Общие положения
Политика в отношении обработки персональных данных Общества с ограниченной ответственностью «Организация качества» (далее – Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО «Организация качества» (далее – Оператор).
Настоящая Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Основные понятия, используемые в настоящей Политике:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
Оператор персональных данных (Оператор) – Общество с ограниченной ответственностью «Организация качества» (ИНН 3327135890, ОГРН 1173328001307), которое в соответствии с требованиями законодательства Российской Федерации и настоящей Политикой самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Субъект персональных данных – физическое лицо, которому принадлежат персональные данные и по которым его можно идентифицировать.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Удаление персональных данных – действия, в результате которых персональные данные удаляются из информационной системы персональных данных с возможностью восстановления.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – совокупность условий, обязательных для соблюдения со стороны Оператора, в целях обеспечения сохранности персональных данных и недопущение их раскрытия и/или передачи и/или распространения среди третьих лиц без согласия Субъектов персональных данных.
Официальный сайт Оператора, Сайт - https://itqc.ru/, правообладателем которого является Оператор.
Права и обязанности Субъекта персональных данных:
Субъект персональных данных в соответствии с ч. 7 ст. 14 Закона о персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы Обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Законом о персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Закона о персональных данных;
- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
Указанные сведения предоставляются Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Срок предоставления сведений об обработке персональных данных – 10 рабочих дней с момента обращения Субъекта персональных данных (его представителя) или получения Оператором запроса Субъекта или его представителя (кроме случаев, когда указанный срок может быть продлен в соответствии с положениями Закона о персональных данных).
Субъект персональных данных вправе обратиться к Оператору с повторным запросом.
Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, включая, но не ограничиваясь этим, случаи, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, и др.
Порядок ответа Оператора на обращение/запрос детализирован в разделе 6 настоящей Политики.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Регламенты актуализации (уточнения), изменения, удаления, уничтожения и случаи блокирования персональных данных содержатся в разделе 6 настоящей Политики.
Субъект персональных данных вправе требовать от Оператора немедленного прекращения обработки его персональных данных, осуществляемой в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи в случаях, когда Субъектом персональных данных не давалось предварительного согласия на обработку персональных данных с названной целью.
В случае осуществления обработки персональных данных с нарушением действующего законодательства Субъект персональных данных имеет право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных осуществляет иные права и исполняет иные обязанности, предусмотренные настоящей Политикой, а также законодательством Российской Федерации.
Права и обязанности Оператора:
Если в соответствии с законодательством Российской Федерации предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
При сборе персональных данных Оператор обязан предоставить Субъекту персональных данных по его просьбе, обращению или запросу (в том числе повторных) информацию, предусмотренную п. 1.4.1 настоящей Политики.
Оператор персональных данных вправе отказать Субъекту персональных данных в выполнении повторного запроса, если запрашиваемые данные были предоставлены ему в полном объеме по результатам первого запроса и/или если с момента направления первого запроса прошло менее 30 дней (если более короткий срок не предусмотрен законом или иным нормативным правовым актом или договором, стороной которого или выгодоприобретателем по которому является Субъект персональных данных).
Если персональные данные получены не от Субъекта персональных данных, Оператор, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные Законом о персональных данных права субъекта персональных данных;
- источник получения персональных данных.
Оператор освобождается от обязанности предоставить Субъекту персональных данных сведения, предусмотренные настоящим пунктом, в случаях, если:
- Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- обработка персональных данных, разрешенных Субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Законом о персональных данных;
этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление Субъекту персональных данных сведений, предусмотренных настоящим пунктом, нарушает права и законные интересы третьих лиц.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Оператор настоящим сообщает, что база данных, в которой хранятся и иным образом обрабатываются персональные данные Субъектов, расположена на территории Российской Федерации, трансграничная передача персональных данных Субъектов не осуществляется.
Оператор персональных данных осуществляет иные права и исполняет иные обязанности, предусмотренные настоящей Политикой, а также законодательством Российской Федерации.
Цели сбора персональных данных
Обработка персональных данных в соответствии с настоящей Политикой ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
В зависимости от категории Субъектов, Оператор осуществляет обработку персональных данных в следующих целях:
Цели обработки персональных данных работников Оператора, бывших работников, их членов семьи и родственников, соискателей на замещение вакантных должностей:
- соблюдение норм Трудового кодекса Российской Федерации и иных нормативных правовых актов, содержащих нормы трудового права;
- соблюдение норм налогового законодательства Российской Федерации;
- проведение собеседований и заключение трудовых договоров и исполнение обязательств, предусмотренных трудовыми договорами, регулирования трудовых отношений и иных непосредственно связанных с ними отношений, формирования кадрового резерва;
- отражение информации в кадровых документах;
- начисление и выплата заработной платы;
- исчисление и уплата предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное, медицинское и пенсионное страхование;
- представление работодателем (Оператором) установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в СФР, сведений подоходного налога в ФНС России;
- ведение воинского учета;
- предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
- предоставление сведений третьим лицам для оформления полиса ДМС;
- перечисление страховых взносов в негосударственные пенсионные фонды;
- предоставление налоговых вычетов, льгот и компенсаций, предусмотренных законодательством РФ;
- обеспечение пропускного режима на территорию Оператора;
- обеспечение безопасности работников;
- контроль количества и качества выполняемой работы;
- обеспечение обучения работников Оператора;
- обеспечение сохранности имущества Оператора.
Цели обработки персональных учредителей (участников) Оператора, единоличных органов управления и членов коллегиальных органов управления:
- соблюдение требований Гражданского кодекса Российской Федерации, Федерального закона от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью» и иных нормативных правовых актов, регулирующих корпоративные и иные подвиды гражданско-правовых отношений, связанных с участием гражданина в корпорации и управлении ею;
- соблюдения норм налогового законодательства Российской Федерации;
- осуществление участниками Оператора своих прав по управлению корпорацией и извлечению прибыли из ее деятельности;
- осуществление лицами, являющимися органами управления или членами органов управления, своих полномочий, предусмотренных учредительными документами Оператора и законодательством Российской Федерации.
Цели обработки персональных данных контрагентов Оператора – физических лиц, а также работников и иных представителей контрагентов Оператора:
- осуществление видов деятельности, предусмотренных учредительными документами Оператора;
- заключение договоров и исполнение обязательств по договорам с контрагентами;
- проведение переговоров и встреч с контрагентами, их работниками и представителями;
- разрешение споров и разногласий, возникающих из договоров, заключенных с контрагентами;
- регистрации на Официальном Сайте Оператора;
- предоставления информации о продуктах и услугах, реализуемых Оператором, включая но не ограничиваясь этим, рекламно-информационную рассылку на электронную почту, в мессенджеры, телефонные звонки, смс-сообщения и др.;
Цели обработки персональных данных иных лиц:
- регистрации на Официальном Сайте Оператора;
- предоставление пробного доступа к продуктам Оператора;
- предоставления информации о продуктах и услугах, реализуемых Оператором, включая но не ограничиваясь этим, рекламно-информационную рассылку на электронную почту, в мессенджеры, телефонные звонки, смс-сообщения и др.;
- ведение переговоров и встреч в целях последующего вступления в договорные отношения.
Правовые основания обработки персональных данных
К правовым основаниям обработки персональных данных, в зависимости от категории субъектов персональных данных, относятся:
В отношении работников, бывших работников Оператора, членов семьи и родственников работников, а также соискателей на замещение вакантных должностей:
- Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования», Федеральный закон от 16.07.01999 г. № 165-ФЗ «Об основах обязательного социального страхования», Федеральный закон от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством», Федеральный закон от 24.07.1998 г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» и иные нормативные правовые акты, регулирующие трудовые отношения и непосредственно связанные с ними отношения;
- учредительные документы Оператора;
- трудовые договоры, заключенные с работниками Оператора;
- согласия на обработку персональных данных, подписанные работниками Оператора при приеме на работу.
В отношении учредителей (участников) Оператора, единоличных органов управления и членов коллегиальных органов управления:
- Гражданский кодекс Российской Федерации, Федерального закона от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Налоговый кодекс Российской Федерации и иные нормативные правовые акты;
- учредительные документы Оператора;
- согласия на обработку персональных данных.
В отношении контрагентов Оператора – физических лиц, а также работников и иных представителей контрагентов Оператора:
- Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации и иные нормативные правовые акты;
- учредительные документы Оператора;
- согласия на обработку персональных данных.
В отношении иных лиц:
- согласия на обработку персональных данных;
- нормативные правовые акты, регулирующие те виды отношений, в которые вступают иные лица с Оператором.
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
К категориям Субъектов, персональные данные которых обрабатывает Оператор, относятся:
Работники Оператора, а также бывшие работники, соискатели на замещение вакантных должностей и родственники работников.
Учредители (участники) Оператора, единоличных органов управления и членов коллегиальных органов управления.
Контрагенты Оператора – физические лица, а также работники и иные представители контрагентов Оператора.
Иные лица.
В соответствии с заявленными в настоящей Политике целями обработки данных Оператор осуществляет обработку следующих персональных данных:
В рамках категории работников и бывших работников:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения, гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, ID (при наличии) и др.);
- СНИЛС;
- ИНН;
- данные полиса ДМС, патента или разрешения на работу, разрешения на временное проживание или визы, миграционной карты, уведомления о прибытии (для иностранных граждан);
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, ученой степени, ученом звании;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством, в том числе с указанием фамилии, имени, отчества каждого члена семьи, даты рождения;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- реквизиты банковского счета;
- сведения медицинского характера, состояние здоровья (в той мере, в которой это необходимо для выполнения трудовой функции, включая, но не ограничиваясь этим, для определения, является ли определенная работа противопоказанной по состоянию здоровья конкретному работнику, для начисления и оплаты пособия по временной нетрудоспособности, для предоставления гарантий и компенсаций беременным работницам и иным работникам и др.);
- информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности у Оператора;
- сведения о доходах у Оператора;
- сведения о деловых и иных личных качествах, носящих оценочный характер.
В рамках категории соискателей на замещение вакантных должностей:
- фамилия, имя, отчество;
- пол, возраст;
- гражданство;
- номер телефона (домашний, мобильный), адрес электронной почты;
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, ученой степени, ученом звании;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- сведения о деловых и иных личных качествах, носящих оценочный характер;
- сведения медицинского характера, состояние здоровья (в той мере, в которой это необходимо для выполнения трудовой функции по вакантной должности, включая, но не ограничиваясь этим, для определения, является ли определенная работа противопоказанной по состоянию здоровья конкретному соискателю и др.).
В рамках категории родственники работников:
- фамилия, имя, отчество;
- пол, возраст (для предоставления налоговых вычетов, льгот, гарантий и компенсаций в связи с наличием у работника детей, нетрудоспособных иждивенцев);
- дата рождения, гражданство (для предоставления налоговых вычетов, льгот, гарантий и компенсаций в связи с наличием у работника детей, нетрудоспособных иждивенцев);
- номер телефона (домашний, мобильный) (для сообщения о возможных несчастных случаях на производстве);
- сведения медицинского характера, состояние здоровья, наличие/отсутствие инвалидности (для предоставления гарантий и компенсаций, предусмотренных трудовым законодательством, налоговых вычетов и иных льгот).
В рамках категории учредителей (участников) Оператора, единоличных органов управления и членов коллегиальных органов управления:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения, гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, ID (при наличии) и др.);
- СНИЛС;
- ИНН;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- реквизиты банковского счета.
В рамках категории контрагентов Оператора – физических лиц, а также работников и иных представителей контрагентов Оператора;
- фамилия, имя, отчество;
- пол;
- дата и место рождения, гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, ID (при наличии) и др.);
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- сведения об образовании, квалификации, стаже работы.
Иные лица:
- фамилия, имя, отчество;
- номер телефона (домашний, мобильный), адрес электронной почты.
Оператор не обрабатывает биометрические персональные Субъектов, а также специальные категории персональных данных (за исключением данных о состоянии здоровья в случаях, указанных в настоящем разделе).
Порядок и условия обработки персональных данных
Оператор обрабатывает персональные данные на законной и справедливой основе с соблюдением требований о конфиденциальности персональных данных в соответствии со ст. 7 Закона о персональных данных.
Оператор получает персональные данные непосредственно у Субъектов персональных данных.
Получение персональных данных Субъектов у третьих лиц допускается исключительно с письменного согласия самого Субъекта.
Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
Передача персональных данных третьим лицам осуществляется исключительно с согласия Субъекта персональных данных способами, обеспечивающими конфиденциальность персональных данных, за исключением случаев, предусмотренных Законом о персональных данных.
Оператор вправе поручить обработку персональных данных третьему лицу с согласия Субъекта персональных данных, на основании заключаемого с этим лицом договора (далее – Поручение Оператора). Такое лицо обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые правовые, организационные и технические меры по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий. В Поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18, ст. 18.1 Закона о персональных данных, обязанность по запросу Оператора в течение срока действия Поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в соответствии с настоящим пунктом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных.
Оператор не осуществляет трансграничную передачу персональных данных.
База данных (сервер), в которой хранятся и иным образом обрабатываются персональные данные Субъектов, расположена на территории Российской Федерации. Хранение персональных данных Субъектов в базах данных, расположенных за пределами территории Российской Федерации, не осуществляется.
Оператор при обработке персональных данных применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий, а именно:
Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
Оператор обеспечивает неограниченный доступ неопределенного круга лиц к настоящей Политике, текст которой размещен на Сайте Оператора;
Во исполнение настоящей Политики Оператор утверждает и приводит в действие локальные нормативные акты, по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Оператор производит своевременную актуализацию настоящей Политики и иных локальных нормативных актов по вопросам обработки персональных данных и осуществляет ознакомление с ними работников;
Оператор осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
Оператор устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным локальным нормативным актам Оператора (в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 г. № 1119);
Оператор производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на выполнение обязанностей, установленных Законом о персональных данных (в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 27.10.2022 г. № 178);
Для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных Оператор:
- производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
- применяет организационные и технические меры, необходимые для достижения установленного уровня защищенности персональных данных (в соответствии с положениями Приказа ФСБ России от 10.07.2014 № 378, Приказа ФСТЭК России от 18.02.2013 г. № 21);
- применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
- производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
- осуществляет учет машинных носителей персональных данных;
- осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- осуществляет восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Оператор прекращает обработку персональных данных в случаях, когда достигнута цель такой обработки, истек срок действия согласия на обработку персональных данных или такое согласие отозвано Субъектом, а также в случаях выявления неправомерной обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
Сроки хранения персональных данных, в зависимости от категории Субъекта персональных данных, соответствуют срокам хранения типовых управленческих архивных документов, содержащих указанные персональные данные, и определяются следующим образом:
В отношении работников Оператора (в т.ч. бывших работников), их родственников – в течение срока действия заключенных с работниками трудовых договоров, а после прекращения указанных договоров – в течение срока хранения соответствующих кадровых документов, установленных Приказом Росархива от 20.12.2019 г. № 236.
В отношении соискателей на замещение вакантных должностей, с которыми не был заключен трудовой договор, а также иных физических лиц, с которыми Оператор по результатам переговоров не вступил в договорные отношения гражданско-правового характера – 1 год (если иное не предусмотрено Приказом Росархива от 20.12.2019 г. № 236);
В отношении учредителей (участников) Оператора, единоличных органов управления и членов коллегиальных органов управления – в соответствии с Приказом Росархива от 20.12.2019 г. № 236 – постоянно, если иное не предусмотрено этим приказом;
В отношении контрагентов Оператора – физических лиц, а также работников и иных представителей контрагентов Оператора – в период действия договорных отношений, а также в течение 5 лет с даты их прекращения, если иное не предусмотрено Приказом Росархива от 20.12.2019 г. № 236.
Иные лица – в соответствии со сроком, указанным в согласии на обработку персональных данных, но не дольше срока, в течение которого будет достигнута цель обработки персональных данных.
Ошибочно/случайно полученные персональные данные подлежат незамедлительному уничтожению.
Иные условия хранения персональных данных могут устанавливаться локальными нормативными актами Оператора.
Актуализация (уточнение), исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Настоящий раздел представляет собой перечень регламентов реагирования Оператора на заявления/запросы/обращения Субъектов персональных данных и из представителей по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия на обработку персональных данных, доступа Субъекта персональных данных к своим данным.
Актуализация (уточнение) персональных данных
Актуализация (уточнение) изменившихся персональных данных Субъекта производится по его письменному заявлению, направленному в адрес Оператора, с обязательным указанием полной и достоверной информации об изменившихся персональных данных.
Форма заявления об актуализации (уточнении) персональных данных предусмотрена Приложением № 1 к настоящей Политике.
Оператор производит или обеспечивает проведение актуализации персональных данных в течение 7 рабочих дней с даты получения заявления.
О совершенной актуализации (уточнении) персональных данных Оператор уведомляет Субъекта в письменной форме в течение 10 рабочих дней с даты совершения актуализации (уточнения), если иной срок не предусмотрен законодательством Российской Федерации.
Исправление персональных данных
Исправление некорректных персональных данных Субъекта производится по его письменному заявлению, направленному в адрес Оператора, с обязательным указанием полной и достоверной информации о тех персональных данных, которые подлежат исправлению.
Форма заявления об исправлении персональных данных предусмотрена Приложением № 2 к настоящей Политике.
Оператор производит исправление персональных данных в течение 7 рабочих дней с даты получения заявления.
На период внесения исправлений неточные персональные данные подлежат блокированию (ст. 21 Закона о персональных данных).
О совершенном исправлении персональных данных Оператор уведомляет Субъекта в письменной форме в течение 10 рабочих дней с даты совершения исправления, если иной срок не предусмотрен законодательством Российской Федерации.
Удаление персональных данных
Удаление персональных данных Субъекта производится по его письменному заявлению, направленному в адрес Оператора, с обязательным указанием полной и достоверной информации о тех персональных данных, которые подлежат удалению.
Форма заявления об удалении персональных данных предусмотрена Приложением № 3 к настоящей Политике.
Оператор производит удаление персональных данных в течение 7 рабочих дней с даты получения заявления, если иной срок не предусмотрен законодательством Российской Федерации.
На период с момента получения заявления и до удаления персональные данные подлежат блокированию (ст. 21 Закона о персональных данных).
О совершенном удалении персональных данных Оператор уведомляет Субъекта в письменной форме в течение 10 рабочих дней с даты удаления, если иной срок не предусмотрен законодательством Российской Федерации.
Уничтожение персональных данных
Уничтожение персональных данных осуществляется при достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и Субъектом персональных данных.
Уничтожение персональных данных также осуществляется в случаях выявления неправомерной обработки персональных данных, их незаконного получения или при обработке данных, не являющихся необходимыми для заявленной цели.
При выявлении неправомерной обработки персональных данных Оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по Поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
В срок, не превышающий 7 рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет Субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 28.10.2022 г. № 179.
Формы обращений запросов Субъекта персональных данных об отзыве согласия на обработку персональных данных, уничтожении, блокировании предусмотрены Приложениями №№ 4, 5 и 6 к настоящей Политике соответственно.
Запрос / обращение о предоставлении доступа к персональным данным
Оператор обязан сообщить Субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу / обращению последнего.
При получении запроса Оператор обязан сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте персональных данных или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий основания такого отказа, предусмотренные ч. 8 ст. 14 Закона о персональных данных, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта персональных данных или его представителя либо с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных.
В случае если запрос поступает от уполномоченного органа по защите прав Субъектов персональных данных Оператор обязан сообщить необходимую информацию уполномоченному органу в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос/обращение Субъекта должны содержать:
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе,;
- сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных или его представителя.
Форма запроса/ обращения предусмотрена Приложением № 7 к настоящей Политике.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
Оператор предоставляет запрашиваемые сведения Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Заключительные положения
Настоящая Политика вступает в силу с момента ее опубликования на Сайте Оператора.
Оператор оставляет за собой право в любое время и не ограниченное число раз изменять редакцию настоящей Политики, а также локальных нормативных актов по вопросам обработки персональных данных, принятых в соответствии с настоящей Политикой.
В случае если отдельные положения настоящей Политики будут противоречить нормам законодательства Российской Федерации, то применению подлежат нормы законодательства Российской Федерации, а такие положения будут считаться измененными с момента вступления в силу указанных норм.