Положение об обработке и защите персональных данных
1. Общие положения.
1.1. Настоящее Положение определяет цель, порядок и условия обработки персональных данных Обществом с ограниченной ответственностью «АйТи-СервисТорг» (далее – Оператор).
1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – Федеральный закон от 27.07.2006 № 152-ФЗ), Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 № 188, Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации», Федеральным законом № 261-ФЗ от 25.07.2011 «О внесении изменений в Федеральный закон «О персональных данных» и иными нормативными актами, действующими на территории Российской Федерации и регламентирующими обработку ПД в целях защиты и соблюдения прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящее Положение вступает в силу с даты его утверждения приказом Оператора и действует до принятия нового Положения.
1.4. Действие Положения распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации, без применения таких средств, так и для смешанной обработки.
1.5. Во всем ином, что не предусмотрено настоящим Положением, Оператор руководствуется положениями действующего законодательства РФ.
2. Основные понятия. Состав персональных данных.
2.1. Для целей настоящего Положения используются следующие основные понятия:
- персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- субъект персональных данных – физическое лицо, которому принадлежат персональные данные и которого по ним можно определить;
- персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (далее - персональные данные, разрешенные для распространения) (п. 1.1. ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных субъектов (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
2.2. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), передачи (предоставления, доступа) извлечения, использования, блокирования, удаления, уничтожения персональных данных.
2.3. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение), обработка персональных данных осуществляются посредством:
• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях.
2.4. Оператор использует следующие информационные системы:
• справочно-информационные системы.
3. Цели обработки и состав обработки персональных данных.
3.1. Настоящим Положением субъект персональных данных уведомлен и дает свое согласие о возникающей в процессе работы Оператора объективной необходимости разрешить доступ к своим персональным данным. Данный доступ обеспечивается исключительно для целей, определенных настоящим Положением.
3.2. Оператор осуществляет обработку персональных данных субъектов в следующих целях:
3.2.1 осуществления гражданско-правовых отношений.
3.2.2. осуществления Оператором своей деятельности;
3.2.3. осуществления возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете».
3.3. Состав персональных данных:
3.3.1. Основной перечень персональных данных, обрабатываемых Оператором и условия:
|
1 |
|
|
Цель обработки персональных данных |
Подготовка, заключение, исполнение гражданско-правового договора |
|
Категория субъектов персональных данных |
1) Контрагенты; 3) Клиенты; 4) Выгодоприобретатели по договорам.
|
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 3) адрес регистрации; 7) гражданство; 8) ИНН; 9) данные документа, удостоверяющего личность. |
|
Сроки обработки |
1) Период действия договора; 2) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Исполнение договора, стороной/выгодоприобретателем которого является субъект/заключение по инициативе субъекта договора, по которому он будет являться выгодоприобретателем (п.5 ч.1. ст.6 Закона); 3) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
|
№ |
2 |
|
Цель обработки персональных данных |
Подбор персонала (соискателей) на вакантные должности Оператора |
|
Категория субъектов персональных данных |
1) Соискатели. |
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) адрес места жительства; 9) гражданство; 10) семейное положение; 11) профессия; 12) сведения о трудовой деятельности; 13) сведения об образовании; 14) отношение к воинской обязанности, сведения о воинском учете; 15) социальное положение; 16) должность. |
|
Сроки обработки |
1) Период действия договора; 3) До отзыва согласия на обработку; 4) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, без передачи по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. |
|
№ |
3 |
|
Цель обработки персональных данных |
Ведение кадрового и бухгалтерского учета |
|
Категория субъектов персональных данных |
1) Работники; 2) Уволенные работники; 3) Родственники работников; 4) Родственники уволенных работников. |
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) адрес места жительства; 9) социальное положение; 10) гражданство; 11) СНИЛС; 12) номер банковского счета; 13) должность, профессия; 14) семейное положение; 15) сведения о трудовой деятельности; 16) сведения об образовании; 17) отношение к воинской обязанности, сведения о воинском учете; 18) имущественное положение; 19) номер лицевого счета; 20) ИНН; 21) данные водительского удостоверения; 22) реквизиты банковской карты. |
|
Сроки обработки |
1) Период действия договора; 3) До отзыва согласия на обработку. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
|
4 |
|
|
Цель обработки персональных данных |
Обеспечение соблюдения трудового законодательства РФ |
|
Категория субъектов персональных данных |
1) Работники; 2) Уволенные работники; 3) Родственники работников; 4) Родственники уволенных работников. |
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 2) адрес электронной почты; 3) номер контактного телефона; 4) месяц, год, дата, место рождения; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) гражданство; 9) реквизиты банковской карты; 10) СНИЛС; 11) ИНН; 12) имущественное положение; 13) номер лицевого счета; 14) должность; 15) адрес места жительства; 16) профессия; 17) номер расчетного счета; 18) сведения об образовании; 19) семейное положение; 20) сведения о трудовой деятельности; 21) отношение к воинской обязанности, сведения о воинском учете. |
|
Сроки обработки |
1) До отзыва согласия на обработку; 2) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
|
№ |
5 |
|
Цель обработки персональных данных |
Обеспечение соблюдения налогового законодательства РФ |
|
Категория субъектов персональных данных |
1) Работники. |
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) гражданство; 9) реквизиты банковской карты; 10) СНИЛС; 11) ИНН; 12) номер лицевого счета; 13) имущественное положение; 14) адрес места жительства; 15) номер расчетного счета; 16) сведения о трудовой деятельности. |
|
Сроки обработки |
1) До отзыва согласия на обработку; 2) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
|
№ |
6 |
|
Цель обработки персональных данных |
Обеспечение соблюдения пенсионного законодательства РФ |
|
Категория субъектов персональных данных |
1) Работники.
|
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) гражданство; 9) реквизиты банковской карты; 10) СНИЛС; 11) ИНН; 12) адрес места жительства; 13) профессия; 14) номер расчетного счета; 14) сведения об образовании; 16) сведения о трудовой деятельности. |
|
Сроки обработки |
1) До отзыва согласия на обработку; 2) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
|
№ |
7 |
|
Цель обработки персональных данных |
Обеспечение соблюдения страхового законодательства РФ |
|
Категория субъектов персональных данных |
1) Работники.
|
|
Категория ПД |
Общие / иные |
|
Перечень ПД |
1) ФИО; 2) адрес электронной почты; 3) номер контактного телефона; 4) месяц, год, дата, место рождения; 5) пол; 6) данные документа, удостоверяющего личность; 7) адрес регистрации; 8) гражданство; 9) реквизиты банковской карты; 10) СНИЛС; 11) адрес места жительства; 12) профессия; 13) номер расчетного счета; 14) сведения об образовании; 15) сведения о трудовой деятельности. |
|
Сроки обработки |
1) До отзыва согласия на обработку; 2) Прекращение деятельности юридического лица. |
|
Вид обработки персональных данных |
Смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет. |
|
Правовое основание обработки персональных данных |
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. |
3.4. Права субъектов персональных данных:
3.4.1. право на защиту прав и свобод при обработке персональных данных;
3.4.2. право на доступ к своим персональным данным;
3.4.3. право требовать уточнения, блокировки или уничтожения персональных данных;
3.4.4. право на отзыв согласия на обработку персональных данных;
3.4.5. право на обжалование действий или бездействия Оператора.
4. Получение и обработка персональных данных.
4.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением:
1) законности целей и способов обработки ПД, добросовестности;
2) соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД;
3) соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД;
4) достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных.
4.2. Обработка персональных данных выполняется Оператором следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
4.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Федерального закона от 27.07.2006 №152-ФЗ.
4.6. Источником информации обо всех персональных данных субъекта является непосредственно субъект.
4.7. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
4.8. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
4.9. Согласие на обработку персональных данных может быть отозвано субъектом. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ.
5. Хранение персональных данных.
5.1. Персональные данные субъектов хранятся в электронном виде. Доступ к электронным базам данных, содержащим персональные данные субъектов, защищается паролем, устанавливаемым Оператором.
5.2. Допуск к работе с ПД субъектов, обрабатываемых Оператором, разрешается только специально уполномоченным работникам, в чьи функциональные обязанности входит обработка ПД, в строго оговоренном объеме (необходимом для выполнения конкретных функций в соответствии с должностными обязанностями) после ознакомления работников с данным Положением и получения от них подписанного Обязательства о неразглашении данных.
В отсутствие специального уполномоченного работника обработку персональных данных осуществляет непосредственно руководитель Оператора.
6. Передача и распространение данных.
6.1. При передаче Оператором персональных данных субъекта, субъект должен дать на это согласие в письменной форме или электронной форме.
6.2. При передаче персональных данных субъекта Оператор должен соблюдать следующие требования:
6.2.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.
6.2.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
6.2.3. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
6.2.4. Осуществлять передачу персональных данных субъектов в соответствии с настоящим Положением, с которым работники, работающие с персональными данными, должны быть ознакомлены под подпись.
6.2.5. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
6.2.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.2.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
6.3. Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
6.4. При получении персональных данных не от субъекта (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ) Оператор до начала обработки таких персональных данных обязан предоставить следующую информацию:
- наименование (фамилия, имя, отчество) и адрес Оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 № 152-ФЗ права субъекта персональных данных;
- источник получения персональных данных.
6.5. Оператор не вправе распространять персональные данные работников третьим лицам без согласия работника на передачу таких данных.
6.6. В случае если из предоставленного субъектом согласия на распространение персональных данных не следует, что субъект согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
6.7. В случае если из предоставленного субъектом согласия на передачу персональных данных не следует, что субъект не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
6.8. Согласие субъекта на распространение персональных данных может быть предоставлено Оператору:
непосредственно;
с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
6.9. В согласии на распространение персональных данных субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом данных запретов и условий не допускается.
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
7.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
7.1.2. Требовать от Оператора исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе Оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
7.1.3. Получать от Оператора сведения о наименовании и месте нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
7.1.4. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.5. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
7.1.6. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.
8. Порядок блокирования и уничтожения персональных данных
8.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать Федеральный закон.
8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
8.5. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
8.6. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и организацией либо если организация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.6.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
8.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет руководитель Оператора.
8.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя Оператора.
8.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.8.3. Комиссия подтверждает уничтожение персональных данных, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом руководителя Оператора.
8.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9. Защита персональных данных. Процедуры,
направленные на предотвращение и выявление нарушений
законодательства, устранение последствий таких нарушений
9.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
9.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
9.2. С целью защиты персональных данных Оператором назначаются (утверждаются):
форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
Также, с целью защиты персональных данных Оператором исключен несанкционированный доступ к персональным данным.
9.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания Обязательства о неразглашении данных.
9.4. Руководитель Оператора организует систему защиты ПД, в связи с чем обязан:
- изучать и оценивать фактическое состояние деятельности по обеспечению безопасности ПД;
- выявлять недостатки и нарушения режима, которые могут привести к утрате материальных носителей ПД или разглашению ПД;
- устанавливать причины и условия выявленных недостатков и нарушений;
- вырабатывать предложения, направленные на устранение недостатков и предотвращение нарушений в процессе обработки ПД;
- вносить предложения о запрещении работ с ПД, а также об изменении порядка хранения или перевозки материальных носителей с ПД при выявлении нарушений, которые могут повлечь нанесение экономического и другого ущерба;
- контролировать с привлечением специалистов состояние и надежность защиты ПД;
- согласовывать мероприятия, разрабатываемые в целях обеспечения безопасности ПД;
- давать в рамках своей компетенции обязательные для исполнения рекомендации, принимать участие в проведении обучения и инструктажа сотрудников по вопросам обеспечения безопасности ПД;
- принимать участие или проводить самостоятельно расследование фактов разглашения ПД, утраты материальных носителей с ПД, а также грубых нарушений установленного режима безопасности ПД.
9.5. Оператор использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.6. Лицо, ответственное за организацию обработки персональных данных, обязано доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
9.7. Лицо, ответственное за организацию обработки персональных данных, обязано организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
9.8. Руководитель Оператора осуществляет внутренний контроль:
за соблюдением работниками локальных нормативных актов;
соответствием указанных актов требованиям законодательства в области персональных данных.
9.9. Внутренние внеплановые проверки осуществляются по решению руководителя. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
9.10. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
9.11. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
об инциденте;
его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
принятых мерах по устранению последствий инцидента;
представителе организации, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления необходимо руководствоваться Порядком и Условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
9.12. ПД обрабатываются и хранятся на бумажных носителях, на рабочем месте (в ящиках столов, шкафах и т.п.), а также на электронных носителях, доступ к которым ограничен паролем. Оператор создает условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним.
9.13. При передаче ПД должны соблюдаться следующие требования:
1) Решение о передаче ПД третьим лицам может принять только руководитель Оператора при наличии письменного согласия на это субъекта ПД;
2) ПД субъектов могут быть переданы третьей стороне без письменного согласия субъекта ПД только в случаях:
- когда обработка ПД осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- когда это необходимо в целях предупреждения угрозы жизни и здоровью гражданина и получить его согласие невозможно, а также в других случаях, предусмотренных законодательством (например, о несчастном случае на производстве необходимо в обязательном порядке проинформировать родственников пострадавшего, а также ряд государственных и местных органов власти);
-обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи.
10. Ответственность за нарушение норм, регулирующих
обработку персональных данных
10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законом.
