ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЖУРНАЛ ФЛАКОН»
I. Общие положения
1.1. Политика обработки персональных данных в Обществе с ограниченной ответственностью «Журнал Флакон» ОГРН 1206600022090, ИНН 6658533898, адрес: 620014, Российская Федерация, Свердловская область, г. Екатеринбург, ул. Сакко и Ванцетти, д. 62, оф. 701 (далее соответственно - Политика, Общество, Оператор), разработанная в соответствии со статьей 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, цели обработки персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Политика разработана для реализации в Обществе требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.
1.3. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также Политики.
1.4. Политика является основой для разработки распорядительных и организационно-правовых документов Общества, регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.
1.5. Политика обязательна для исполнения работниками, имеющими доступ к персональным данным и осуществляющими их обработку.
1.6. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Обществе используются следующие процедуры:
назначение лица, ответственного за организацию обработки персональных данных в Обществе;
издание локальных нормативных актов в области обработки и защиты персональных данных;
опубликование настоящей Политики на сайте Общества в информационно-телекоммуникационной сети «Интернет», в том числе на страницах сайта, с использованием которых осуществляется сбор персональных данных;
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
оценка вреда, который может быть причинен субъектам персональных данных;
ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, Политикой и их обучение принципам и условиям обработки персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;
недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
обеспечение при обработке персональных данных точности персональных данных, их достаточности, а также в необходимых случаях актуальности по отношению к целям их обработки; уничтожение обрабатываемых персональных данных в случаях, установленных законодательством Российской Федерации в области персональных данных;
организация обучения и проведение методической работы с работниками Общества, имеющими доступ к персональным данным и осуществляющими их обработку.
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях, и которые содержат разные категории персональных данных;
обеспечение безопасности персональных данных при их передаче по открытым каналам связи; хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
1.7. Правовыми основаниями обработки персональных данных в Обществе являются:
положения нормативных правовых актов, во исполнение и в соответствии с которыми Общество осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Гражданский процессуальный кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Арбитражный процессуальный кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования», Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях», Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», Закон РФ от 07.02.1992 № 2300-1«О защите прав потребителей»,
иные нормативные правовые акты Российской Федерации и уполномоченных органов государственной власти;
Устав и локальные нормативные акты Общества; договоры, заключаемые между Обществом и субъектом персональных данных либо третьим лицом, по которым субъект персональных данных является выгодоприобретателем или поручителем;
согласия субъектов персональных данных на обработку персональных данных, оформленные с учетом требований законодательства Российской Федерации для соответствующей категории персональных данных.
1.8. В целях реализации Федерального закона № 152-ФЗ используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.II. Цели обработки персональных данных и категории субъектов персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Обработка в Обществе персональных данных осуществляется в следующих целях:
1) осуществление функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом Общества;
2) ведение кадрового и бухгалтерского учета;
3) регулирование трудовых и иных непосредственно связанных с ними отношений с работниками (в том числе, но не ограничиваясь содействие работникам в трудоустройстве, обучении и карьерном развитии; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы; обеспечение сохранности имущества работника и работодателя);
4) обеспечение соблюдения требований налогового законодательства;
5) защита прав и законных интересов Общества в административном и судебном порядке;
6) добровольное медицинское страхование;
7) продвижение товаров, работ, услуг Общества и/или партнеров Общества на рынке (в том числе, но не исключая в целях организации и проведения Обществом программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов, осуществления прямых контактов с клиентами Общества с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс – рассылка сообщений, по электронной почте, почтовой рассылке и иными не запрещенными способами);;
8) подготовка, заключение и исполнение гражданско-правовых договоров (в том числе направление электронных чеков, рассмотрение обращений клиентов, выдача призов и выплата вознаграждений по итогам конкурсов, акций и т.д);
9) подбор персонала;
10) обеспечение соблюдения законодательства о защите прав потребителя;
2.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
2.4. Категории субъектов персональных данных, персональные данные которых обрабатываются в Обществе:
1) работники
2) уволенные работники;
3) родственники работников;
4) выгодоприобретатели по договорам;
5) контрагенты;
6) представители контрагентов;
7) соискатели;
8) потребители;
9) посетители сайта
10) участники Общества и их уполномоченные представители;
11) иные физические лица, предоставившие свои персональные данные, с которыми Общество осуществляет взаимодействие в рамках своих полномочий.III. Содержание персональных данных, обрабатываемых в Обществе
3.1. В Обществе для достижения конкретных, заранее определённых и законных целей обрабатываются персональные данные:
фамилия, имя, отчество (при наличии), в том числе прежние (в случае их изменения), причины их изменения;
пол;
дата рождения (число, месяц, год);
место рождения;
гражданство;
вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи;
адрес и дата регистрации по месту жительства (месту пребывания), предыдущие адреса проживания, адрес места фактического проживания;
номер телефона;
почтовый адрес;
адрес электронной почты (при наличии) или сведения о других способах связи;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования, сведения, содержащиеся в нем;
реквизиты страхового свидетельства обязательного пенсионного страхования, сведения, содержащиеся в нем или документе (электронном документе), подтверждающем регистрацию в системе индивидуального (персонифицированного) учета;
реквизиты свидетельств государственной регистрации актов гражданского состояния;
сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в них;
сведения о семейном положении, составе семьи, близких родственниках (степень родства, фамилия, имя, отчество, дата рождения, пол, номер страхового свидетельства государственного пенсионного страхования (СНИЛС));
сведения об образовании, квалификации, профессиональной переподготовке и (или) повышении квалификации (в том числе уровень образования, наименование образовательного учреждения, реквизиты документа об образовании – наименование образовательного учреждения, серия, номер, квалификация, направление или специальность, год окончания);
сведения об ученой степени;
сведения о владении иностранными языками, степень владения;
сведения о трудовой деятельности (в том числе сведения о трудовом стаже, предыдущих местах работы, данные о трудовой деятельности на текущее время с указанием наименования организации, периода работы, должности и подразделения, доходах на предыдущих местах работы);
сведения о пребывании за пределами территории Российской Федерации;
реквизиты документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан);
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
табельный номер;
должность;
банковские реквизиты (номер расчетного и лицевого счета);
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о присвоении статуса отдельной категории сотрудника (инвалид, пенсионер, участник боевых действий и прочие категории имеющие льготы);
сведения о заработной плате, доходах работника, необходимые в рамках трудовой, бухгалтерской и налоговой отчетности;
доходы;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
информация о деловых и личностных качествах работника, носящие оценочный характер, результаты оценочных мероприятий по системе единых корпоративных требований;
данные, которые образуются при посещении сайта Общества (файлы cookies);
иные персональные данные, необходимые для достижения целей, предусмотренных в соответствии с ч. 1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных».
3.2. Общество на сайте использует следующие сервисы, использующие технологию «cookies»: Яндекс.Метрика, Рейтинг@Mail.ru. Общество записывает cookies на устройство клиента, которое клиент использует для реализации своих потребностей на сайте. Cookies – это небольшие фрагменты данных, отправленные веб-сервером и хранимые на электронном устройстве клиента. Cookies не относятся к категории персональных данных, не могут идентифицировать клиента или посетителя сайта, однако могут помочь улучшить работу сайта. Cookies используются для упрощения клиентского опыта пользования сайтом и для сбора аналитики Обществом для улучшения качества предоставляемых услуг на сайте. Cookies не содержат конфиденциальную информацию. Посетитель сайта настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. Данная информация не используется для установления личности посетителя.
3.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
3.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, в Обществе не осуществляется.
3.5. Обезличивание персональных данных в Обществе не осуществляется.
3.6. Для цели, указанной в подпункте 1 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); идентификационный номер налогоплательщика; пол; гражданство; вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи; почтовый адрес, адрес электронной почты, номер телефона.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников, участников Общества, их уполномоченных представителей и иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий.
3.7. Для цели, указанной в подпункте 2 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); дата рождения (число, месяц, год); пол; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования (СНИЛС); гражданство; вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи; реквизиты документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан), сведения о заработной плате, доходы.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников, выгодоприобретателей по договорам, контрагентов.
3.8. Для цели, указанной в подпункте 3 пункта 2.2. Раздела II Политики, обрабатываются персональные данные, указанные в п.3.1. Политики, кроме данных, которые образуются при посещении сайта Общества (файлы cookies).
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников, уволенных работников, родственников работников.
3.9. Для цели, указанной в подпункте 4 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); дата рождения (число, месяц, год); доходы; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования (СНИЛС); гражданство; вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи; реквизиты документа, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан); сведения о заработной плате.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников, родственников работников, уволенных работников, выгодоприобретателей по договорам.
3.10. Для цели, указанной в подпункте 5 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии), дата и место рождения, адрес регистрации по месту жительства, адрес фактического места жительства, страховой номер индивидуального лицевого счета, идентификационный номер налогоплательщика, серия и номер документа, удостоверяющего личность; серия и номер водительского удостоверения; иные персональные данные, имеющие значение для защиты прав и законных интересов Общества.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников, уволенных работников, родственников работников; выгодоприобретателей по договорам, контрагентов, представителей контрагентов, потребителей, иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий.
3.11. Для цели, указанной в подпункте 6 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); дата рождения (число, месяц, год); идентификационный номер налогоплательщика; адрес регистрации по месту жительства; почтовый адрес; номер телефона; адрес электронной почты.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении работников.
3.12. Для цели, указанной в подпункте 7 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя; адрес электронной почты; данные, которые образуются при посещении сайта Общества (файлы cookies).
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении потребителей, посетителей сайта.
3.13. Для цели, указанной в подпункте 8 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); дата рождения (число, месяц, год); место рождения; идентификационный номер налогоплательщика; вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи; номер телефона, адрес регистрации по месту жительства, почтовый адрес; номер расчетного счета, номер лицевого счета, гражданство.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении выгодоприобретателей по договорам; контрагентов; представителей контрагентов;
3.14. Для цели, указанной в подпункте 9 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); дата рождения (число, месяц, год); место рождения; вид, серия, номер документа, удостоверяющего личность, наименование подразделения и код подразделения (при наличии), выдавшего его, дата выдачи; адрес регистрации по месту жительства; гражданство; сведения об образовании, квалификации, профессиональной переподготовке и (или) повышении квалификации (в том числе уровень образования, наименование образовательного учреждения, реквизиты документа об образовании – наименование образовательного учреждения, серия, номер, квалификация, направление или специальность, год окончания); сведения о владении иностранными языками, степень владения; сведения о трудовой деятельности (в том числе сведения о трудовом стаже, предыдущих местах работы, данные о трудовой деятельности на текущее время с указанием наименования организации, периода работы, должности и подразделения, доходах на предыдущих местах работы); номер телефона; профессиональные достижения; адрес электронной почты (при наличии) или сведения о других способах связи; иные сведения, указанные соискателем в резюме.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении соискателей.
3.15. Для цели, указанной в подпункте 10 пункта 2.2. Раздела II Политики, обрабатываются персональные данные: фамилия, имя, отчество (при наличии); номер телефона; почтовый адрес; адрес электронной почты или сведения о других способах связи; номер расчетного счета, номер лицевого счета.
Персональные данные, предусмотренные настоящим пунктом, обрабатываются в отношении потребителей.IV. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных в Обществе допускается в случаях, установленных статьей 6 Федерального закона № 152-ФЗ.
4.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Федеральным законом № 152-ФЗ.
4.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Федерального закона № 152-ФЗ.
4.4. Для целей обработки данных Общество может предоставлять персональные данные (за исключением работников Общества) третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению Общества, где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных», а также в иных случаях, предусмотренных Федеральным законом № 152-ФЗ
При предоставлении персональных данных в электронном виде третьим лицам по открытым каналам связи Общество обязано принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства Российской Федерации в порядке, регламентированным локальными актами.
4.5. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
4.6. Субъект персональных данных имеет право в любое время отозвать свое согласие. Отзыв согласия не должен влиять на законность обработки, основанной на согласии до его отзыва. Отзыв согласия на обработку персональных данных может быть оформлен в письменной форме, подписан собственноручной подписью и направлен по адресу: 620014, г. Екатеринбург, ул. Сакко и Ванцетти, д. 62, оф. 701. В случае, если такое согласие получено на сайте, то процедура отзыва согласия должна быть такой же простой (аналогичной), как и процедура предоставления согласия - отзыв согласия на обработку персональных данных может быть направлен через обращение по телефону +7 966 168 04 12 или путем направления отзыва согласия на адрес электронной почты: info@flacon-magazine.com .
Общество удаляет персональные данные и прекращает их обработку в сроки, установленные в статье 21 Федерального закона № 152-ФЗ «О персональных данных».
4.7. В целях внутреннего информационного обеспечения Обществе могут создаваться справочники и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.
4.8. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам, занимающим должности, включенные в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных.
4.9. Обработка персональных данных в Обществе осуществляется с использованием или без использования средств автоматизации работниками, трудовые обязанности которых предусматривают осуществление функций по обработке персональных данных.
4.10. Для каждой цели обработки персональных данных, указанной в разделе II настоящей Политики, используется один из способов обработки персональных данных автоматизированный, неавтоматизированный или смешанный:
автоматизированный - с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией и (или) в информационных системах персональных данных;
неавтоматизированный - путём ведения журналов, дел в соответствии с номенклатурой дел и фиксации персональных данных на иных бумажных носителях в соответствии с приложениями к Регламентам структурных подразделений;
смешанный - совокупность указанных способов.
4.11. Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
получения оригиналов документов;
копирования оригиналов документов;
внесения сведений в учетные формы на бумажных и электронных носителях;
создания документов на бумажных и электронных носителях;
внесения сведений в информационные системы персональных данных Общества.
4.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.13. Общество не осуществляет трансграничную передачу персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ.V. Обработка персональных данных в информационных системах персональных данных Общества
5.1. Доступ к информационным системам персональных данных Общества (далее - информационные системы) работников, осуществляющих обработку персональных данных в информационных системах, предоставляется в соответствии с соответствующим приказом директора Общества, и реализуется посредством учетной записи, содержащей имя пользователя и пароль.
5.2. Информация в информационные системы может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии со статьей 19 Федерального закона №152-ФЗ и с соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119.
5.4. В целях обеспечения безопасности персональных данных осуществляется:
предотвращение несанкционированного доступа к персональным данным и (или) их передачи лицам, не имеющим права на доступ к ним;
обнаружение фактов несанкционированного доступа к персональным данным и незамедлительное доведение этой информации до ответственного за организацию обработки персональных данных в Общества;
недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;
постоянный контроль за обеспечением уровня защищенности персональных данных;
соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных;
незамедлительное приостановление предоставления персональных данных пользователям информационных систем при обнаружении нарушений порядка предоставления персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению последствий подобных нарушений;
незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5. При обработке персональных данных осуществляется реализация организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, состав и содержание которых утверждены приказом ФСТЭК России от 18.02.2013 № 21.
5.6. Доступ к персональным данным, находящимся в информационных системах, должен предусматривать обязательное прохождение процедуры идентификации и аутентификации.
5.7. При выявлении нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
5.8. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уполномоченные должностные лица Общества обязаны с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий такого инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).VI. Сроки обработки и хранения персональных данных, порядок их уничтожения
6.1. Обработка персональных данных работников Общества, а также лиц, состоящих с ними в родстве (свойстве), осуществляется в течение всего периода работы в Обществе.
6.2. Обработка персональных данных осуществляется в соответствии с Положением обработки персональных данных, локальных нормативных актов в сфере обработки персональных данных в Обществе.
6.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 № 236).
6.4. Сроки хранения персональных данных, обрабатываемых в информационных системах, должны соответствовать срокам хранения документов на бумажных носителях, содержащих персональные данные.
6.5. Обработка персональных данных прекращается в случаях:
1) выявления факта неправомерной обработки персональных данных;
2) достижения цели обработки персональных данных или утраты необходимости в ее достижении;
3) отзыва субъектом персональных данных согласия на обработку его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами;
4) обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Общество прекращает обработку этих данных, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
6.7. В случае прекращения обработки персональных данных предпринимаются меры, предусмотренные статьей 21 Федерального закона № 152-ФЗ.
6.8. Документы, содержащие персональные данные, при достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, подлежат уничтожению в порядке, установленном законодательством и локальными нормативными актами Общества.
6.9. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.VII. Рассмотрение запросов субъектов персональных данных и их представителей
7.1. Субъекты персональных данных, указанные в пункте 2.4. настоящей Политики имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Обществе;
правовые основания и цели обработки персональных данных;
цели и применяемые в Обществе способы обработки персональных данных;
полное наименование и место нахождения Общества, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения в Обществе;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
полное наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такой организации или лицу;
информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона №152-ФЗ;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
7.2. Субъекты персональных данных вправе обращаться в Общество с требованием об уточнении, блокировании или уничтожении их персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
7.3. Сведения, указанные в пункте 7.1. настоящей Политики, предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.4. Сведения, указанные в пункте 7.1. настоящей Политики, предоставляются субъекту персональных данных или его представителю лицом, уполномоченным осуществлять обработку персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.5. Запрос субъекта персональных данных должен содержать:
1) номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных в Обществе, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в письменной форме и подписан собственноручной подписью, в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
7.6. Общество предоставляет сведения, указанные в пункте 7.1. настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены обращение либо запрос, если иное не указано в обращении или запросе.
7.7. В случае если сведения, указанные в пункте 7.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения указанных сведений и ознакомления с ними не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.8. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в пункте 7.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7.7. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.5. настоящей Политики, должен содержать обоснование направления повторного запроса.
7.9. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.5 и 7.8 настоящей Политики. Такой отказ должен быть мотивированным.
7.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных частью 8 статьи 14 Федерального закона №152-ФЗ.VIII. Внутренний контроль соответствия обработки персональных данных законодательству о персональных данных
8.1. Внутренний контроль соответствия обработки персональных данных положениям Федерального закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Общества осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе, в порядке, определенном локальными нормативными актами Общества в области персональных данных.
8.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.