Положение об обработке и защите персональных данных

Приложение №1 к Положению «Об обработке и защите персональных данных работников и иных лиц» ООО «Докарус» (скачать)

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Введение

1.1. Настоящее Положение «Об обработке и защите персональных данных работников и иных лиц» ООО «Докарус» (далее «Положение») разработано в соответствии с действующим законодательством Российской Федерации, в т. ч. Конституцией Российской Федерации, главой 14 Трудового Кодекса Российской Федерации «Защита персональных данных работника», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации по обработке и защите персональных данных.

1.2. Настоящее Положение распространяется на работников ООО «Докарус» (далее «Общество») и иных лиц и является обязательным для соблюдения ими. Перечень лиц, на которых распространяется настоящее Положение, указан в п. 17.1-17.2 настоящего Положения.

1.3. Целью настоящего Положения является определение порядка обработки и защиты персональных данных работников Общества и иных лиц для обеспечения защиты их прав и свобод при обработке их персональных данных, в т. ч. защиты их прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Настоящее Положение определяет основополагающие правила, применяемые в Обществе при организации и осуществлении обработки и защиты персональных данных.

1.5. Настоящее Положение является одним из элементов системы локальных нормативных актов Общества в отношении персональных данных и не содержит в себе исчерпывающее описание процедур и мероприятий по вопросам обработки и защиты персональных данных.

1.6. В настоящем Положении используются термины и определения в соответствии с их значениями, закрепленными в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных».

2. Термины и определения

2.1. Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъектами персональных данных согласно настоящему Положению являются работники Общества и иные лица, указанные в п. 17.1-17.2 настоящего Положения.

2.2. Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором согласно настоящему Положению является Общество.

2.3. Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных – это обработка персональных данных с помощью средств вычислительной техники.

2.5. Предоставление персональных данных – это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных – это временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.9. Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

ГЛАВА 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3. Принципы обработки персональных данных в Обществе

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Правовое основание обработки персональных данных в Обществе

4.1. Правовым основанием обработки персональных данных в Обществе является следующее:

4.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

4.1.3. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

4.1.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

4.1.5. Обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4.2. Правовым основанием обработки персональных данных в Обществе в случае необходимости может также являться следующее:

4.2.1. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

4.3. В том случае, если правовым основанием обработки персональных данных является п. 4.1.2-4.1.5 настоящего Положения, согласие субъекта персональных данных на обработку его персональных данных не требуется.

5. Конфиденциальность персональных данных в Обществе

5.1. Общество и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные субъектов персональных данных без их согласия, если иное не предусмотрено федеральным законом.

6. Согласие субъекта персональных данных на обработку его персональных данных

6.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

6.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в п. 4.1.2-4.1.5 настоящего Положения.

6.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в п. 4.1.2-4.1.5 настоящего Положения, возлагается на Общество.

6.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных включает в себя, в частности:

• Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• Наименование и адрес Общества, получающего согласие субъекта персональных данных;
• Цель обработки персональных данных;
• Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
• Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено действующим законодательством;
• Подпись субъекта персональных данных.

6.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

6.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

6.7. Персональные данные могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в п. 4.1.2-4.1.5 настоящего Положения.

7. Трансграничная передача персональных данных в Обществе

7.1. Общество не осуществляет трансграничную передачу персональных данных.

ГЛАВА 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8. Права субъекта персональных данных

8.1. Право субъекта персональных данных на доступ к его персональным данным

8.1.1. Субъект персональных данных имеет право на получение информации, указанной в п. 8.1.7 настоящего Положения, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.1.2. Сведения, указанные в п. 8.1.7 настоящего Положения, предоставляются субъекту персональных данных Обществом в доступной форме и в них не содержится персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.1.3. Сведения, указанные в п. 8.1.7 настоящего Положения, предоставляются субъекту персональных данных или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Общество предоставляет сведения, указанные в п. 8.1.7 настоящего Положения, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

8.1.4. В случае, если сведения, указанные в п. 8.1.7 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 8.1.7 настоящего Положения, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.1.5. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 8.1.7 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 8.1.4 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 8.1.3 настоящего Положения, должен содержать обоснование направления повторного запроса.

8.1.6. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 8.1.4 и п. 8.1.5 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

8.1.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в т. ч. содержащей:

• Подтверждение факта обработки персональных данных Обществом;
• Правовое основание и цели обработки персональных данных;

• Применяемые Обществом способы обработки персональных данных;

• Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• Сроки обработки персональных данных, в т. ч. сроки их хранения;

• Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;

• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• Информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;

• Иные сведения, предусмотренные данным Федеральным законом или другими федеральными законами.

8.2. Права субъекта персональных данных при принятии Обществом решений на основании исключительно автоматизированной обработки его персональных данных

8.2.1. Обществом не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 8.2.2 настоящего Положения.

8.2.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

8.2.3. Общество разъясняет субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляет возможность заявить возражение против такого решения, а также разъясняет порядок защиты субъектом персональных данных своих прав и законных интересов.

8.2.4. Общество рассматривает вышеуказанное возражение в течение 30 (тридцати) дней со дня его получения и уведомляет субъекта персональных данных о результатах рассмотрения такого возражения.

8.3. Права субъекта персональных данных на обжалование действий или бездействий Общества

8.3.1. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2007 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.3.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в т. ч. на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

ГЛАВА 4. ОБЯЗАННОСТИ ОБЩЕСТВА

9. Обязанности Общества при сборе персональных данных

9.1. При сборе персональных данных Общество предоставляет субъекту персональных данных по его просьбе информацию, предусмотренную п. 8.1.7 настоящего Положения.

9.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

9.3. Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных п. 9.4 настоящего Положения, до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

• Наименование и адрес Общества;

• Цель обработки персональных данных и ее правовое основание;

• Перечень персональных данных;

• Предполагаемые пользователи персональных данных;

• Установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» права субъекта персональных данных;

• Источник получения персональных данных.

9.4. Общество освобождается от обязанности предоставить субъекту персональных вышеуказанную информацию в случаях, если:

• Субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом;
• Персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Предоставление субъекту персональных данных сведений, предусмотренных п. 9.3 настоящего Положения, нарушает права и законные интересы третьих лиц.

9.5. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети "Интернет", Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

10. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»

10.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.06.2006 «152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Общество самостоятельно определяет состав и перечень этих мер. Так, Общество принимает следующие меры:

Назначается лицо, ответственное за организацию обработки персональных данных;
Издаются и пересматриваются с целью актуализации следующие локальные нормативные акты:

Локальные нормативные акты по вопросам обработки персональных данных, включая Политику «Об организации обработки и защиты персональных данных субъектов персональных данных» (Политика конфиденциальности), настоящее Положение и иные документы. В «Карте обрабатываемых персональных данных в Обществе», являющейся Приложением №1 к настоящему Положению, определены цели обработки персональных данных и для каждой цели зафиксированы следующие показатели обрабатываемых персональных данных:

• Правовое основание обработки персональных данных;
• Категории субъектов, чьи персональные данные обрабатываются;
• Категории и перечень обрабатываемых персональных данных;
• Перечень действий с персональными данными;
• Способы обработки персональных данных;
• Сроки обработки (в т. ч. хранения) персональных данных.

Все работники Общества знакомятся под роспись с Политикой конфиденциальности и настоящим Положением.

Локальные нормативные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, а также на устранение последствий таких нарушений.

Вышеуказанные локальные нормативные акты не содержат положения, ограничивающие права субъектов персональных данных, а также возлагающие на Общество не предусмотренные законодательством Российской Федерации полномочия и обязанности.

• Применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных, описанные в разделе 11 настоящего Положения;
• Осуществляется внутренний контроль и аудит соответствия обработки персональных данных данному Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике конфиденциальности, настоящему Положению и иным локальным нормативным актам Общества в отношении персональных данных;
• Производится оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения данного Федерального закона. Производится оценка соотношения указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;
• Производится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в т. ч. требованиями к защите персональных данных, с Политикой конфиденциальности, с настоящим Положением, с иными локальными нормативными актами Общества по вопросам обработки персональных данных. Производится обучение указанных работников.
• На сервере Общества в общем доступе для всех работников Общества, имеющим доступ к серверу, публикуется Политика конфиденциальности и настоящее Положение с целью обеспечения неограниченного доступа к ним.

С этой же целью для работников Общества, не имеющим доступа к серверу, Политика конфиденциальности и данное Положение размещаются в местах общего пользования, в т. ч. на информационных стендах.

С этой же целью Политика конфиденциальности ООО «Докарус» публикуется на сайте компании «Докарус» https://dokarus.com в информационно-телекоммуникационной сети «Интернет». Обеспечена возможность доступа к Политике конфиденциальности с использованием средств соответствующей информационно-телекоммуникационной сети.

11. Меры, принимаемые Обществом, по обеспечению безопасности персональных данных при их обработке

11.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.2. Обеспечение безопасности персональных данных достигается в Обществе следующим путем:

• Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и систем, связанных с обработкой персональных данных;
• Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных;
• Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в т. ч. мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• Контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

12. Обязанности Общества при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

12.1. Общество в порядке, предусмотренном разделом 8.1 настоящего Положения, сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Общество дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12.3. Общество предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные. Общество уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

12.4. Общество сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

13. Обязанности Общества по устранению нарушений законодательства при обработке персональных данных в случае их допущения, по уточнению, блокированию и уничтожению персональных данных

13.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

13.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

13.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя. В случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган.

13.4. В случае установления факта неправомерной или случайной передачи (предоставления, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

В течение 24 (двадцати четырех) часов:

• О произошедшем инциденте;
• О предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
• О предполагаемом вреде, нанесенном правам субъектов персональных данных;
• О принятых мерах по устранению последствий соответствующего инцидента;

а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом, – лице, ответственным за организацию обработку персональных данных в Обществе;

В течение 72 (семидесяти двух) часов:

• О результатах внутреннего расследования выявленного инцидента;

а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

13.5. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2007 №152-ФЗ «О персональных данных» или другими федеральными законами.

13.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

13.7. В случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество в срок, не превышающий 10 (десяти) рабочих дней с даты получения Обществом соответствующего требования, прекращает их обработку за исключением случаев, предусмотренных п. 4.1.2-4.1.5 настоящего Положения. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

13.8. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 13.3-13.7 настоящего Положения, Общество осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

13.9. Подтверждение уничтожения персональных данных в случаях, предусмотренных данным разделом настоящего Положения, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

14. Лицо, ответственное за организацию обработки персональных данных

14.1. Общество назначает лицо, ответственное за организацию обработки персональных данных. Таким лицом является Финансовый Директор ООО «Докарус».

14.2. Лицо, ответственное за организацию обработки персональных данных, получает указания от Генерального директора Общества или его заместителя и подотчетно ему.

14.3. Лицо, ответственное за организацию обработки персональных данных, в частности:

• Осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о персональных данных, в т. ч. требований к защите персональных данных;
• Доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных нормативных актов Общества по вопросам обработки персональных данных, требований к защите персональных данных;
• Организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществляет контроль за приемом и обработкой таких обращений и запросов.

ГЛАВА 5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ

15. Карта обрабатываемых персональных данных в Обществе

15.1. В «Карте обрабатываемых персональных данных», являющейся Приложением №1 к настоящему Положению, определены цели обработки персональных данных и для каждой цели зафиксированы следующие показатели обрабатываемых персональных данных:

• Правовое основание обработки персональных данных;
• Категории субъектов, чьи персональные данные обрабатываются
• Категории и перечень обрабатываемых персональных данных;
• Перечень действий с персональными данными;
• Способы обработки персональных данных;
• Сроки обработки (в т. ч. хранения) персональных данных.

16. Общее описание показателей обрабатываемых персональных данных в Обществе

16.1. Категории субъектов персональных данных Общества общим списком описываются в разделе 17 настоящего Положения.

16.2. Цели обработки персональных данных в Обществе общим списком описываются в разделе 18 настоящего Положения.

16.3. Правовое основание обработки персональных данных в Обществе общим списком описывается в п. 4.1.2-4.1.5, п. 4.2.1 настоящего Положения.

16.4. Категории и перечень обрабатываемых персональных данных в Обществе общим списком описываются в разделе 19 настоящего Положения.

16.5. Перечень действий с персональными данными в Обществе общим списком описывается в разделе 20 настоящего Положения.

16.6. Способы обработки персональных данных в Обществе общим списком описываются в разделе 21 настоящего Положения.

16.7. Сроки обработки (в т. ч. хранения) персональных данных описываются в разделе 22 настоящего Положения. Конкретные сроки хранения определяются отдельным локальным нормативным актом Общества.

17. Категории субъектов персональных данных Общества

17.1. К субъектам персональных данных, чьи персональные данные обрабатываются в Обществе, относятся:

• Соискатели
• Работники;
• Уволенные работники;
• Выгодоприобретатели по договорам;
• Взыскатели по исполнительным документам;
• Контрагенты;
• Представители контрагентов;

· Посетители сайта компании «Докарус» https://dokarus.com в информационно-телекоммуникационной сети «Интернет» в рамках рассмотрения их обращений, направленных посредством сайта компании (для подачи обращения требуется заполнение на сайте краткой анкеты с персональными данными).

17.2. Также субъектами персональных данных могут быть иные лица, персональные данные которых Общество может обрабатывать в соответствии с действующим законодательством Российской Федерации.

18. Цели обработки персональных данных в Обществе

18.1. В соответствии с п. 3.2 настоящего Положения цели обработки персональных данных работников и иных лиц являются конкретными, заранее определенными и законными.

18.2. Персональные данные обрабатываются в Обществе первостепенно для обеспечения соблюдения действующего, в т. ч. трудового, законодательства Российской Федерации в рамках трудовых и иных непосредственно связанных с ними отношений.

18.3. К целям относятся:

• Подбор персонала (соискателей) на вакантные должности;
• Ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового, налогового и пенсионного законодательства;
• Дополнительное страхование;
• Исполнение судебного акта;
• Подготовка, заключение и исполнение гражданско-правовых договоров;
• Содействие работникам в обучении;
• Взаимодействие с посетителями сайта компании «Докарус» https://dokarus.com в информационно-телекоммуникационной сети «Интернет» в рамках рассмотрения их обращений, направленных посредством сайта компании (для подачи обращения требуется заполнение на сайте краткой анкеты с персональными данными).

18.4. Также к целям может относиться исполнение иных обязательств, предусмотренных действующим законодательством Российской Федерации.

19. Категории и перечень обрабатываемых персональных данных в Обществе

19.1. В соответствии с целями обработки персональных данных в Обществе обрабатываются следующие персональные данные работников и иных лиц:

• Общие категории персональных данных:
• Фамилия, имя, отчество;
• Дата рождения;
• Место рождения;
• Арес регистрации;
• Адрес места жительства;
• Номер телефона;
• Адрес электронной почты;
• Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации)
• Сведения об образовании;
• СНИЛС;
• ИНН;
• Гражданство;
• Данные документа, содержащиеся в свидетельстве о рождении;
• Реквизиты банковской карты;
• Должность;
• Отношение к воинской обязанности;
• Сведения о воинском учете;
• Сведения об образовании;
• Данные водительского удостоверения;
• Иные данные, обработка которых предусмотрена действующим законодательством Российской Федерации.

19.2. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, данных о судимости.

19.3. Общество не осуществляет обработку сведений, которые характеризируют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных.

20. Перечень действий с персональными данными в Обществе

20.1. Обработка персональных данных работников и иных лиц в Обществе осуществляется путем следующих действий с персональными данными:

• Сбор;
• Запись;
• Систематизация;
• Накопление;
• Хранение;
• Уточнение (обновление, изменение);
• Извлечение;
• Использование;
• Передача (предоставление, доступ);
• Блокирование,
• Удаление:
• Уничтожение.

21. Способы обработки персональных данных в Обществе

21.1. В Обществе применяются следующие способы обработки персональных данных работников и иных лиц:

• Смешанная обработка персональных данных (автоматизированная и неавтоматизированная) с передачей по внутренней сети Общества и с передачей по сети «Интернет».

22. Сроки обработки (в т. ч. хранения) персональных данных в Обществе

22.1. Общество прекращает обработку персональных данных в следующих случаях:

• Достижение целей обработки персональных данных и (или) достижение максимальных сроков хранения персональных данных;
• Утрата необходимости в достижении целей обработки персональных данных;
• Выявление факта, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели их обработки;
• Невозможность обеспечения правомерности обработки персональных данных;
• Отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• Требование субъекта персональных данных о прекращении Оператором обработки его персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;
• Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• Ликвидация или некоторые формы реорганизации Общества.

23. Сбор персональных данных в Обществе

23.1. В соответствии с п. 3.2 настоящего Положения обработка персональных данных в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

23.2. При сборе персональных данных Общество предоставляет субъекту персональных данных по его просьбе информацию, предусмотренную п. 8.1.7 настоящего Положения.

23.3. При сборе персональных данных до их получения в случаях, определенных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», осуществляется сбор согласий субъектов персональных данных на обработку их персональных данных.

23.4. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку в соответствии с п. 9.2 настоящего Положения.

23.5. Общество получает персональные данные непосредственно от самого субъекта персональных данных.

23.6. В том случае, если получить персональные данные непосредственно от самого субъекта персональных данных не представляется возможным, то возможно получение персональных данных из следующих источников:

• От третьей стороны в целях исполнения договорных обязательств или исполнения требований нормативных правовых актов Российской Федерации;
• Из общедоступных и (или) открытых источников информации.

23.7. Если персональные данные получены не от субъекта персональных данных (от другого субъекта персональных данных в целях реализации его законных прав или от третьей стороны в целях исполнения договорных обязательств или исполнения требований нормативных правовых актов Российской Федерации), Общество до начала обработки персональных данных предоставляет субъекту персональных данных информацию в соответствии с п. п. 9.3 настоящего Положения.

23.8. Общество освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 9.3 настоящего Положения, в случаях, предусмотренных п. 9.4 настоящего Положения.

23.9. Сведения, перечисленные в п. 9.2 и п. 9.3 настоящего Положения, могут предоставляться субъекту персональных данных в устной форме или направляться в виде информационного письма, составленного в произвольной форме на бумажном носителе и подписанного лицом, ответственным за организацию обработки персональных данных в Обществе.

23.10. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети "Интернет", Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с п. 9.5 настоящего Положения.

24. Запись, систематизация и накопление персональных данных в Обществе

24.1. Общество осуществляет запись, систематизацию и накопление полученных персональных данных в базах данных с использованием автоматизированных систем и программного обеспечения, а также на бумажных носителях.

24.2. Ввод персональных данных в Информационные системы персональных данных осуществляется работниками Общества, имеющими доступ к работе с персональными данными.

24.3. Работники, осуществляющие ввод и обработку персональных данных, несут ответственность за точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных в соответствии с п. 3.6 настоящего Положения.

24.4. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети "Интернет", Общество обеспечивает запись, систематизацию, накопление персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с п. 9.5 настоящего Положения.

25. Хранение персональных данных в Обществе

25.1. Согласно п. 3.7 настоящего Положения хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

25.2. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены действующим законодательством об архивном деле в Российской Федерации.

На дату вступления в силу настоящего Положения к нему относятся:

• Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»
• «Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденный Приказом Росархива от 20.12.2019 № 236.

25.3. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

25.4. В Обществе обеспечивается раздельное хранение персональных данных при разных целях их обработки.

25.5. Бумажные носители персональных данных и съемные машинные носители персональных данных хранятся в сейфах, шкафах или ящиках, запираемых на ключ, в помещениях, занимаемых лицами, которые осуществляют обработку персональных данных. Допускается размещать носители персональных данных на столах и открытых стеллажах во время работы с ними, при этом доступ посторонним лицам в помещение в эти периоды должен быть ограничен или исключен.

25.6. Во время работы на столе, открытых стеллажах должны находиться только те носители персональных данных, непосредственно с которыми ведется работа.

25.7. По окончании работы с носителями персональных данных они должны быть убраны в сейф, шкаф или ящик, запираемый на ключ.

25.8. Носители персональных данных ограничиваются от возможности свободного к ним доступа в следующих случаях:

• С носителем персональных данных не ведется работа;
• При покидании работником его рабочего места;
• По окончании рабочего дня.

25.9. Работники Общества, имеющие доступ к персональным данным, обязаны обеспечивать хранение информации, содержащей персональные данные, исключающее неправомерный или случайный доступ к ним.

25.10. Ответственность за соблюдение норм, описанных в вышеуказанных пунктах данного раздела настоящего Положения, возлагается на работников, допущенных к работе с персональными данными.

25.11. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети "Интернет", Общество обеспечивает хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с п. 9.5 настоящего Положения.

26. Использование, извлечение и уточнение (обновление, изменение) персональных данных в Обществе

26.1. Персональные данные в Обществе используются исключительно для достижения целей, предусмотренных разделом 18 настоящего Положения.

26.2. В Обществе в соответствии с п. 8.2.1 настоящего Положения не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

26.3. При использовании персональных данных допускается:

• Извлечение персональных данных из баз данных;
• Формирование документов (как в электронном виде, так и на бумажных носителях), содержащих персональные данные;
• Передача таких документов внутри Общества между работниками, допущенными к обработке персональных данных, а также третьим лицам (при соблюдении соответствующих требований к передаче персональных данных третьим лицам).

26.4. Субъект персональных данных обязан предоставлять Обществу достоверные персональные данные и своевременно уведомлять Общество об их изменении – в срок не позднее 3 (трех) дней с даты их изменения.

26.5. В соответствии с п. 3.6 настоящего Положения при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по уточнению неполных или неточных данных.

26.6. В соответствии с п. 8.1.1 настоящего Положения субъект персональных данных вправе требовать от Общества уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными.

26.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу либо по запросу уполномоченного органа по защите прав субъектов персональных данных, а также в случае подтверждения факта неточности персональных данных Общество уточняет эти персональные данные в соответствии с п. 13.1-13.2 настоящего Положения.

26.8. В случае, если неточные персональные данные были выявлены работниками Общества самостоятельно при осуществлении доступа к этим персональным данным (например, обнаружены ошибки и опечатки, допущенные при вводе персональных данных), внесение необходимых изменений и уточнение персональных данных осуществляется в рабочем порядке.

26.9. В соответствии с п. 11.1 настоящего Положения Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного изменения персональных данных.

26.10. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети "Интернет", Общество обеспечивает уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с п. 9.5 настоящего Положения.

27. Передача (предоставление, доступ) персональных данных в Обществе

27.1. Передача персональных данных внутри Общества может осуществляться посредством использования корпоративной сети – по корпоративной электронной почте, а также с использованием бумажных носителей персональных данных.

27.2. При необходимости передачи персональных данных внутри Общества другим работникам для исполнения ими их трудовых обязанностей допускается осуществлять передачу персональных данных только тем работникам, которые имеют доступ к обработке персональных данных, и только в том объеме, в которой это необходимо в рамках исполнения ими их трудовых обязанностей.

27.3. Общество в ходе своей деятельности имеет право осуществлять передачу персональных данных третьим лицам в соответствии с законодательством Российской Федерации о персональных данных в целях обеспечения своей деятельности, исполнения требований действующего законодательства Российской Федерации, а также исполнения договорных обязательств перед субъектами персональных данных.

27.4. Персональные данные субъекта персональных данных могут быть предоставлены его законному представителю в установленном действующим законодательством Российской Федерации порядке при предоставлении документов, подтверждающих полномочия представителя.

27.5. В случае установления факта неправомерной или случайной передачи (предоставления, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном п. 13.4 настоящего Положения.

27.6. В соответствии с п. 11.1 настоящего Положения Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, предоставления персональных данных.

27.7. В соответствии с п. 5.1 настоящего Положения Общество и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

28. Блокирование персональных данных в Обществе

28.1. В соответствии с п. 8.1.1 настоящего Положения субъект персональных данных вправе требовать от Общества блокирования его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

28.2. В случае выявления неправомерной обработки персональных данных или неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование этих персональных данных в соответствии c п. 13.1 настоящего Положения.

28.3. В случае отсутствия возможности уничтожения персональных данных согласно п. 13.3-13.7 настоящего Положения Общество осуществляет блокирование таких персональных данных в соответствии с п. 13.8 настоящего Положения

28.4. В соответствии с п. 11.1 настоящего Положения Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от их неправомерного или случайного блокирования.

28.5. Уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от Общества блокирования недостоверных или полученных незаконным путем персональных данных.

29. Удаление и уничтожение персональных данных в Обществе

29.1. В соответствии с п. 3.6 настоящего Положения Общество принимает необходимые меры либо обеспечивает их принятие по удалению неполных или неточных персональных данных.

29.2. В соответствии с п. 3.7 настоящего Положения обрабатываемые персональные данные в Обществе подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

29.3. В соответствии с п. 13.5 настоящего Положения в случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.

29.4. В соответствии с п. 8.1.1 настоящего Положения субъект персональных данных вправе требовать от Общества уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

29.5. В соответствии с п. 12.3 настоящего Положения в срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, относящиеся к данному субъекту персональных данных, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные.

29.6. В соответствии с п. 13.3 настоящего Положения при выявлении неправомерной обработки персональных данных, если обеспечить правомерность обработки таких персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.

29.7. В соответствии с п. 13.6 настоящего Положения в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные.

29.8. В соответствии с п. 13.8 настоящего Положения в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 13.3-13.7 настоящего Положения, Общество обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

29.9. Уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от Общества уничтожения недостоверных или полученных незаконным путем персональных данных.

29.10. В соответствии с п. 11.1 настоящего Положения Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от их неправомерного или случайного уничтожения.

29.11. Отбор материальных носителей (бумажных носителей, а также в случае наличия жестких дисков, флеш-накопителей и т. д.), а также сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют работники Общества, осуществляющие обработку персональных данных.

29.12. Уничтожение персональных данных организуется комиссией, которая создается приказом Генерального директора Общества или его заместителя.

29.13. Уничтожение бумажных носителей персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров). В кабинете отдела персонала имеется отдельный шредер.

29.14. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных и определяется отдельным локальным нормативном актом Общества.

30. Обработка персональных данных третьими лицами по поручению Оператора

30.1. В соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Общество при необходимости может поручать обработку персональных данных субъекта персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее «по поручению Оператора»). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные данным Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом. В поручении Оператор указывает перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 данного Федерального закона, обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в т. ч. до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 данного Федерального закона, обязанность обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 данного Федерального закона, в т. ч. требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 данного Федерального закона.

30.2. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

30.3. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

30.4. В случае, если Оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Оператор и лицо, осуществляющее обработку персональных данных по поручению Оператора.

31. Информационные системы персональных данных в Обществе

31.1. Исходя из структуры корпоративной компьютерной сети, потоков информации и используемых автоматизированных систем для обработки персональных данных, в Обществе выделяются Информационные системы персональных данных.

31.2. Перечень Информационных систем персональных данных Общества определяется отдельным локальным нормативным актом Общества.

32. Допуск должностных лиц к обработке персональных данных в Обществе

32.1. Перечень должностей работников Общества, допущенных к обработке персональных данных, устанавливается отдельным локальным нормативным актом Общества.

32.2. Все работники Общества согласно данному перечню при приеме на работу или при переводе на соответствующую должность подписывают обязательство о неразглашении персональных данных.

33. Порядок обработки персональных данных в Обществе, осуществляемой без использования средств автоматизации

33.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

33.2. Порядок обработки персональных данных в Обществе, осуществляемой без использования средств автоматизации, устанавливается в соответствии с действующим законодательством Российской Федерации и определяется отдельным локальным нормативным актом Общества.

ГЛАВА 6. КОНТРОЛЬ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

34. Уполномоченный орган по защите прав субъектов персональных данных

34.1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

35. Внутренний контроль в Обществе

35.1. Внутренний контроль за выполнением в Обществе установленных настоящим Положением требований осуществляется лицом, ответственным за организацию обработки персональных данных.

36. Ответственность

36.1. Лица, виновные в нарушении законодательства Российской Федерации в области обработки и защиты персональных данных несут материальную, дисциплинарную, гражданско-правовую, административную и уголовную ответственность, предусмотренную действующим законодательством Российской Федерации.

ГЛАВА 7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

37. Заключительные положения

37.1. Настоящее Положение действует до принятия нового Положения или отмены настоящего Положения.

37.2. Общество оставляет за собой право вносить изменения в настоящее Положение. В соответствии с внутренними правилами Общества настоящее Положение пересматривается на предмет его актуальности по мере необходимости, но не реже 1 (одного) раза в год с даты вступления в силу его последней редакции. По итогам пересмотра в случае выявления необходимости внесения изменений Общество вносит в него соответствующие изменения. Изменения вносятся путем издания новой редакции Положения или путем издания Приказа о внесения в него изменений.