Политика конфиденциальности
1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом Индивидуального предпринимателя Молько Виктории Георгиевны (далее - Оператор), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07. 2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и определяет политику Оператора в отношении обработки персональных данных.
1.2. Настоящим Положением устанавливаются:
- цели обработки персональных данных,
- категории и перечень обрабатываемых персональных данных,
- категории субъектов, персональные данные которых обрабатываются,
- способы, сроки их обработки и хранения,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных
законных оснований,
- порядок защиты персональных данных, процедуры, направленные на предотвращение и выявление
нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.2. Настоящим Положением устанавливаются:
- цели обработки персональных данных,
- категории и перечень обрабатываемых персональных данных,
- категории субъектов, персональные данные которых обрабатываются,
- способы, сроки их обработки и хранения,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных
законных оснований,
- порядок защиты персональных данных, процедуры, направленные на предотвращение и выявление
нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Положение вступает в силу с момента его утверждения до его отмены на основании соответствующего приказа или до введения нового Положения. Внесение изменений в Положение производится приказом.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://informbox.ru/
2. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки
| № п/п | Цель обработки персональных данных | Категории и перечень обрабатываемых персональных данных | Категории субъектов, персональные данные которых обрабатываются | Способы обработки | Правовое обоснование |
| 1 | Ведение кадровой работы и бухгалтерского учета | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица |
- работники Оператора; - уволенные работники; - родственники работников Оператора в случаях, когда согласно законодательству сведения о них предоставляются работником |
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение; распространение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;; Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 2 | Обеспечение соблюдения трудового законодательства Российской Федерации, в том числе в целях начисления заработной платы, предоставления сведений в банк для перечисления заработной платы. | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица образовании; фото-видео изображение лица; Специальные категории персональных данных: сведения о состоянии здоровья | - работники Оператора; - уволенные работники; - родственники работников Оператора в случаях, когда согласно законодательству сведения о них предоставляются работником. |
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;; Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 3 | Обеспечение соблюдения страхового законодательства Российской Федерации, в том числе в целях начисления и уплаты, предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование; представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Социальный фонд России. | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете Специальные категории персональных данных: сведения о состоянии здоровья | Работники; Родственники работников; Уволенные работники; Выгодоприобретатели по договорам. | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 4 | Обеспечение соблюдения налогового законодательства Российской Федерации, в том числе в целях представления работодателем установленной законодательством отчетности и сведений в ФНС России | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании Специальные категории персональных данных: сведения о состоянии здоровья | Работники; Родственники работников; Уволенные работники; Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение. | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Налоговый кодекс РФ, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 5 | Подбор персонала (соискателей) на вакантные должности оператора | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица | Соискатели | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете", Положение Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 6 | Подготовка, заключение и исполнение гражданско-правового договора | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность | Контрагенты; Представители контрагентов; Клиенты; Выгодоприобретатели по договорам; Законные представители | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Налоговый кодекс РФ, Гражданский кодекс РФ, Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Положение Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 7 | Получение лицом, оставившим свои данные в форме обратной связи на сайте Оператора https://informbox.ru/ (далее - Сайт), информации об условиях и порядке оказания услуг Оператором, в том числе в ответ на оставленное сообщение в форме обратной связи | фамилия, имя, отчество; адрес электронной почты; номер телефона | Посетители сайта | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
| 8 | Обеспечение соблюдения пенсионного законодательства РФ | фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; Специальные категории персональных данных сведения о состоянии здоровья | Работники; Родственники работников; Уволенные работники; Выгодоприобретатели по договорам | сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации", Федеральный закон от 16.07.1999 N 165-ФЗ "Об основах обязательного социального страхования", Положение ИП Молько В.Г. Об обработке и защите персональных данных работников и иных лиц |
3. Порядок и условия обработки персональных данных
3.1. Персональные данные работника работодатель получает непосредственно от работника. Работодатель вправе получить персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;
- источник получения персональных данных.
3.2. Правовые основания обработки персональных данных указаны в разделе 2 настоящего Положения.
3.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
3.4. Обработка персональных данных выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных, с применением вычислительной техники и передачей по сети
«Интернет».
3.5. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
3.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
3.6. Оператор не осуществляет трансграничную передачу персональных данных.
3.7. Обработка персональных данных осуществляется, в том числе с помощью средств вычислительной техники.
3.7.1. Обработка персональных данных осуществляется путем смешанной обработки с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
3.8.1 Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.
3.8.2 Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
3.8.3 Передача персональных данных работника третьей стороне возможна только с письменного согласия работника с учетом исключений, указанных в настоящем Положении. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
3.9. Работник, являющийся ответственным за обработку персональных данных, назначается приказом директора.
3.10. Работник, являющийся ответственным за обработку персональных данных, осуществляет общий контроль за соблюдением работниками мер по обработке персональных данных; обеспечивает ознакомление работников под личную подпись с локальными нормативными актами, содержащими порядок обработки персональных данных, в частности с настоящим Положением; получает с работников согласие на обработку персональных данных.
4. Сроки обработки и хранения персональных данных
4.1. Обработка персональных данных прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки;
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Опертору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования.
4.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
4.3. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
4.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5. Порядок блокирования и уничтожения персональных данных
5.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
5.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение сроков, предусмотренных законодательством.
5.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение сроков, предусмотренных законодательством.
5.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
5.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют лица, обрабатывающие персональные данные.
5.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора.
5.8.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.8.3. Непосредственно после уничтожения персональных данных оформляется:
- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
5.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
5.8.5. Подтверждение уничтожения персональных данных в случаях, предусмотренных статьей 21 Федерального закона №152-ФЗ «О персональных данных», осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
6. Порядок и меры защиты персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
6.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.1.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.
6.2. С целью защиты персональных данных назначается (утверждаются):
- работник, ответственный за организацию обработки персональных данных;
- перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
- порядок доступа в помещения, в которых ведется обработка персональных данных;
- порядок передачи персональных данных в пределах Оператора;
- форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- порядок защиты персональных данных при их обработке в информационных системах персональных данных;
- порядок проведения внутренних расследований, проверок;
- при необходимости иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
Размещен на сайте Оператора документ, определяющих политику в отношении обработки персональных данных, и сведениях о реализуемых требованиях к защите о персональных данных.
6.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
6.4. Разработана система защиты персональных данных, обеспечивающая нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, определен круг лиц, имеющих доступ к персональным данным, исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными, обеспечена сохранность носителей персональных данных. В случае необходимости доступа в такие помещения лиц, неосуществляющих обработку персональных данных, возможность доступа согласовывается с лицом, ответственным за обработку персональных данных.
6.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. В помещении установлены замки с ключами и пожарные сигнализации, данные на бумажных носителях хранятся в сейфах или запирающихся шкафах. Обеспечен учет машинных носителей персональных данных.
6.6. При неавтоматизированной обработке персональных данных исключен несанкционированный к ним доступ, определен перечень лиц, осуществляющих обработку персональных данных, определены места хранения персональных данных, их уничтожение.
6.7. Осуществляющие обработку персональных данных и имеющие доступ к ним работники, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных.
6.8. Используются средства обеспечения безопасности: используются электронная цифровая подпись КриптоПро; антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
6.9. Проводится внутренний контроль соответствия обработки персональных данных Федеральному закону № 152-ФЗ от 27.07.2006 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
6.10. Оператором проводятся внутренние расследования в следующих ситуациях: при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных; в иных случаях, предусмотренных законодательством в области персональных данных.
6.11. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль: за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов; соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
6.11.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
6.11.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
6.11.3. По итогам внутренней проверки оформляется акт проверки. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
6.12. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
6.12.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор: об инциденте; его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных; принятых мерах по устранению последствий инцидента; представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
6.12.2. В течение 72 часов Оператор обязано сделать следующее: уведомить Роскомнадзор о результатах внутреннего расследования; предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомлений необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
6.13. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.14. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.15. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.16.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.17. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
6.18. В случае изменения сведений, указанных в части 3 статьи 22 Федерального закона №152-ФЗ «О персональных данных», а именно:
- наименование, адрес оператора;
- цель обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
- фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.
6.19 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
6.19.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.20. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством.
7. Ответственность за нарушение норм, регулирующих обработку персональных данных
7.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
8. Гарантия конфиденциальности персональных данных
8.1 Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
8.2 Работник вправе:
- требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении,
- получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом;
- требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
- получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
8.3 В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений, а также вправе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
8.4 Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.5. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".