Деловой дом Демидов

Положение

об обработке и защитеперсональных данных

клиентов, контрагентов и работников

АО «УК «Демидов»


Общие положения



     Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Правилами внутреннего трудового распорядка.
     Настоящее Положение регулирует правоотношения, возникающие в процессе обработки персональных данных.
     Целью настоящего Положения является соблюдение прав работников, клиентов и контрагентов АО «УК «Демидов» (Организации) на неприкосновенность частной жизни, личную и семейную тайну при обработке их персональных данных в рамках выполнения договорных и трудовых обязанностей, а также защита персональных данных от несанкционированного доступа, неправомерного их использования или утраты, установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований правил и норм, регулирующих обработку и защиту персональных данных работников.
     Настоящее Положение утверждается Генеральным директором Организации и действует до его отмены или введения нового Положения.
     Доступ к настоящему Положению имеют все сотрудники Организации, т.к. настоящее Положение является документом, определяющим политику в отношениио бработки персональных данных клиентов, контрагентов и работников. Положения. Является обязательным для ознакомления и исполнения всеми работникам Организации.

1.      Основные понятия, цели обработки и состав персональных данных работников


1.1. Основные понятия, используемые в настоящем Положении, применяются согласно Федеральному закону «О персональных данных»:
§    персональные данные — любая информация, относящаяся к прямо или косвенно определенному физическому лицу, которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Оператора, позволяет идентифицировать личность клиента, контрагента или сотрудника Организации, персональные данные являются конфиденциальными;
§    обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, совершаемых с использованием средств автоматизации или без их использования включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
§    оператор персональных данных (оператор) — Акционерное общество «Управляющая Компания «Демидов» (ИНН 6 658 486 408, ОГРН 1 169 658 052 860), самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
§    автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
§    распространение персональных данных — действия, направленные на раскрытие персональных данных определенному кругу лиц;
§    предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
§    блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
§    уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
§    обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
§    информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Основные права и обязанности Оператора и Субъекта персональных данных

2.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
2.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в установленный законом о персональных данных срок.
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
2.3. Основные права субъекта персональных данных.
Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
2.4. Контроль за исполнением требований настоящего Положения осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
2.5. Ответственность за нарушение требований законодательства Российской Федерации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

3. Цели обработки персональных данных


3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Обработка Оператором персональных данных осуществляется в следующих целях:
· осуществление своей деятельности в соответствии с уставом АО «УК «Демидов», в том числе заключение и исполнение договоров с клиентами, контрагентами, включая рассылку информации рекламного характера от Оператора и аффилированных с ним лиц, а также лиц, с которыми Оператором заключены соответствующие соглашения, также осуществление пропускного режима;
· исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, обеспечения соблюдения налогового законодательства, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования, исполнение законодательства об охране труда и пожарной безопасности, в том числе осуществление пропускного режима.
3.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

4. Правовые основания обработки персональных данных


4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
· Конституция Российской Федерации;
· Гражданский кодекс Российской Федерации;
· Трудовой кодекс Российской Федерации;
· Налоговый кодекс Российской Федерации;
· Федеральный закон от 26.12.1995 N 208-ФЗ «Об акционерных обществах»;
· Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
· Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
· иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
4.2. Правовым основанием обработки персональных данных также являются:
· устав АО «УК «Демидов»;
· договоры, заключаемые между Оператором и субъектами персональных данных;
· согласие субъектов персональных данных на обработку их персональных данных.

5. Состав и получение персональных данных физических лиц

5.1. В состав персональных данных физических лиц входит информация комплекса документов, сопровождающих процесс оформления, регулирования и реализации договорных/трудовых отношений физических лиц:

Категории субъектов персональных данных

Состав персональных данных

Клиент и Контрагент

— фамилия, имя, отчество;

— дата и место рождения;

— реквизиты документа, удостоверяющего личность (для паспорта: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения);

— номер контактного телефона;

— адрес электронной почты;

— адрес места жительства;

— биографические сведения;

— сведения о постановке на налоговый учет (ИНН);

— сведения об открытых банковских счетах;

— иные персональные данные, предоставляемые клиентам и контрагентами (физическими лицам) необходимые для заключения и исполнения договоров

Представители (работники) клиентов/контрагентов Оператора

-фамилия, имя, отчество

-паспортные данные

-контактные данные

-иные персональные данные

Кандидаты для приема на работу к Оператору

— фамилия, имя, отчество (последнее, в т. ч. прежние фамилии, имена и отчества в случае их изменения, где и по каким причинам они менялись);

— пол;

— число, месяц, год рождения;

— место рождения;

— гражданство;

— номер телефона;

— адрес электронной почты

— сведения об образовании, опыте работы, квалификации;

— фотография;

— иные персональные данные

Персональные данные работника, включая работника, прекратившего трудовые отношения

— фамилия, имя, отчество (последнее, в т. ч. прежние фамилии, имена и отчества в случае их изменения, где и по каким причинам они менялись);

— реквизиты основного документа, удостоверяющего личность (вид, серия, номер, наименование органа, выдавшего его, код подразделения, дата выдачи);

— сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);

— пол;

— число, месяц, год рождения;

— место рождения;

— гражданство;

— номер телефона;

— почтовый адрес и адрес электронной почты;

— образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

— реквизиты документа об образовании;

— адрес и дата регистрации по месту жительства;

— адрес фактического проживания;

— семейное положение, состав семьи, сведения, содержащиеся в свидетельствах о гос. регистрации актов гражданского состояния, дата рождения детей;

— сведения о предыдущей трудовой деятельности (место работы, военная служба)

— фотография;

— сведения о наградах, поощрениях и (или) дисциплинарных взысканий;

— сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования

— сведения, содержащиеся в свидетельстве о присвоении идентификационного номера налогоплательщика

— сведения, содержащиеся в страховом медицинском полисе обязательного медицинского страхования

— сведения, содержащиеся в документах воинского учета

— сведения об инвалидности

— сведения об удержании алиментов

— сведения о доходе с предыдущего места работы

-иные персональные данные

Члены семьи работников Оператора

-фамилия, имя, отчество

-степень родства

-дата рождения

-иные персональные данные


5.2. Все персональные данные физических лиц сотрудники Оператора получают непосредственно от субъектов персональных данных — клиентов, контрагентов и работников Организации.
5.3. Информация, предоставляемая работником при поступлении на работу к Оператору, должна иметь документальную форму, при заключении трудового договора, предоставляются следующие документы:
·паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
• документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника);
• банковские реквизиты.
5.4. Работники обязаны передавать Оператору комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ. Своевременно в разумный срок, не превышающий 5 дней, сообщать Оператору об изменении своих персональных данных.
5.5. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
5.6. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством российской Федерации

6. Цели обработки персональных данных

6.1. Целями обработки персональных данных Оператором являются:

— выполнение требований законодательства по определению порядка обработки и защиты данных физических лиц, ведению кадрового и налогового учета;

— осуществление прав и законных интересов Оператора в рамках осуществления хозяйственной деятельности исполнения обязанностей по договору оказания услуг, одной из сторон которого является субъект персональных данных.

6.2. Персональные данные клиентов/контрагентов обрабатываются в целях предоставления Оператором услуг согласно условиям заключенного с клиентом/контрагентом договора возмездного оказании услуг; хранения данных клиент/контрагента; предоставления консультаций, иной информации о деятельности и услугах по запросам клиента/контрагента, исполнения иных договорных обязательств, одной из сторон которых является клиент/контрагент. Оператор собирает данные только в объеме, необходимом для достижения названных целей.
6.3. Персональные данные Работников обрабатываются в целях исполнения трудового договора. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
6.4. Персональные данные Соискателей обрабатываются в целях заключения трудового договора, предварительной оценки профессиональной пригодности. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
6.5. Персональные данные Уволенных сотрудников обрабатываются с целью соблюдения трудового законодательства во время и после расторжения трудового договора с Уволенным сотрудником. Оператор обрабатывает персональные данные в сроки и для достижения целей, установленных трудовым, налоговым и иным законодательством Российской Федерации.
6.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
7.2. Обработка персональных данных Оператором выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно- телекоммуникационным сетям;
- смешанная обработка персональных данных.
7.3. Персональные данные физических лиц обрабатываются только при письменном согласии, требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
7.4. Согласие клиента/контрагента/работника не требуется в случае, если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов физического лица, если получение согласия невозможно, для осуществления прав и законных интересов оператора или третьих лиц, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
7.5. Перечень лиц, осуществляющих обработку персональных данных клиента/контрагента/работников, имеющих к ним доступ в целях выполнения своих должностных обязанностей и несущих ответственность за нарушение правил обработки и конфиденциальности персональных данных, утверждается приказом генерального директора Организации. С указанным Перечнем сотрудники должны быть ознакомлены под подпись.
7.6. Документы, содержащие персональные данные физических лиц хранятся в офисном помещении АО «УК «Демидов» по адресу: г. Екатеринбург ул. Бориса Ельцина стр.3 оф.303.
7.7. Оператор не осуществляет трансграничную передачу персональных данных.
7.8. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, блокирования, удаления, уничтожения персональных данных, в том числе с помощью вычислительной техники.
7.9. Сбор, запись, систематизация, хранение, накопление и уточнение (обновление, изменение) персональных данных осуществляются посредством:
     - получения оригиналов документов либо их копий;
     - копирования оригиналов документов;
     - внесения сведений в учетные формы на бумажных и электронных носителях;
     - создания документов, содержащих персональные данные, на бумажных и электронных носителях;
     - внесения персональных данных в информационные системы персональных данных.
7.10. В организации использует следующие информационные системы:
- корпоративная электронная почта;
- система электронного документооборота;
- система нормативно-справочной информации;
      - информационный портал

                      8. Защита персональных данных
8.1. Оператор обязан при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных несанкционированных действий.
8.2. С целью защиты персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных.
· использует антивирусное программное обеспечения, лицензионные программные продукты, предотвращающих несанкционированный доступ третьих лиц к персональным данным; информационных систем, имеющих дополнительную систему защиты данных;
8.3. Требования к помещениям, в которых обрабатываются персональные данные:
8.3.1.Сетевое оборудование, серверы следует располагать в местах, недоступных для посторонних лиц;
8.3.2.Персональные данные на бумажных носителях должны храниться в запираемых шкафах, коробах;
8.3.3. Уборка помещений и обслуживание технических средств информационных систем персональных данных должны осуществляться под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к персональным данным, носителям информации, программным и техническим средствам обработки, передачи и защиты информации.
8.4. В случаях, установленных законодательством Российской Федерации, раскрытие конфиденциальной информации возможно сотрудникам правоохранительных органов, при наличии законных оснований и надлежащим образом оформленных документов, подтверждающих такие основания.


9. Сроки обработки и хранения персональных данных

9.1. Обработка персональных данных прекращается Оператором в следующих случаях:
-при выявлении факта неправомерной обработки персональных данных. Срок прекращения
обработки - в течение 3 (трех) рабочих дней с даты выявления такого факта;
  • при достижении целей их обработки;
- истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Оператору с требованием о прекращении
обработки персональных данных. Срок прекращения обработки - не более 10 (десяти) рабочих дней с даты получения требования (с возможностью продления не более чем на 5 (пять) рабочих дней, если направлено уведомление о причинах продления).
9.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
9.3. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
9.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
9.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

10.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
· номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
· подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
· в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
· в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
10.2. Персональные данные уничтожаются в течение 30 (тридцати) календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 (тридцати) календарных дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого является субъект персональных данных, иное соглашение между ним и Оператором. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
 Уничтожение персональных данных осуществляет лицо, ответственное за обработку персональных данных в соответствии с Приказом о назначении лица, ответственного за обработку персональных данных.
Лицо, ответственное за обработку персональных данных, составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
Персональные данные на бумажных носителях уничтожаются с использованием шредера.
Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.
Акт об уничтожении персональных данных должен содержать:
а) наименование и адрес Оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц – членов комиссии, уничтожившей персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, уничтоживших персональные данные субъекта персональных данных.
Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала, соответствующие вышеуказанным требованиям.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.


11. Процедура, направленная на выявление и предотвращение нарушений законодательства в сфере персональных данных

11.1. К процедурам, направленным на выявление и предотвращение нарушений законодательства в сфере персональных данных и устранение таких последствий, относятся:
  • реализация мер, направленных на обеспечение выполнения Оператором своих обязанностей;
  • выполнение предусмотренных законодательством обязанностей, возложенных на Оператора;
  • обеспечение личной ответственности сотрудников, осуществляющих обработку либо доступ к персональным данным;
  • организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
  • организация внутреннего контроля соответствия обработки персональных данных требованиям к защите, установленным действующим законодательством и локальными актами;
  • сокращение объема обрабатываемых данных;
  • стандартизация операций, осуществляемых с персональными данными;
  • определение порядка доступа сотрудников в помещения, в которых ведется обработка персональных данных;
  • проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей персональных данных;
  • проведение периодических проверок условий обработки персональных данных;
  • повышение осведомленности сотрудников, имеющих доступ к персональным данным, путем ознакомления с положениями законодательства Российской Федерации, локальными актами и организации обучения;
  • блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях;
  • разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности персональных данных;
  • публикация и обеспечение доступа неограниченному кругу лиц документов, определяющих политику в отношении обработки персональных данных.
Указанный перечень процедур может дополняться.


12. Ответственность за нарушение норм, регулирующих

обработку персональных данных

        12.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
12.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.