ИП Виказина Евгения Юрьевна
ИНН 636900635440, ОГРНИП 320631300104766
УТВЕРЖДЕНО Приказом № 1 от «01» июля 2025
_______________________________
"01" августа 2025 г.
ПОЛОЖЕНИЕ
Об обработке и защите персональных данных работников (иных лиц)
1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом ИП Виказина Евгения Юрьевна (далее - Общество), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" (далее - Закон о персональных данных),
1.2. В Положении устанавливаются:
цель, порядок и условия обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Положение вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
кандидаты для приема на работу в Общество;
работники Общества;
бывшие работники Общества;
члены семей работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым и гражданским законодательством и иными актами, содержащими нормы трудового права.
3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Согласно Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
при содействии в трудоустройстве;
ведении кадрового и бухгалтерского учета;
предоставлении со стороны Общества установленных законодательством условий труда, гарантий и компенсаций;
заполнении и передаче в уполномоченные органы требуемых форм отчетности;
обеспечении личной безопасности работников и сохранности имущества;
осуществлении контроля за количеством и качеством выполняемой работы;
осуществление своей деятельности в соответствии с записью в ЕГРЮЛ Общества, в том числе при заключении и исполнение договоров с физическими лицами в отношении их и/или их несовершеннолетних детей, имущества.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
фамилия, имя, отчество (при наличии) Пользователя;
пол Пользователя;
дата (число, месяц, год) и место рождения Пользователя;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи Пользователя;
страховой номер индивидуального лицевого счета (СНИЛС) Пользователя;
идентификационный номер налогоплательщика (ИНН) Пользователя;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания Пользователя;
номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
номера расчетного счета, банковской карты;
фото документа, удостоверяющего личность Пользователя;
фото, видео-аудиозапись Пользователя;
иные персональные данные, которые Пользователь пожелал сообщить о себе и обработка которых соответствует целям обработки, предусмотренным п. 2 Политики, и необходимые
для заключения и исполнения договоров.
3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Общество обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются нормы Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" (далее - Закон о персональных данных), Федерального закон\а от 08.08.2001 N 129-ФЗ (ред. от 28.12.2024) "О государственной регистрации юридических лиц и индивидуальных предпринимателей"; Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете"; Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", отраслевой Закон
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Обществе выполняется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
4.5. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.6. Общество не осуществляет трансграничную передачу персональных данных.
4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
получения оригиналов документов либо их копий;
копирования оригиналов документов;
осуществление фото-видеосъемки и/или размещение на сайте и иных социальных сетях;
внесения сведений в учетные формы на бумажных и электронных носителях;
создания документов, содержащих персональные данные, на бумажных и электронных носителях;
внесения персональных данных в информационные системы персональных данных.
4.7.2. В Обществе используются следующие информационные системы:
корпоративная электронная почта;
система электронного документооборота;
система поддержки рабочего места пользователя;
система нормативно-справочной информации;
система управления персоналом;
система контроля за удаленным доступом;
информационный портал – сайт, мессенджеры, чаты, иные информационные порталы.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
при достижении целей их обработки (за некоторыми исключениями);
по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков
хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6. Порядок прекращения, блокирования и уничтожения персональных данных
6.1. Общество прекращает обработку персональных данных в следующих случаях: • выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления; • достигнута цель их обработки; • истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Общество прекращает обработку этих данных, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; • Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; • иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
6.3. При обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Обществу необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.4. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6.5. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Обществу следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом; подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Обществом предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.8. При выявлении Обществом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество: в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом; в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.9. Порядок условия и сроки уничтожения персональных данных Обществом: достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней; достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней; предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней; отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.10. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.11. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора Общества.
6.12. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Общества.
7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
7.2. С целью защиты персональных данных в Обществе приказами директора назначаются (утверждаются):
работник, ответственный за организацию обработки персональных данных;
перечень должностей, при замещении которых обрабатываются персональные данные;
перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
порядок доступа в помещения, в которых ведется обработка персональных данных;
порядок передачи персональных данных в пределах Общества;
форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
порядок защиты персональных данных при их обработке в информационных системах персональных данных;
порядок проведения внутренних расследований, проверок;
иные локальные нормативные акты, принятые в соответствии с требованиями
законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
7.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.7. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
7.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
в иных случаях, предусмотренных законодательством в области персональных данных.
7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.10.3. По итогам внутренней проверки оформляется докладная записка на имя директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о нарушениях наступают последствия, предусмотренные разделом 6 настоящего Положения.
8. Ответственность за нарушение норм, регулирующих обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
ИНН 636900635440, ОГРНИП 320631300104766
УТВЕРЖДЕНО Приказом № 1 от «01» июля 2025
_______________________________
"01" августа 2025 г.
ПОЛОЖЕНИЕ
Об обработке и защите персональных данных работников (иных лиц)
1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом ИП Виказина Евгения Юрьевна (далее - Общество), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" (далее - Закон о персональных данных),
1.2. В Положении устанавливаются:
цель, порядок и условия обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Положение вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
кандидаты для приема на работу в Общество;
работники Общества;
бывшие работники Общества;
члены семей работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым и гражданским законодательством и иными актами, содержащими нормы трудового права.
3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Согласно Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
при содействии в трудоустройстве;
ведении кадрового и бухгалтерского учета;
предоставлении со стороны Общества установленных законодательством условий труда, гарантий и компенсаций;
заполнении и передаче в уполномоченные органы требуемых форм отчетности;
обеспечении личной безопасности работников и сохранности имущества;
осуществлении контроля за количеством и качеством выполняемой работы;
осуществление своей деятельности в соответствии с записью в ЕГРЮЛ Общества, в том числе при заключении и исполнение договоров с физическими лицами в отношении их и/или их несовершеннолетних детей, имущества.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
фамилия, имя, отчество (при наличии) Пользователя;
пол Пользователя;
дата (число, месяц, год) и место рождения Пользователя;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи Пользователя;
страховой номер индивидуального лицевого счета (СНИЛС) Пользователя;
идентификационный номер налогоплательщика (ИНН) Пользователя;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания Пользователя;
номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
номера расчетного счета, банковской карты;
фото документа, удостоверяющего личность Пользователя;
фото, видео-аудиозапись Пользователя;
иные персональные данные, которые Пользователь пожелал сообщить о себе и обработка которых соответствует целям обработки, предусмотренным п. 2 Политики, и необходимые
для заключения и исполнения договоров.
3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Общество обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются нормы Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" (далее - Закон о персональных данных), Федерального закон\а от 08.08.2001 N 129-ФЗ (ред. от 28.12.2024) "О государственной регистрации юридических лиц и индивидуальных предпринимателей"; Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете"; Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", отраслевой Закон
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Обществе выполняется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
4.5. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.6. Общество не осуществляет трансграничную передачу персональных данных.
4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
получения оригиналов документов либо их копий;
копирования оригиналов документов;
осуществление фото-видеосъемки и/или размещение на сайте и иных социальных сетях;
внесения сведений в учетные формы на бумажных и электронных носителях;
создания документов, содержащих персональные данные, на бумажных и электронных носителях;
внесения персональных данных в информационные системы персональных данных.
4.7.2. В Обществе используются следующие информационные системы:
корпоративная электронная почта;
система электронного документооборота;
система поддержки рабочего места пользователя;
система нормативно-справочной информации;
система управления персоналом;
система контроля за удаленным доступом;
информационный портал – сайт, мессенджеры, чаты, иные информационные порталы.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
при достижении целей их обработки (за некоторыми исключениями);
по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков
хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6. Порядок прекращения, блокирования и уничтожения персональных данных
6.1. Общество прекращает обработку персональных данных в следующих случаях: • выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления; • достигнута цель их обработки; • истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Общество прекращает обработку этих данных, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; • Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; • иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
6.3. При обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Обществу необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.4. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6.5. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Обществу следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом; подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Обществом предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.8. При выявлении Обществом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество: в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом; в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.9. Порядок условия и сроки уничтожения персональных данных Обществом: достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней; достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней; предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней; отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.10. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.11. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора Общества.
6.12. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Общества.
7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
7.2. С целью защиты персональных данных в Обществе приказами директора назначаются (утверждаются):
работник, ответственный за организацию обработки персональных данных;
перечень должностей, при замещении которых обрабатываются персональные данные;
перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
порядок доступа в помещения, в которых ведется обработка персональных данных;
порядок передачи персональных данных в пределах Общества;
форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
порядок защиты персональных данных при их обработке в информационных системах персональных данных;
порядок проведения внутренних расследований, проверок;
иные локальные нормативные акты, принятые в соответствии с требованиями
законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
7.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.7. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
7.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
в иных случаях, предусмотренных законодательством в области персональных данных.
7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.10.3. По итогам внутренней проверки оформляется докладная записка на имя директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о нарушениях наступают последствия, предусмотренные разделом 6 настоящего Положения.
8. Ответственность за нарушение норм, регулирующих обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.