Строительство домов из клееного брусаПоложение об обработке и защите персональных данных работников (иных лиц)

Положение об обработке и защите персональных данных работников (иных лиц)

1. Общие положения

  • 1.1. Настоящие положение об обработке и защите персональных данных работников (иных лиц) (далее - Положение) является локальным нормативным актом ООО «Хольц Хаус» (далее - Общество), принятым с учетом требований, в частности гл. 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных, Федерального закона от 27.07.2006 №152-ФЗ).
  • 1.2. Настоящее Положение определяет цели, порядок и условия обработки персональных данных, категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
  • 1.3. Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
  • 1.4. Положение вступает в силу с момента его утверждения и действует до его отмены приказом директора или до введения нового Положении. Внесение изменений в Положение производится приказом директора, изменения вступают в силу с момента подписания соответствующего приказа.
  • 1.4. На сайте осуществляется сбор персональных данных пользователей (в том числе: имя, адрес электронной почты, номер телефона и иные сведения, указанные Пользователем) посредством форм обратной связи. Сбор и обработка персональных данных осуществляются в следующих целях:
  • 1.5. Сведения о персональных данных являются конфиденциальными. Режим конфиденциальности прекращается:
    • • в случае их обезличивания;
    • • по истечении срока их хранения, предусмотренного номенклатурой дел;
    • • в других случаях, предусмотренных законодательством РФ.

2. Основные понятия. Состав персональных данных. Цель обработки персональных данных.

  • 2.1. В целях настоящего положения используются следующие основные понятия: персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 №152-ФЗ (далее – персональные данные, разрешенные для распространения) (п. 1.1. ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
    • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 №152- ФЗ);
    • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ.
  • 2.2. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положениям, относятся:
    • • кандидаты для приема на работу в Общество;
    • • работники Общества;
    • • бывшие работники Общества;
    • • члены семей работников Общества – в случаях, когда согласно законодательству сведения о них предоставляются работником;
    • • иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права;
    • • клиенты и контрагенты Общества;
    • • представители и работники клиентов и контрагентов Общества;
    • • другие субъекты персональных данных (исключительно для реализации целей обработки персональных данных)
  • 2.3. Согласно Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамка трудовых и иных непосредственно связанных с ними отношений, а также в иных случаях обработки персональных данных в порядке установленных действующим законодательством, в том числе:
    • • при содействии в трудоустройстве;
    • • ведении кадрового и бухгалтерского учета;
    • • содействия работникам в получении образования и продвижении по службе;
    • • оформлении награждений и поощрений;
    • • представлении со стороны Общества установленных условий труда, гарантий и компенсаций;
    • • заполнении и передаче в уполномоченные органы требуемых форм отчетности;
    • • обеспечении личной безопасности работников и сохранности имущества;
    • • осуществление контроля за качеством выполняемой работы.
  • 2.4. В Обществе обрабатываются следующие персональные данные работников:
    • • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
    • • пол;
    • • дата (число, месяц, год) и место рождения;
    • • фотографическое изображение;
    • • сведения о гражданстве;
    • • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
    • • страховой номер индивидуального лицевого счета (СНИЛС);
    • • идентификационный номер налогоплательщика (ИНН);
    • • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
    • • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
    • • реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
    • • сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
    • • сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
    • • информация о владении иностранными языками;
    • • сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
    • • сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
    • • сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории Российской Федерации (для иностранных граждан, прибывающих в Российскую Федерацию);
    • • сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в Российской Федерации), виде на жительство (для иностранных граждан, постоянно проживающих в Российской Федерации);
    • • сведения о доходах, обязательствах по исполнительным документам;
    • • номера расчетного счета, банковской карты;
    • • сведения о состоянии здоровья (для отдельных категорий работников);
    • • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
    • • иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 2.2. Положения;
    • • иные персональные данные, которые работник, клиент или контрагент пожелали сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.3. Положения.
  • 2.5. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
  • 2.6. Действие настоящего Положения не распространяется на отношения, возникающие:
    • • при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
    • • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
  • 2.7. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящим Положением.
  • Обработка организована Оператором на принципах:
    • • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
    • • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
    • • достоверности персональных данных, их достаточности для целей обработки;
    • • обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
    • • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
    • • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    • • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
    • • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  • Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  • 2.8. Способы обработки персональных данных:
    • • неавтоматизированная обработка персональных данных;
    • • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
    • • смешанная обработка персональных данных.

3. Обработка персональных данных

  • 3.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
    • 3.1.1. Обработка персональных данных, разрешённых субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
    • Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
    • 3.1.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
    • 3.1.3. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
    • 3.1.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
      • • Получение оригиналов документов либо их копий;
      • • Копирование оригиналов документов;
      • • Внесения сведений в учетные формы на бумажных и электронных носителях;
      • • Создания документов, содержащих персональные данные, на бумажных и электронных носителях;
      • • Внесения персональных данных в информационные системы персональных данных.
  • 3.2 Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
  • 3.3. Согласие на обработку персональных данных не требуется в следующих случаях:
    • • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
    • • обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
    • • обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
    • • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
    • • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
    • • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
    • • обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
    • • обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года №123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года №258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;

4. Передача персональных данных

  • 4.1. При передаче персональных данных Общество должно соблюдать следующие требования:
    • 4.1.1. Не сообщать персональные данные субъектов третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом.
    • 4.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.
    • 4.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
    • 4.1.4. Осуществлять передачу персональных данных в пределах Общества в соответствии с настоящим Положением, с которым субъект персональных данных должен быть ознакомлен под подпись.
    • 4.1.5. Письменно разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
  • 4.2. Персональные данные субъектов персональных данных обрабатываются и хранятся в отделе кадров.
  • 4.3. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
  • 4.4. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
  • 4.5. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, отснятая Оператором с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
  • 4.6. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Оператором в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
  • 4.7. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
    • Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
  • 4.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
  • 4.9. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

5. Сроки обработки и хранения персональных данных

  • 5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
    • • при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки – в течение трех рабочих дней с даты выявления такого факта;
    • • при достижении целей их обработки (за некоторыми исключениями);
    • • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» их обработка допускается только с согласия;
    • • при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
  • 5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной (выгодоприобретателем или поручителем) которого является субъект персональных данных.
  • 5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации.
  • 5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных

  • 6.1. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
  • 6.2. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 30 (тридцати) дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
  • 6.3. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 3 (трех) рабочих дней с даты выявления факта неправомерной обработки.
  • 6.4. Персональные данные уничтожаются в течение 30 (тридцати) дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
  • 6.5. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 (тридцати) дней.
  • 6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 7 (семи) рабочих дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной (выгодоприобретателем или поручителем) которого является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
  • 6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
  • 6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора.
    • 6.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
    • 6.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
    • 6.8.3. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 №179, а именно:
      • • актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
      • • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
      • Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
      • Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
    • 6.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их на хранение. Акты и выгрузки из журнала хранятся в течение 3 (трех) лет с момента уничтожения персональных данных.

7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

  • 7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данных, если иное не предусмотрено федеральным законом.
  • 7.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
  • 7.2. С целью защиты персональных данных в Обществе приказами директора назначаются (утверждаются):
    • • работник, ответственный за организацию обработки персональных данных;
    • • перечень должностей, при замещении которых обрабатываются персональные данные;
    • • перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
    • • порядок доступа в помещении, в которых ведется обработка персональных данных;
    • • порядок передачи персональных данных в пределах Общества;
    • • форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
    • • порядок защиты персональных данных при их обработке в информационных системах персональных данных;
    • • порядок проведения внутренних расследований, проверок;
    • • иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
  • 7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
  • 7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафа и помещений осуществляется под подпись.
  • 7.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
  • 7.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
  • 7.7. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
  • 7.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
  • 7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
    • • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
    • • в иных случаях, предусмотренных законодательством в области персональных данных.
    • Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном законодательством РФ.
  • 7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
    • • за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
    • • соответствием указанных актов требованиям законодательства в области персональных данных.
    • Внутренний контроль проходит в виде внутренних проверок.
  • 7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается директором.
  • 7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
  • 7.10.3. По итогам внутренней проверки оформляется докладная записка на имя директора Общества. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
  • 7.11. Внутренние расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
  • 7.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
    • • об инциденте;
    • • его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
    • • принятых мерах по устранению последствий инцидента;
    • • представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом;
  • При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденных Приказом Роскомнадзора от 14.11.2022 г. №187.
  • 7.11.2. В течение 72 часов Общество обязано сделать:
    • • уведомить Роскомнадзор о результатах внутреннего расследования;
    • • предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
  • При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденных Приказом Роскомнадзора от 14.11.2022 г. №187.
  • 7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
  • 7.13. Общество уведомляем субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляет также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
  • 7.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимым для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

8. Ответственность за нарушение норм, регулирующих обработку персональных данных.

  • 8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных привлекаются к дисциплинарной, административной, гражданско-правовой и уголовной ответственности в соответствии с действующим законодательством РФ в порядке, установленном федеральными законами.