.7.5. Правовое основание обработки персональных данных физических лиц, проходящих на территорию Оператора:

- законодательство РФ;

локальные нормативные акты Оператора.

4. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обязан:

4.1.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

4.1.2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

4.1.3. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Знакомить субъекта персональных данных или его представителя с настоящим Положением и их правами в области защиты персональных данных под роспись.

4.1.4. предоставить по требованию субъекта персональных данных (или его представителя) полную информацию о его персональных данных и обработке этих данных, предусмотренную ч. 7 ст. 14 Закона о персональных данных.

4.1.5. письменно проинформировать уполномоченный орган по защите прав субъектов персональных данных (далее также – Роскомнадзор) о следующих событиях:

- о начале обработки персональных данных – до начала их обработки;

- об изменениях в ранее представленных сведениях в части обработки персональных данных – в течение 10 (десяти) рабочих дней с даты изменений;

- о прекращении обработки персональных данных – в течение 10 (десяти) рабочих дней с даты прекращения.

4.1.6. сообщать в Роскомнадзор по запросу необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней (по письменному мотивированному уведомлению Оператора с указанием причин продления срока предоставления запрашиваемой информации).

4.2. Оператор вправе:

4.2.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

4.2.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

4.2.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

4.3. Работники Оператора, которые в рамках выполнения ими их должностных обязанностей работают с персональными данными, обозначенными в настоящем Положении, обязаны:

- знать и неукоснительно выполнять требования настоящего Положения и иных локальных нормативных актов Оператора, а также Закона о персональных данных;

- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

- не разглашать каким-либо третьим лицам персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;

- пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

- выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя и ответственного за обработку персональных данных в Оператора;

- хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Оператора.

4.4. Работникам Оператора, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных на любые носители, не предназначенные для хранения персональных данных.

5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъекты персональных данных имеют право:

5.1.1. на конфиденциальность:

- Оператор не вправе раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных или иных законных оснований;

- персональные данные не могут быть использованы Оператором в личных целях.

5.1.2. на доступ к своим персональным данным и на получение на основании соответствующего письменного запроса информации о своих персональных данных согласно ч. 7 ст. 14 Закона о персональных данных.

5.1.3. требовать уточнения своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

5.1.4. на обжалование действий или бездействии Оператора:

5.1.5. на отзыв согласия на обработку персональных данных;

5.1.6. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

5.1.7. осуществлять иные права, предусмотренные Законом о персональных данных, иными нормативными правовыми актами и локальными нормативными актами Оператора в области обработки и защиты персональных данных.

5.2. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператора с соответствующим запросом:

- в письменной форме письмом с пометкой (например, «Актуализация персональных данных», «Уточнение персональных данных», «Запрос по поводу персональных данных», «Отзыв согласия на обработку персональных данных») – по почтовому адресу: 119017, г. Москва, вн. тер.г. муниципальный округ Якиманка, ул. Большая Ордынка, д. 40, стр. 2, эт. 3, помещ.1, либо по адресу соответствующего филиала, обособленного подразделения Оператора

- через форму обратной связи на сайте Оператора – только для посетителей и пользователей сайта Оператора.

5.3. Такой запрос должно содержать описание требований субъекта персональных данных, а также следующие сведения:

- фамилия, имя и отчество субъекта персональных данных;

- серия номер паспорта или иного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдаче указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения иным способом подтверждающие факт обработки персональных данных Оператором – наличие договора или иного документа, подтверждающего факт;

- подпись субъекта персональных данных или его представителя.

5.4. При получении запроса субъекта персональных данных на отзыв согласия Оператор обязан прекратить обработку персональных данных субъекта персональных данных, а также обеспечит прекращение такой обработки третьими лицами, действующими по поручению Оператора, в течение 30 (тридцати) календарных дней с момента получения отзыва. Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.

5.5. По факту получения запроса Оператор обязан рассмотреть соответствующий запрос и произвести уточнение персональных данных на основании предоставленной информации, блокировать или уничтожить и направить ответ субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с даты получения им соответствующего запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней при условии направления в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.6. В случае отказа в предоставлении субъекту персональных данных или его представителю информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

5.7. Оператор предоставляет запрашиваемую информацию тем же способом, которым получен запрос, если в самом запросе не указан иной способ предоставления Оператором запрашиваемой информации.

5.8. Субъекты персональных данных обязаны:

5.8.1. предоставлять Оператора достоверные сведения;

5.8.2. своевременно сообщать об изменениях и дополнениях своих персональных;

5.8.3. ознакомиться с документами, определяющими политику Оператора в отношении обработки и защиты персональных данных;

5.8.4. исполнять иные обязанности, предусмотренные законодательством РФ, иными нормативными правовыми актами и локальными нормативными актами Оператора в области обработки и защиты персональных данных.

6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных Оператором включает в себя следующие действия (по отдельности или в совокупности, с использованием средств автоматизации или без использования таких средств): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение, смешанная обработка с передачей по внутренней сети Оператора и по сети Интернет.

6.2. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

- получения оригиналов необходимых документов;

- копирования оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- формирования документации с персональными данными в ходе кадровой работы;

- внесения персональных данных в информационные системы Оператора.

6.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.

6.4. Оператор обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или получателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

6.5. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.6. Обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлено соответствующий срок хранения.

6.7. В случаях, предусмотренных законодательством РФ, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных.

6.8. Допуск к персональным данным субъекта, их сбору и обработке разрешен сотрудникам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Перечень должностей Оператора, имеющих право доступа к персональным данным, утверждается приказом руководства Оператора. С каждым сотрудником, получающим доступ к персональным данным подписывается соглашение о неразглашении персональных данных. При этом указанные лица имеют право получить доступ только к тем персональным данным, которые необходимы для выполнения конкретных трудовых функций.

6.9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, личной жизни, не допускается, за исключением случаев, предусмотренных законодательством.

6.10. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

6.11. Если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных в ч. 4 ст. 18 Закона о персональных данных (субъект персональных данных уже уведомлен о обработке его персональных данных Оператором и проч.), Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- перечень персональных данных;

- предполагаемые пользователи персональных данных;

- права субъекта персональных данных;

- источник получения персональных данных.

6.12. Если предоставление персональных данных является обязательным в соответствии с законодательством РФ, Оператор разъясняет субъекту персональных данных последствия отказа предоставить его персональные данные.

6.13. Фиксация персональных данных в Оператора осуществляется как на материальных носителях, так и с использованием средств автоматизации в информационных системах персональных данных Оператора.

6.14. Оператор вправе самостоятельно определять порядок группирования персональных данных, не нарушая при этом принципы обработки персональных данных, а также осуществлять перегруппировки персональных данных с целью выявления закономерностей, тенденций и отклонений.

6.15. Оператор вправе группировать персональные данные согласно номинальной систематизации (распределение данных по их типу), предметной (принадлежности к конкретному субъекту), тематической (по общей тематике), хронологической, архивной (срокам хранения) и иным видам систематизации, а также их комбинациям.

6.16. Оператор осуществляет действия по накоплению персональных данных, необходимых и достаточных для выполнения предусмотренных целей, осуществляемых Оператором, путем их внесения в информационные системы персональных данных, а также обработки документов, содержащих персональные данные, на бумажных носителях.

6.17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.18. Передача персональных данных:

6.18.1. Оператор вправе без получения отдельного согласия на передачу персональных данных в рамках выполнения обозначенных Положением целей передавать (предоставление, доступ) персональные данные:

- компетентным органам власти в целях обеспечения соблюдения законов и иных нормативных правовых актов, а также выполнения трудового договора – только при наличии надлежащего письменного запроса уполномоченного органа и при наличии на то основания;

- супругам и близким родственникам – в целях обеспечения соблюдения законов и иных нормативных правовых актов, локальных нормативных актов Оператора, получения выплат и компенсаций.

В иных случаях Оператор имеет право передавать персональные данные субъектов персональных данных сторонней организации или иному третьему лицу только при наличии письменного согласия субъекта персональных данных на передачу его персональных данных.

При этом персональные данные передаются в объеме, необходимом и достаточном для реализации соответствующей цели передачи данных.

6.18.2. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

6.18.3. Третьи лица, которым передаются персональные данные:

- третьи лица, передача которым предусмотрена законодательством Российской Федерации;

- третьи лица, на передачу которым субъект персональных данных предоставил разрешение в согласии на обработку персональных данных.

6.19. Обработка персональных данных по поручению:

6.19.1. Оператор в ходе своей деятельности может поручать обработку персональных данных третьим лицам с согласия субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку персональных данных по поручению Оператора, принципов и правил обработки и обеспечения безопасности персональных данных, установленных законодательством Российской Федерации.

6.19.2. Оператор в ходе своей деятельности может выступать обработчиком персональных данных по поручению на обработку персональных данных от контрагента Оператора с согласия субъекта персональных данных.

6.19.3. Все условия обработки, зоны ответственности и обязательства стороны фиксируют в поручении с соблюдением требований законодательства Российской Федерации.

6.19.4. Между обработчиком и оператором должен существовать договор и поручение на обработку персональных данных со следующими обязательными условиями:

- наименование и контакты Оператора;

- наименование и контакты Обработчика;

- обязательства соблюдать Обработчиком принципов обработки персональных данных;

- тип персональных данных и категории субъектов данных;

- перечень персональных данных;

- перечень действий с персональными данными, при этом перечень действий не должен противоречить целям и действиям, заявленным перед субъектом персональных данных в договоре с Оператором, согласии и т.п. документах;

- обязательства соблюдать конфиденциальность;

- цели обработки персональных данных, при этом цели не должны противоречить целям, заявленным перед субъектом персональных данных в договоре с Оператором, согласии и т.п. документах;

- соблюдение обработчиком требований по безопасности персональных данных согласно ст. 19 Закона о персональных данных;

- соблюдение требований по локализации;

- соблюдение требований ст. 18.1 Закона о персональных данных;

- необходимость Обработчика уведомлять Оператора об утечках персональных данных, переданных Обработчику в рамках поручения;

- предоставлять по запросу Оператора в рамках поручения сведения и документы по выполнению поручения.

6.19.5. Оператор должна удостовериться, что Обработчик по поручению на обработку применяет технические и организационные меры, отвечающим требованиям и обеспечивающие защиту прав субъектов персональных данных.

6.19.6. Обработчик не должен привлекать другого Обработчика без предварительного письменного оформленного специального или общего разрешения Оператора. Обработчик должен проинформировать Оператора о любых предполагаемых изменениях. Оператор имеет возможность высказать возражения против любых изменений.

6.19.7. Оператор не размещает и не распространяет персональные данные субъектов персональных данных в общедоступных источниках без его отдельного предварительного согласия.

6.20. Трансграничная передача персональных данных:

6.20.1. Оператор в ходе своей деятельности может осуществлять трансграничную передачу персональных данных юридическим или физическим лицам на территории иностранных государств. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются приоритетом для Оператора, решение которых реализуется в соответствии с законодательством Российской Федерации в области защиты персональных данных.

6.20.2. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных; а также иных предусмотренных законодательством случаях. В целях обеспечения адекватной защиты персональных данных Оператор проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

6.20.3. Оператор направляет уведомление в Роскомнадзор о трансграничной передаче и основаниях такой передачи согласно требованиям ч. 4 ст. 12 Закона о персональных данных. При этом Оператор не приступает или прекращает трансграничную передачу в страны не обеспечивающие адекватную защиту персональных данных в случае получения от Роскомнадзора запрета, согласно п. 7 ст. 12 Закона о персональных данных.

6.21. Уточнение и блокирование персональных данных:

6.21.1. Оператор в общем случае не проверяет достоверность персональной информации, предоставляемой субъектами персональных данных. Оператор исходит из добросовестности субъектов персональных данных и что предоставляемые ими данные являются достоверными и достаточными, и поддерживает эту информацию в актуальном состоянии.

6.21.2. Обрабатываемые в Оператора персональные данные должны быть точными, достаточными и актуальными. Требование точности предполагает, что собранные и обрабатываемые данные должны соответствовать действительности и не должны вводить в заблуждение. Требование достаточности означает, что действия и решения, которые принимаются Оператором по результатам обработки персональных данных, не должны приниматься на основании неполной информации.

6.21.3. При обнаружении неточных или неполных персональных данных может производится их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности Оператора, обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться локальными актами Оператора.

6.21.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

6.21.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.21.6. Оператор принимает меры по удалению или уточнению неполных или неточных данных.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение 7 (Семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.22. Прекращение обработки персональных данных:

6.22.1. Оператор прекращает обработку персональных данных субъектов в следующих случаях:

- по достижении цели обработки персональных данных или утраты необходимости в достижении этой цели – в течение 30 (тридцати) дней с даты достижения цели обработки персональных данных либо, согласно действующему законодательству, передать на архивное хранение;

- после истечения срока нормативного хранения документов, содержащих персональные данные работника, либо при истечении предусмотренного согласием субъекта или установленного локальными нормативными актами Оператора срока обработки персональных данных или при наступлении иных законных оснований – в течение 30 (тридцати) дней с даты истечения срока или наступления иных оснований;

- при представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 (семи) рабочих дней со дня представления таких сведений;

- при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, – в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных;

- при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных – в течение 30 (тридцати) дней с даты поступления указанного отзыва;

- при получении соответствующего предписания от Роскомнадзора – в срок, не превышающий 10 (десяти) рабочих дней с даты получения предписания.

6.22.2. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.22.3. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных: путем дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок и иными законными способами. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Для уничтожения бумажных документов допускается применение шредера.

6.22.4. Факт уничтожения персональных данных фиксируется следующими способами:

- если обработка персональных данных осуществлялась в ручном режиме (без использования средств автоматизации), факт их уничтожения подтверждается актом об уничтожении персональных данных;

- если обработка персональных данных осуществляется с использованием средств автоматизации, факт их уничтожения подтверждается выгрузкой из журнала регистрации событий в информационной системе персональных данных и актом об уничтожении персональных данных (при этом в акт включаются сведения, не указанные в выгрузке);

- осуществлялась смешанная обработка персональных данных (как в ручном режиме, так и с использованием средств автоматизации), то факт их уничтожения подтверждается выгрузкой из журнала регистрации событий в информационной системе и актом об уничтожении материальных носителей, содержащих персональных данных и сведений, не указанных в выгрузке.

6.22.5. Выгрузка из журнала должна содержать следующие сведения:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

6.22.6. Акт об уничтожении персональных данных должен содержать следующие сведения:

а) наименование Оператора (оператора персональных данных) и адрес;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных;

л) недостающие сведения, которые не позволяет указать выгрузка из журнала.

Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, уполномоченных подписывать данный акт.

6.22.7. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 (трех) лет с момента уничтожения персональных данных.

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При обработке персональных данных Оператор предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных противоправных действий в отношении персональных данных.

7.2. Меры, используемые Оператором для защиты при обработке персональных данных:

7.2.1. Назначение лица ответственного за обработку персональных данных;

7.2.2. Разработка локальных нормативных актов в отношении обработки персональных данных;

7.2.3. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;

7.2.4. Установление индивидуальных паролей и уровней доступа работникам Оператора в информационные системы в соответствии с их должностными обязанностями;

7.2.5. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении. В противном случае к обработке персональных данных работник не допускается.

7.2.6. В Оператора используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

7.2.7. Работники Оператора, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных;

7.2.8. Используется сертифицированное программное средство защиты информации от несанкционированного доступа;

7.2.9. Используется сертифицированный межсетевой экран и средство обнаружения вторжения;

7.2.10. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;

7.2.11. Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

7.2.12. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.2.13. Запрещается передача персональных данных по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, а также по публичным почтовым системам (например, mail.ru, yandex.ru, gmail.com).

7.3. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;

- соответствием указанных актов, требованиям законодательства в области персональных данных.

7.4. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент). При этом Оператор уведомляет Роскомнадзор:

1) в течение 24 (двадцати четырех) часов:

- об инциденте;

- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

- принятых мерах по устранению последствий инцидента;

- представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

2) в течение 72 (семидесяти двух) часов:

- о результатах внутреннего расследования;

- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

7.5. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных, в том числе в случае уничтожения персональных данных, которые неправомерно обрабатывались. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

8.3.Дисциплинарная ответственность.

На лицо, обязанное должным образом хранить и беречь информацию, касающуюся персональных данных работника, но в результате ненадлежащего хранения допустившего ее порчу или утрату, может быть наложено дисциплинарное взыскание в соответствии со статьями 192-195 ТК РФ. Разглашение сторонним или неуполномоченным третьим лицам работником Оператора персональных данных, ставших ему известными в связи с исполнением трудовых обязанностей, является основанием для увольнения такого работника в соответствии с подпунктом «в» пункта 6 статьи 81 ТК РФ.

Разглашение сторонним или не уполномоченным третьим лицам персональных данных субъектов персональных данных лицом, принявшим на себя ответственность за неразглашение персональных данных, является основанием для привлечения такого лица к полной материальной ответственности в соответствии с положениями главы 39 ТК РФ, статьи 15 ГК РФ.

8.4.Административная ответственность.

Статьей 13.11 КоАП РФ предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). В соответствии со ст. 13.14 КоАП РФ установлена ответственность за разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

8.5.Гражданско-правовая ответственность.

Статьями 150, 151, 152 ГК РФ установлены формы гражданско-правовой ответственности в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (субъекта персональных данных).

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

8.6.Уголовная ответственность.

- за нарушение неприкосновенности частной жизни в соответствии со статьей 137 УК РФ,

- за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан в соответствии со статьей 140 УК РФ,

- за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, в соответствии со статьей 272 УК РФ.