Положение в отношении обработки персональных данных
Дата последнего обновления: 25 «августа» 2025 года
1. ОБЩИЕ ПОЛИТИКИ
1.1. Настоящее Положение в отношении обработки персональных данных (далее – Положение) определяет основные принципы, цели, условия и способы обработки персональных данных Обществом с ограниченной ответственностью «ВАНТА ГРУП» (ОГРН 1 087 746 417 219, ИНН 7 704 683 395, юридический адрес: 125 047, г. Москва, ул. 1-я Брестская, д. 35; далее – «Оператор»).
1.2. Настоящее Положение разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) с учётом требований Закона о персональных данных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием или без использования средств автоматизации.
1.4. Настоящее Положение подлежит актуализации по инициативе Оператора, а также в случае изменения законодательства Российской Федерации о персональных данных.
При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора.
1.5. Основными целями обеспечения безопасности персональных данных являются:
● предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, обрабатываемой в ИСПДн;
● предотвращение искажения или несанкционированной модификации информации, содержащей персональные данные, обрабатываемой в ИСПДн;
● предотвращение несанкционированных действий по блокированию информации, содержащей персональные данные;
● ограничение прав доступа к данным таким образом, чтобы только авторизованные лица могли их просматривать, изменять или удалять;
● регулярный контроль за соблюдением всех мер защиты и анализ инцидентов, связанных с безопасностью данных, для своевременного реагирования на возможные нарушения;
● минимизация рисков случайной или преднамеренной передачи данных третьим лицам, включая хакеров, инсайдеров и другие угрозы.
1.5. Лица, ответственные за организацию обработки персональных данных.
Оператор назначает лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от единоличного исполнительного органа Оператора и подотчетно ему.
Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона о персональных данных.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников Оператора Политики законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Требования к защите персональных данных, определенных Политикой, обязательны для всех работников Оператора, лиц, действующих по поручению Оператора, а также для иных лиц, получивших доступ к персональным данным в связи с деятельностью Оператора или выполнением своих обязательств перед Оператором, и распространяются на:
● автоматизированные системы Оператора;
● средства телекоммуникаций;
● информационные ресурсы и носители информации;
● помещения, в которых осуществляется обработка персональных данных, в целях обеспечения физической защиты данных и предотвращения несанкционированного доступа;
● финансовые документы, внутренние регламенты и другую информацию, связанную с обработкой персональных данных;
● компьютерные системы, серверы, сетевое оборудование, базы данных, программное обеспечение и другие технические ресурсы, обеспечивающие функционирование информационных процессов.
1.6. Правовое основание обработки персональных данных.
Правовым основанием обработки персональных данных является:
● Конституция Российской Федерации;
● Гражданский кодекс Российской Федерации;
● Трудовой кодекс Российской Федерации;
● Налоговый кодекс Российской Федерации;
● Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
● Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
● Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
● иные нормативные правовые акты Российской Федерации, определяющие случаи и особенности обработки персональных данных;
● Устав Оператора, Положение и иные локальные нормативные акты Оператора;
● договор, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
● согласие субъектов на обработку их персональных данных.
1.7. Законодательство Российской Федерации в области персональных данных.
Основными законодательными и нормативными правовыми актами Российской Федерации в области персональных данных являются:
● Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
● Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
● Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
● Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
● Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Политики об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
● Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
● Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
● Приказ ФСБ от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
● Приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных»;
● Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
● Приказ ФСТЭК от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
1.8. Принципы обработки персональных данных.
Обработка персональных данных Оператора осуществляется на основе следующих принципов:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• Оператор принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Оператор обязан принимать необходимые технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения, распространения, блокирования, уничтожения, а также от иных неправомерных действий;
● конфиденциальности персональных данных. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1. ОБЩИЕ ПОЛИТИКИ
1.1. Настоящее Положение в отношении обработки персональных данных (далее – Положение) определяет основные принципы, цели, условия и способы обработки персональных данных Обществом с ограниченной ответственностью «ВАНТА ГРУП» (ОГРН 1 087 746 417 219, ИНН 7 704 683 395, юридический адрес: 125 047, г. Москва, ул. 1-я Брестская, д. 35; далее – «Оператор»).
1.2. Настоящее Положение разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) с учётом требований Закона о персональных данных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием или без использования средств автоматизации.
1.4. Настоящее Положение подлежит актуализации по инициативе Оператора, а также в случае изменения законодательства Российской Федерации о персональных данных.
При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора.
1.5. Основными целями обеспечения безопасности персональных данных являются:
● предотвращение нарушений прав субъекта персональных данных (физического лица) на сохранение конфиденциальности информации, обрабатываемой в ИСПДн;
● предотвращение искажения или несанкционированной модификации информации, содержащей персональные данные, обрабатываемой в ИСПДн;
● предотвращение несанкционированных действий по блокированию информации, содержащей персональные данные;
● ограничение прав доступа к данным таким образом, чтобы только авторизованные лица могли их просматривать, изменять или удалять;
● регулярный контроль за соблюдением всех мер защиты и анализ инцидентов, связанных с безопасностью данных, для своевременного реагирования на возможные нарушения;
● минимизация рисков случайной или преднамеренной передачи данных третьим лицам, включая хакеров, инсайдеров и другие угрозы.
1.5. Лица, ответственные за организацию обработки персональных данных.
Оператор назначает лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от единоличного исполнительного органа Оператора и подотчетно ему.
Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона о персональных данных.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников Оператора Политики законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Требования к защите персональных данных, определенных Политикой, обязательны для всех работников Оператора, лиц, действующих по поручению Оператора, а также для иных лиц, получивших доступ к персональным данным в связи с деятельностью Оператора или выполнением своих обязательств перед Оператором, и распространяются на:
● автоматизированные системы Оператора;
● средства телекоммуникаций;
● информационные ресурсы и носители информации;
● помещения, в которых осуществляется обработка персональных данных, в целях обеспечения физической защиты данных и предотвращения несанкционированного доступа;
● финансовые документы, внутренние регламенты и другую информацию, связанную с обработкой персональных данных;
● компьютерные системы, серверы, сетевое оборудование, базы данных, программное обеспечение и другие технические ресурсы, обеспечивающие функционирование информационных процессов.
1.6. Правовое основание обработки персональных данных.
Правовым основанием обработки персональных данных является:
● Конституция Российской Федерации;
● Гражданский кодекс Российской Федерации;
● Трудовой кодекс Российской Федерации;
● Налоговый кодекс Российской Федерации;
● Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
● Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
● Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
● иные нормативные правовые акты Российской Федерации, определяющие случаи и особенности обработки персональных данных;
● Устав Оператора, Положение и иные локальные нормативные акты Оператора;
● договор, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
● согласие субъектов на обработку их персональных данных.
1.7. Законодательство Российской Федерации в области персональных данных.
Основными законодательными и нормативными правовыми актами Российской Федерации в области персональных данных являются:
● Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
● Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
● Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
● Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
● Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Политики об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
● Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
● Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
● Приказ ФСБ от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
● Приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных»;
● Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
● Приказ ФСТЭК от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
1.8. Принципы обработки персональных данных.
Обработка персональных данных Оператора осуществляется на основе следующих принципов:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• Оператор принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Оператор обязан принимать необходимые технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения, распространения, блокирования, уничтожения, а также от иных неправомерных действий;
● конфиденциальности персональных данных. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. В целях настоящей Политики нижеприведённые термины используются в следующем значении:
Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Субъект персональных данных, Субъект – физическое лицо, которое может быть прямо или косвенно определено с помощью персональных данных.
Согласие на обработку персональных данных, Согласие – решение субъекта персональных данных (или его представителя), принятое свободно, своей волей и в своем интересе, которое выражено в любой форме, позволяющей подтвердить факт его получения.
3. ЦЕЛИ ОБРАБОТКИ, КАТЕГОРИИ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки персональных данных
Оператор осуществляет обработку ПДн при осуществлении видов деятельности, определенных в соответствии с уставом Оператора, но не ограничиваясь, для достижения следующих целей:
• Ведение кадрового и бухгалтерского учета;
• Подбор персонала (соискателей) на вакантные должности Оператора;
• Обеспечение соблюдения трудового законодательства РФ;
• Обеспечение соблюдения страхового законодательства РФ;
• Обеспечение соблюдения налогового законодательства РФ;
• Обеспечение соблюдения пенсионного законодательства РФ;
• Обеспечение соблюдения законодательства РФ о противодействии терроризму;
• Подготовка, заключение и исполнение гражданско-правовых договоров;
• Осуществление научной, литературной и иной творческой деятельности;
• Обеспечение пропускного режима;
3.2. Перечень обрабатываемых персональных данных:
В соответствии с целями обработки персональных данных, указанными в пункте 2.1 Политики, Оператор осуществляет обработку следующих перечней персональных данных:
3.2.1. Цель: Ведение кадрового и бухгалтерского учета:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; номер лицевого счета; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о состоянии здоровья; сведения о судимости; сведения о работе на выборных должностях, государственной службе; сведения о наличии разрешения (патента) на работу у иностранного гражданина; фото/видео изображения лица.
3.2.2. Цель: Подбор персонала (соискателей) на вакантные должности Оператора:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности; сведения об образовании; сведения о судимости; сведения о работе на выборных должностях, государственной службе; сведения о наличии разрешения (патента) на работу у иностранного гражданина; фото-видео изображение лица.
3.2.3. Цель: Обеспечение соблюдения трудового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность, реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о состоянии здоровья, сведения о судимости, о работе на выборных должностях, государственной службе, сведения о наличии разрешения (патента) на работу у иностранного гражданина, фото/видео изображение лица.
3.2.4. Цель: Обеспечение соблюдения страхового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность, профессия; сведения о наличии разрешения (патента) на работу у иностранного гражданина; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); данные о трудовой занятости на текущее время с указанием наименования организации; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о судимости.
3.2.5. Цель: Обеспечение соблюдения налогового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании, сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.6. Цель: Обеспечение соблюдения пенсионного законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.7. Цель: Обеспечение соблюдения законодательства РФ о противодействии терроризму:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; фото-видео изображение лица.
3.2.8. Цель: Подготовка, заключение и исполнение гражданско-правового договора:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения об образовании, сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.9. Цель: Осуществление научной, литературной или иной творческой деятельности:
Фамилия, имя, отчество; адрес электронной почты; номер телефона, профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица; данные голоса человека.
3.2.10. Цель: Осуществление пропускного режима на территорию оператора.
Фамилия, имя, отчество; фото-видео изображение лица.
3.2.11. Цель: Проведение социологических и маркетинговых исследований.
Фамилия, имя, отчество; год рождения; семейное положение; номер телефона, профессия; должность; гражданство.
2.1. В целях настоящей Политики нижеприведённые термины используются в следующем значении:
Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Субъект персональных данных, Субъект – физическое лицо, которое может быть прямо или косвенно определено с помощью персональных данных.
Согласие на обработку персональных данных, Согласие – решение субъекта персональных данных (или его представителя), принятое свободно, своей волей и в своем интересе, которое выражено в любой форме, позволяющей подтвердить факт его получения.
3. ЦЕЛИ ОБРАБОТКИ, КАТЕГОРИИ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки персональных данных
Оператор осуществляет обработку ПДн при осуществлении видов деятельности, определенных в соответствии с уставом Оператора, но не ограничиваясь, для достижения следующих целей:
• Ведение кадрового и бухгалтерского учета;
• Подбор персонала (соискателей) на вакантные должности Оператора;
• Обеспечение соблюдения трудового законодательства РФ;
• Обеспечение соблюдения страхового законодательства РФ;
• Обеспечение соблюдения налогового законодательства РФ;
• Обеспечение соблюдения пенсионного законодательства РФ;
• Обеспечение соблюдения законодательства РФ о противодействии терроризму;
• Подготовка, заключение и исполнение гражданско-правовых договоров;
• Осуществление научной, литературной и иной творческой деятельности;
• Обеспечение пропускного режима;
3.2. Перечень обрабатываемых персональных данных:
В соответствии с целями обработки персональных данных, указанными в пункте 2.1 Политики, Оператор осуществляет обработку следующих перечней персональных данных:
3.2.1. Цель: Ведение кадрового и бухгалтерского учета:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; номер лицевого счета; реквизиты банковской карты; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о состоянии здоровья; сведения о судимости; сведения о работе на выборных должностях, государственной службе; сведения о наличии разрешения (патента) на работу у иностранного гражданина; фото/видео изображения лица.
3.2.2. Цель: Подбор персонала (соискателей) на вакантные должности Оператора:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности; сведения об образовании; сведения о судимости; сведения о работе на выборных должностях, государственной службе; сведения о наличии разрешения (патента) на работу у иностранного гражданина; фото-видео изображение лица.
3.2.3. Цель: Обеспечение соблюдения трудового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность, реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о состоянии здоровья, сведения о судимости, о работе на выборных должностях, государственной службе, сведения о наличии разрешения (патента) на работу у иностранного гражданина, фото/видео изображение лица.
3.2.4. Цель: Обеспечение соблюдения страхового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность, профессия; сведения о наличии разрешения (патента) на работу у иностранного гражданина; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); данные о трудовой занятости на текущее время с указанием наименования организации; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о судимости.
3.2.5. Цель: Обеспечение соблюдения налогового законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании, сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.6. Цель: Обеспечение соблюдения пенсионного законодательства РФ:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.7. Цель: Обеспечение соблюдения законодательства РФ о противодействии терроризму:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; фото-видео изображение лица.
3.2.8. Цель: Подготовка, заключение и исполнение гражданско-правового договора:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения об образовании, сведения о наличии разрешения (патента) на работу у иностранного гражданина.
3.2.9. Цель: Осуществление научной, литературной или иной творческой деятельности:
Фамилия, имя, отчество; адрес электронной почты; номер телефона, профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица; данные голоса человека.
3.2.10. Цель: Осуществление пропускного режима на территорию оператора.
Фамилия, имя, отчество; фото-видео изображение лица.
3.2.11. Цель: Проведение социологических и маркетинговых исследований.
Фамилия, имя, отчество; год рождения; семейное положение; номер телефона, профессия; должность; гражданство.
4. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Категории субъектов персональных данных
Для достижения Оператором целей, заявленных в пункте 3.2.1 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.2 Политики, осуществляется обработка следующих категорий Субъектов:
● соискатели.
Для достижения Оператором целей, заявленных в пункте 3.2.3 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора;
● соискатели;
● родственники работников Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.4 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора;
● выгодоприобретатели по договорам.
Для достижения Оператором целей, заявленных в пункте 3.2.5 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.6 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора.
● уволенные работники Оператора и их представители.
Для достижения Оператором целей, заявленных в пункте 3.2.7 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора и их представители;
● соискатели;
● родственники работников Оператора и их представители;
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● представители/работники контрагентов Оператора (юридических лиц);
● посетители Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.8 Политики, осуществляется обработка следующих категорий Субъектов:
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● клиенты;
● выгодоприобретатели по договорам.
Для достижения Оператором целей, заявленных в пункте 3.2.9 Политики, осуществляется обработка следующих категорий Субъектов:
● участники конгрессов, конференций, фестивалей, семинаров и мероприятий;
● авторы научных работ, статей, экспертных комментариев, аналитических материалов;
● клиенты, потенциальные клиенты Для достижения Оператором целей, заявленных в пункте 3.2.10 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора и их представители;
● соискатели;
● родственники работников Оператора;
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● представители/работники контрагентов Оператора (юридических лиц);
● представители (физические лица) Оператора, работники Оператор;
● клиенты, выгодоприобретатели по договорам;
● посетители.
Для достижения Оператором целей, заявленных в пункте 3.2.10. Политики, осуществляется обработка следующих категорий Субъектов:
• Респонденты.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.Обработка персональных данных Оператором осуществляется следующими способами:
● автоматизированная обработка;
● неавтоматизированная обработка.
● смешанная обработка персональных данных.
5.2 Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача - ограниченно - см. п. 5.3), блокирование, уничтожение на территории Российской Федерации в соответствии с действующим законодательством Российской Федерации.
5.3.Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
Обработка персональных данных осуществляется при условии:
● получения письменного согласия Субъекта персональных данных на обработку его персональных данных;
● получения устного согласия Субъекта персональных данных в случае, когда это допускается законодательством Российской Федерации, с фиксацией факта получения согласия в информационной системе Оператора или посредством аудиозаписи разговора;
● получения персональных данных из общедоступных источников.
Оператор осуществляет автоматизированную обработку персональных данных, обработку персональных данных без использования средств автоматизации и смешанную обработку персональных данных.
К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных, и (или) лица, перечень которых устанавливается приказом единоличного исполнительного органа Оператора.
Обработка персональных данных допускается в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, а также Политики, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
5.4. Поручение обработки персональных данных третьему лицу.
Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
В поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
В случае, если Оператор на основании договора поручает обработку персональных данных третьему лицу, существенным условием договора является обязанность такого лица соблюдать принципы и правила обработки персональных данных, предусмотренные Политикой, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, в том числе по обеспечению безопасности персональных данных при их обработке.
Контроль выполнения требования осуществляет лицо, ответственное за организацию обработки персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
5.5. Хранение и порядок уничтожения персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
ПДн могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД.
Порядок доступа в места хранения материальных носителей персональных данных утверждаются единоличным исполнительным органом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Подтверждение уничтожения персональных данных осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, в зависимости от способа их обработки:
При обработке персональных данных без использования средств автоматизации уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике.
При обработке персональных данных с использованием средств автоматизации уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
При обработке персональных данных одновременно с использованием средств автоматизации и без уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
Уничтожение персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных, или лицом, осуществляющим обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Перечень документов (носителей), содержащих персональные данные и подлежащих уничтожению в связи с истечением срока хранения, установленного действующим законодательством (в частности, Законом о персональных данных, Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» и другими применимыми актами), подлежит сверке с актом об уничтожении персональных данных.
Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения, исключающего возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в помещении Оператора, либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры).
Уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя.
Подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
В случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).
5.6. Сроки обработки и хранения персональных данных.
Период хранения персональных данных определяется в соответствии с законодательством Российской Федерации, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации и иные нормативные правовые акты, регулирующие сроки хранения персональных данных.
Сроки обработки персональных данных определяются с учетом:
• установленных целей обработки персональных данных;
• сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
• сроков, определенных законодательством о персональных данных.
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
Обработка ПДн прекращается:
● в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора;
● в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных либо обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных;
● в случае прекращения деятельности Оператора;
● в случае достижения цели обработки персональных данных. 5.7.
Трансграничная передача персональных данных Оператором не осуществляется.
5.8.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
4.1. Категории субъектов персональных данных
Для достижения Оператором целей, заявленных в пункте 3.2.1 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.2 Политики, осуществляется обработка следующих категорий Субъектов:
● соискатели.
Для достижения Оператором целей, заявленных в пункте 3.2.3 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора;
● соискатели;
● родственники работников Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.4 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора;
● выгодоприобретатели по договорам.
Для достижения Оператором целей, заявленных в пункте 3.2.5 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора;
● уволенные работники Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.6 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора.
● уволенные работники Оператора и их представители.
Для достижения Оператором целей, заявленных в пункте 3.2.7 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора и их представители;
● соискатели;
● родственники работников Оператора и их представители;
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● представители/работники контрагентов Оператора (юридических лиц);
● посетители Оператора.
Для достижения Оператором целей, заявленных в пункте 3.2.8 Политики, осуществляется обработка следующих категорий Субъектов:
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● клиенты;
● выгодоприобретатели по договорам.
Для достижения Оператором целей, заявленных в пункте 3.2.9 Политики, осуществляется обработка следующих категорий Субъектов:
● участники конгрессов, конференций, фестивалей, семинаров и мероприятий;
● авторы научных работ, статей, экспертных комментариев, аналитических материалов;
● клиенты, потенциальные клиенты Для достижения Оператором целей, заявленных в пункте 3.2.10 Политики, осуществляется обработка следующих категорий Субъектов:
● работники Оператора и их представители;
● уволенные работники Оператора и их представители;
● соискатели;
● родственники работников Оператора;
● контрагенты Оператора (физические лица) либо их уполномоченные представители;
● представители/работники контрагентов Оператора (юридических лиц);
● представители (физические лица) Оператора, работники Оператор;
● клиенты, выгодоприобретатели по договорам;
● посетители.
Для достижения Оператором целей, заявленных в пункте 3.2.10. Политики, осуществляется обработка следующих категорий Субъектов:
• Респонденты.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.Обработка персональных данных Оператором осуществляется следующими способами:
● автоматизированная обработка;
● неавтоматизированная обработка.
● смешанная обработка персональных данных.
5.2 Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача - ограниченно - см. п. 5.3), блокирование, уничтожение на территории Российской Федерации в соответствии с действующим законодательством Российской Федерации.
5.3.Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
Обработка персональных данных осуществляется при условии:
● получения письменного согласия Субъекта персональных данных на обработку его персональных данных;
● получения устного согласия Субъекта персональных данных в случае, когда это допускается законодательством Российской Федерации, с фиксацией факта получения согласия в информационной системе Оператора или посредством аудиозаписи разговора;
● получения персональных данных из общедоступных источников.
Оператор осуществляет автоматизированную обработку персональных данных, обработку персональных данных без использования средств автоматизации и смешанную обработку персональных данных.
К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных, и (или) лица, перечень которых устанавливается приказом единоличного исполнительного органа Оператора.
Обработка персональных данных допускается в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, а также Политики, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
5.4. Поручение обработки персональных данных третьему лицу.
Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
В поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
В случае, если Оператор на основании договора поручает обработку персональных данных третьему лицу, существенным условием договора является обязанность такого лица соблюдать принципы и правила обработки персональных данных, предусмотренные Политикой, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, в том числе по обеспечению безопасности персональных данных при их обработке.
Контроль выполнения требования осуществляет лицо, ответственное за организацию обработки персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
5.5. Хранение и порядок уничтожения персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
ПДн могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД.
Порядок доступа в места хранения материальных носителей персональных данных утверждаются единоличным исполнительным органом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Подтверждение уничтожения персональных данных осуществляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179, в зависимости от способа их обработки:
При обработке персональных данных без использования средств автоматизации уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике.
При обработке персональных данных с использованием средств автоматизации уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
При обработке персональных данных одновременно с использованием средств автоматизации и без уничтожение персональных данных оформляется актом об уничтожении персональных данных по форме согласно Приложении № 16 к Политике и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
Уничтожение персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных, или лицом, осуществляющим обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Перечень документов (носителей), содержащих персональные данные и подлежащих уничтожению в связи с истечением срока хранения, установленного действующим законодательством (в частности, Законом о персональных данных, Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» и другими применимыми актами), подлежит сверке с актом об уничтожении персональных данных.
Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения, исключающего возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в помещении Оператора, либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры).
Уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя.
Подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
В случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
Уничтоженные документы (носители), содержавшие персональные данные, должны быть списаны с книг и журналов учета (регистрации) данных документов (носителей).
5.6. Сроки обработки и хранения персональных данных.
Период хранения персональных данных определяется в соответствии с законодательством Российской Федерации, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации и иные нормативные правовые акты, регулирующие сроки хранения персональных данных.
Сроки обработки персональных данных определяются с учетом:
• установленных целей обработки персональных данных;
• сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
• сроков, определенных законодательством о персональных данных.
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
Обработка ПДн прекращается:
● в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора;
● в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных либо обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных;
● в случае прекращения деятельности Оператора;
● в случае достижения цели обработки персональных данных. 5.7.
Трансграничная передача персональных данных Оператором не осуществляется.
5.8.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6.СОСТАВ И СОДЕРЖАНИЕ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общие требования по организации защиты персональных данных
Безопасность персональных данных при их обработке обеспечивают лица, ответственные за организацию обработки персональных данных Оператора, указанные в пункте 1.5 Политики, или лицо, осуществляющее обработку персональных данных по поручению Оператора в соответствии с законодательством Российской Федерации.
Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119.
При обработке персональных данных в информационных системах Оператора обеспечено:
● проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
● своевременное обнаружение фактов несанкционированного доступа к персональным данным;
● недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
● возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● постоянный контроль за обеспечением уровня защищенности персональных данных.
6.2. Меры по обеспечению безопасности персональных данных
Оператор принимает следующие меры для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами:
1) назначает ответственного за организацию обработки персональных данных;
2) издает документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
4) осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политики и других локальных актов Оператора;
5) осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с Политикими законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Политикой, локальными актами Оператораи по вопросам обработки персональных данных;
6) организует обучение работников Оператора, осуществляющих обработку персональных данных.
6.3. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
● назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
● определяет угрозы безопасности персональных данных при их обработке;
● создает необходимые условия для работы с персональными данными;
● организует учет документов, содержащих персональные данные;
● организует работу с информационными системами, в которых обрабатываются персональные данные;
● хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
● внедряет процедуры мониторинга и аудита, направленные на выявление и устранение уязвимостей в системе защиты данных;
● применяет антивирусное программное обеспечение и регулярно обновляет его;
● применяет межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) для защиты сетей;
● средства защиты среды виртуализации.
6.4. Перечень мероприятий по обеспечению безопасности персональных данных в информационных системах
Мероприятия по обеспечению безопасности ПДн в информационных системах включают в себя:
● разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
● проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
● установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
● учет применяемых средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, эксплуатационной и технической документации к ним, носителей персональных данных;
● учет лиц, допущенных к работе с персональными данными в информационной системе;
● контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
● соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
● восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
● разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
6.5. Осуществление внутреннего контроля
В целях выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных, а также минимизации рисков утечки, несанкционированного доступа, уничтожения, изменения или блокирования персональных данных Оператором обеспечивается проведение внутреннего контроля в соответствии с Планом внутренних проверок состояния защиты персональных данных.
План внутренних проверок состояния защиты персональных данных утверждается приказом единоличного исполнительного органа Оператораи и определяет объекты внутреннего контроля (структурные подразделения, процессы обработки персональных данных, информационные системы персональных данных, документация и т.д.), проверяемый период, срок проведения проверки, ответственных лиц.
Предметом внутреннего контроля является проверка соблюдения Оператором и его работниками законодательства Российской Федерации о защите персональных данных, в том числе требований к защите персональных данных, а также оценка обоснованности и эффективности принятых мер.
Внутренний контроль проводится лицом, ответственным за организацию обработки персональных данных или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
Контроль подразделяется на плановый и внеплановый.
6.5.1. Порядок проведения планового контроля.
Периодичность планового контроля устанавливается не реже одного раза в три года.
Основанием для проведения плановой проверки является приказ единоличного исполнительного органа Оператораи о проведении проверки, в котором указываются цели, сроки, ответственные лица и объекты проверки.
В ходе плановой проверки осуществляется:
• анализ локальных нормативных актов Оператора в области защиты персональных данных на предмет их актуальности и соответствия законодательству Российской Федерации;
• оценка состояния организационных и технических мер по обеспечению безопасности персональных данных (назначение ответственных, разграничение прав доступа, применение средств защиты информации, резервное копирование, обучение сотрудников и т.д.);
• контроль за выполнением требований по получению согласия на обработку персональных данных (при необходимости);
• проверка соблюдения сроков обработки и хранения персональных данных.
6.5.2. Порядок проведения внепланового контроля.
Основаниями для проведения внеплановой проверки могут быть:
• поступление жалобы или обращения Субъекта персональных данных о нарушении его прав или правил обработки персональных данных;
• выявление фактов несанкционированной обработки или утечки персональных данных;
• изменение законодательства Российской Федерации в сфере персональных данных, требующее оперативной оценки соответствия;
• приказ единоличного исполнительного органа Оператораи.
Лицо, ответственное за организацию обработки персональных данных, организует проведение внеплановой проверки в течение 5 рабочих дней с момента возникновения оснований, предусмотренных настоящим пунктом.
Срок проведения внеплановой проверки не может превышать 10 календарных дней.
6.6. Конфиденциальность персональных данных
В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к конфиденциальной информации.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7. ОБРАЩЕНИЯ
7.1. Порядок рассмотрения запросов от субъектов персональных данных
Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона о персональных данных, за исключением случаев, предусмотренных частью 8 статьи 14 Закона о персональных данных.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
В случае поступления запроса об обработке персональных данных от субъекта ПДн или его представителя необходимо выполнить следующие действия:
7.1.1. Уполномоченный работник Оператора проверяет запрос по требованиям п.3 ст. 14 Закона о персональных данных и при соответствии производит регистрацию документа по инструкции ведения делопроизводства у Оператора.
Затем запрос передается ответственному за обработку персональных данных у Оператора, который должен рассмотреть указанный запрос в установленные Законом о персональных данных сроки.
7.1.2. При получении запроса субъекта персональных данных или его представителя о предоставлении информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставлении возможности ознакомления с этими персональными данными необходимо в течение 10 рабочих дней с даты получения запроса (согласно п. 1 ст. 20 Закона о персональных данных) предоставить информацию и (или) возможность для ознакомления с ПДн субъекта. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Если обработка ПДн субъекта не ведется, то в течение 10 рабочих дней с даты получения запроса (согласно п. 2 ст. 20 Закона о персональных данных) необходимо отправить уведомление об отказе предоставления информации по ПДн. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Форма запроса субъекта персональных данных о наличии и ознакомлении с ПДн приведена в Приложении 2.
7.1.3. При получении запроса субъекта ПДн или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. Форма запроса на уточнение ПДн приведена в Приложении 3, а формы ответов на эти запросы в Приложении 6.
7.1.4. При получении запроса субъекта персональных данных или его представителя на уничтожение ПДн, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно п. 3 ст. 21 Закона о персональных данных) необходимо их уничтожить в срок, не превышающий 7 рабочих дней. Форма запроса на уничтожение ПДн приведена в Приложении 4, а формы ответов на эти запросы в Приложении 6.
7.1.5. При получении запроса на отзыв согласия на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки персональных данных, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно п. 5 ст. 21 Закона о персональных данных), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно п. 5 ст. 21 Закона о персональных данных). Форма запроса на отзыв согласия на обработку ПДн приведена в Приложении 5, а формы ответов на эти запросы в Приложении 8,9.
7.1.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением следующих случаев:
● обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
● обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
● обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
● обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать Политики, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также Политики, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
● обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
● обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц;
● обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
● обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
● осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
● осуществляется обработка специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о персональных данных, обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
7.1.7. При выявлении фактов неточности ПДн при обращении или по запросу субъекта ПДн или его представителя необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно п. 1 ст. 21 Закона о персональных данных). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, необходимо уточнить персональные данные в течение 7 рабочих дней со дня предоставления таких сведений и снять блокирование персональных данных (согласно п. 2 ст. 21 Закона о персональных данных)
7.1.8. При выявлении неправомерной обработки ПДн Оператором при обращении или по запросу субъекта ПДн или его представителя необходимо в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно п. 3 ст. 21 Закона о персональных данных). В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных (согласно п. 3 ст. 21 Закона о персональных данных), обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены Роскомнадзором, также уведомить указанный орган. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 10.
7.1.9. При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн (согласно п. 4 ст. 21 Закона о персональных данных), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. Формы уведомления при достижении целей обработки ПДн приведены в Приложении 13, Приложении 14, Приложении 15.
7.1.10. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
7.2. Порядок рассмотрения запросов от уполномоченных органов
7.2.1. Оператор обязан сообщить Уполномоченному органу по защите прав субъектов персональных данных необходимую информацию в течение 10 рабочих дней с момента получения такого запроса (согласно п. 4 статьи 20 Закона о персональных данных).
7.2.2. Действия при выявлении недостоверных персональных данных:
При выявлении недостоверных персональных данных (ПДн) при обращении Уполномоченного органа или по его запросу:
а) Оператор обязан заблокировать соответствующие ПДн с момента такого обращения или получения такого запроса на период проверки (согласно п. 1 статьи 21 Закона о персональных данных).
б) Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн или его законным представителем либо Уполномоченным органом, Оператор обязан в течение 7 рабочих дней с даты представления таких сведений уточнить ПДн и снять их блокирование (согласно п. 2 статьи 21 Закона о персональных данных).
в) Если факт недостоверности ПДн не подтвержден, Оператор обязан снять блокирование ПДн и, при необходимости, направить уведомление Уполномоченному органу и/или субъекту ПДн об отказе в изменении ПДн с обоснованием.
7.2.3. Действия при выявлении неправомерной обработки персональных данных:
При выявлении неправомерных действий с ПДн Оператор при обращении Уполномоченного органа или по его запросу обязан:
а) Прекратить неправомерную обработку персональных данных или обеспечить правомерность их обработки в срок, не превышающий 3 рабочих дней с даты выявления такой неправомерности.
б) Если обеспечить правомерность обработки персональных данных невозможно, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерности (согласно п. 3 статьи 21 Закона о персональных данных).
в) В случае уничтожения ПДн Оператор обязан направить Уполномоченному органу (и при необходимости субъекту ПДн) уведомление об уничтожении ПДн (форма уведомления приведена в Приложении № 10).
7.3. Уведомление об инцидентах (нарушении конфиденциальности персональных данных):
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент), Оператор обязан с момента выявления такого инцидента (Оператором, Уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом) уведомить Уполномоченный орган по защите прав субъектов персональных данных:
а) В течение 24 часов:
- о произошедшем инциденте;
- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
- о предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий соответствующего инцидента;
- предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом.
б) В течение 72 часов:
- о результатах внутреннего расследования выявленного инцидента;
- предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.1. Общие требования по организации защиты персональных данных
Безопасность персональных данных при их обработке обеспечивают лица, ответственные за организацию обработки персональных данных Оператора, указанные в пункте 1.5 Политики, или лицо, осуществляющее обработку персональных данных по поручению Оператора в соответствии с законодательством Российской Федерации.
Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119.
При обработке персональных данных в информационных системах Оператора обеспечено:
● проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
● своевременное обнаружение фактов несанкционированного доступа к персональным данным;
● недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
● возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● постоянный контроль за обеспечением уровня защищенности персональных данных.
6.2. Меры по обеспечению безопасности персональных данных
Оператор принимает следующие меры для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами:
1) назначает ответственного за организацию обработки персональных данных;
2) издает документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
4) осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политики и других локальных актов Оператора;
5) осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с Политикими законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Политикой, локальными актами Оператораи по вопросам обработки персональных данных;
6) организует обучение работников Оператора, осуществляющих обработку персональных данных.
6.3. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
● назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
● определяет угрозы безопасности персональных данных при их обработке;
● создает необходимые условия для работы с персональными данными;
● организует учет документов, содержащих персональные данные;
● организует работу с информационными системами, в которых обрабатываются персональные данные;
● хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
● внедряет процедуры мониторинга и аудита, направленные на выявление и устранение уязвимостей в системе защиты данных;
● применяет антивирусное программное обеспечение и регулярно обновляет его;
● применяет межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) для защиты сетей;
● средства защиты среды виртуализации.
6.4. Перечень мероприятий по обеспечению безопасности персональных данных в информационных системах
Мероприятия по обеспечению безопасности ПДн в информационных системах включают в себя:
● разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
● проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
● установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
● учет применяемых средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, эксплуатационной и технической документации к ним, носителей персональных данных;
● учет лиц, допущенных к работе с персональными данными в информационной системе;
● контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
● соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
● восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
● разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
6.5. Осуществление внутреннего контроля
В целях выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных, а также минимизации рисков утечки, несанкционированного доступа, уничтожения, изменения или блокирования персональных данных Оператором обеспечивается проведение внутреннего контроля в соответствии с Планом внутренних проверок состояния защиты персональных данных.
План внутренних проверок состояния защиты персональных данных утверждается приказом единоличного исполнительного органа Оператораи и определяет объекты внутреннего контроля (структурные подразделения, процессы обработки персональных данных, информационные системы персональных данных, документация и т.д.), проверяемый период, срок проведения проверки, ответственных лиц.
Предметом внутреннего контроля является проверка соблюдения Оператором и его работниками законодательства Российской Федерации о защите персональных данных, в том числе требований к защите персональных данных, а также оценка обоснованности и эффективности принятых мер.
Внутренний контроль проводится лицом, ответственным за организацию обработки персональных данных или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
Контроль подразделяется на плановый и внеплановый.
6.5.1. Порядок проведения планового контроля.
Периодичность планового контроля устанавливается не реже одного раза в три года.
Основанием для проведения плановой проверки является приказ единоличного исполнительного органа Оператораи о проведении проверки, в котором указываются цели, сроки, ответственные лица и объекты проверки.
В ходе плановой проверки осуществляется:
• анализ локальных нормативных актов Оператора в области защиты персональных данных на предмет их актуальности и соответствия законодательству Российской Федерации;
• оценка состояния организационных и технических мер по обеспечению безопасности персональных данных (назначение ответственных, разграничение прав доступа, применение средств защиты информации, резервное копирование, обучение сотрудников и т.д.);
• контроль за выполнением требований по получению согласия на обработку персональных данных (при необходимости);
• проверка соблюдения сроков обработки и хранения персональных данных.
6.5.2. Порядок проведения внепланового контроля.
Основаниями для проведения внеплановой проверки могут быть:
• поступление жалобы или обращения Субъекта персональных данных о нарушении его прав или правил обработки персональных данных;
• выявление фактов несанкционированной обработки или утечки персональных данных;
• изменение законодательства Российской Федерации в сфере персональных данных, требующее оперативной оценки соответствия;
• приказ единоличного исполнительного органа Оператораи.
Лицо, ответственное за организацию обработки персональных данных, организует проведение внеплановой проверки в течение 5 рабочих дней с момента возникновения оснований, предусмотренных настоящим пунктом.
Срок проведения внеплановой проверки не может превышать 10 календарных дней.
6.6. Конфиденциальность персональных данных
В соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к конфиденциальной информации.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7. ОБРАЩЕНИЯ
7.1. Порядок рассмотрения запросов от субъектов персональных данных
Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона о персональных данных, за исключением случаев, предусмотренных частью 8 статьи 14 Закона о персональных данных.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
В случае поступления запроса об обработке персональных данных от субъекта ПДн или его представителя необходимо выполнить следующие действия:
7.1.1. Уполномоченный работник Оператора проверяет запрос по требованиям п.3 ст. 14 Закона о персональных данных и при соответствии производит регистрацию документа по инструкции ведения делопроизводства у Оператора.
Затем запрос передается ответственному за обработку персональных данных у Оператора, который должен рассмотреть указанный запрос в установленные Законом о персональных данных сроки.
7.1.2. При получении запроса субъекта персональных данных или его представителя о предоставлении информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставлении возможности ознакомления с этими персональными данными необходимо в течение 10 рабочих дней с даты получения запроса (согласно п. 1 ст. 20 Закона о персональных данных) предоставить информацию и (или) возможность для ознакомления с ПДн субъекта. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Если обработка ПДн субъекта не ведется, то в течение 10 рабочих дней с даты получения запроса (согласно п. 2 ст. 20 Закона о персональных данных) необходимо отправить уведомление об отказе предоставления информации по ПДн. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Форма запроса субъекта персональных данных о наличии и ознакомлении с ПДн приведена в Приложении 2.
7.1.3. При получении запроса субъекта ПДн или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. Форма запроса на уточнение ПДн приведена в Приложении 3, а формы ответов на эти запросы в Приложении 6.
7.1.4. При получении запроса субъекта персональных данных или его представителя на уничтожение ПДн, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно п. 3 ст. 21 Закона о персональных данных) необходимо их уничтожить в срок, не превышающий 7 рабочих дней. Форма запроса на уничтожение ПДн приведена в Приложении 4, а формы ответов на эти запросы в Приложении 6.
7.1.5. При получении запроса на отзыв согласия на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки персональных данных, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно п. 5 ст. 21 Закона о персональных данных), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно п. 5 ст. 21 Закона о персональных данных). Форма запроса на отзыв согласия на обработку ПДн приведена в Приложении 5, а формы ответов на эти запросы в Приложении 8,9.
7.1.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением следующих случаев:
● обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
● обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
● обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
● обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать Политики, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также Политики, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
● обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
● обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц;
● обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
● обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
● осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
● осуществляется обработка специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о персональных данных, обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
7.1.7. При выявлении фактов неточности ПДн при обращении или по запросу субъекта ПДн или его представителя необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно п. 1 ст. 21 Закона о персональных данных). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, необходимо уточнить персональные данные в течение 7 рабочих дней со дня предоставления таких сведений и снять блокирование персональных данных (согласно п. 2 ст. 21 Закона о персональных данных)
7.1.8. При выявлении неправомерной обработки ПДн Оператором при обращении или по запросу субъекта ПДн или его представителя необходимо в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно п. 3 ст. 21 Закона о персональных данных). В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных (согласно п. 3 ст. 21 Закона о персональных данных), обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены Роскомнадзором, также уведомить указанный орган. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложении 10.
7.1.9. При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн (согласно п. 4 ст. 21 Закона о персональных данных), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. Формы уведомления при достижении целей обработки ПДн приведены в Приложении 13, Приложении 14, Приложении 15.
7.1.10. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
7.2. Порядок рассмотрения запросов от уполномоченных органов
7.2.1. Оператор обязан сообщить Уполномоченному органу по защите прав субъектов персональных данных необходимую информацию в течение 10 рабочих дней с момента получения такого запроса (согласно п. 4 статьи 20 Закона о персональных данных).
7.2.2. Действия при выявлении недостоверных персональных данных:
При выявлении недостоверных персональных данных (ПДн) при обращении Уполномоченного органа или по его запросу:
а) Оператор обязан заблокировать соответствующие ПДн с момента такого обращения или получения такого запроса на период проверки (согласно п. 1 статьи 21 Закона о персональных данных).
б) Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн или его законным представителем либо Уполномоченным органом, Оператор обязан в течение 7 рабочих дней с даты представления таких сведений уточнить ПДн и снять их блокирование (согласно п. 2 статьи 21 Закона о персональных данных).
в) Если факт недостоверности ПДн не подтвержден, Оператор обязан снять блокирование ПДн и, при необходимости, направить уведомление Уполномоченному органу и/или субъекту ПДн об отказе в изменении ПДн с обоснованием.
7.2.3. Действия при выявлении неправомерной обработки персональных данных:
При выявлении неправомерных действий с ПДн Оператор при обращении Уполномоченного органа или по его запросу обязан:
а) Прекратить неправомерную обработку персональных данных или обеспечить правомерность их обработки в срок, не превышающий 3 рабочих дней с даты выявления такой неправомерности.
б) Если обеспечить правомерность обработки персональных данных невозможно, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерности (согласно п. 3 статьи 21 Закона о персональных данных).
в) В случае уничтожения ПДн Оператор обязан направить Уполномоченному органу (и при необходимости субъекту ПДн) уведомление об уничтожении ПДн (форма уведомления приведена в Приложении № 10).
7.3. Уведомление об инцидентах (нарушении конфиденциальности персональных данных):
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент), Оператор обязан с момента выявления такого инцидента (Оператором, Уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом) уведомить Уполномоченный орган по защите прав субъектов персональных данных:
а) В течение 24 часов:
- о произошедшем инциденте;
- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
- о предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий соответствующего инцидента;
- предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом.
б) В течение 72 часов:
- о результатах внутреннего расследования выявленного инцидента;
- предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
