1. Общие положения

1.1. Политика (Положение) об обработке и защите персональных данных Индивидуального предпринимателя Литвинцева Дмитрия Борисовича (далее - Положение / Политика) разработано во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных). 

Политика (Положение) определяет общий порядок, принципы и условия обработки персональных данных Индивидуального предпринимателя Литвинцева Дмитрия Борисовича

ИНН 550400108004, 

ОГРН 304550335700252  , 

адрес регистрации: 644007, Омская область, город Омск, ул. Герцена, дом 65, корпус 1, кв. 34, 

фактический адрес: 644070, Омская область, город Омск, ул. Декабристов, дом 37,

(далее – Оператор) и действует в отношении всех персональных данных, обрабатываемых Оператором. 

Определяет основные принципы, цели, содержание, условия, порядок и способы обработки персональных данных, устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. 

1.2. Цель настоящей Политики (Положения) – обеспечение защиты прав и свобод субъектов персональных данных, при обработке их персональных данных в информационных системах персональных данных, защиты персональных данных субъектов персональных данных от несанкционированного доступа и разглашения. 

1.3. При разработке настоящей Политики (Положения) использованы следующие нормативные документы и ссылки на них:

– Конституция Российской Федерации; 

– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

– Федеральный закон от 17.07.2006 № 152 ФЗ «О персональных данных»; 

– Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 1 ноября 2012 г. № 1119; 

– Другие нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с обработкой персональных данных. 

1.4. Настоящая Политика (Положение) регулирует отношения, связанные с обработкой персональных данных, и определяет принципы, порядок и условия обработки персональных данных работников, клиентов, заказчиков,  а также пользователей сайта Общества (сайт Оператора), чьи персональные данные обрабатываются Оператором, в том числе пользующихся сервисами, информацией, услугами, программами (в т.ч. программами лояльности) и продуктами, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных (далее по тексту – Субъект). 

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных. 

1.5. Политика (Положение) действует в отношении всех персональных данных, которые обрабатывает Оператор. 

Политика (Положение) распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.6. Действие настоящей Политики (Положения) распространяется на всех работников Общества (далее – Оператор), имеющих право доступа к персональным данным субъектов персональных данных.

1.7. Во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайтах Оператора и находится в свободном доступе. 

Адрес сайта: https://2cezares.ru/

Доступ к политике есть у всех пользователей сайта. 

Сайты Общества (Оператора) не контролируют и не несут ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайтах Общества (Оператора).

1.8. Использование сервисов Сайта Оператора означает безоговорочное согласие Пользователя с настоящим Положением и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.

При приеме на работу к Работодателю лицо, поступающее на работу, до подписания трудового договора, должно быть в обязательном порядке ознакомлено с настоящей Политикой (Положением).

2. Правовые основания обработки персональных данных

2.1. Правовыми основаниями обработки персональных данных Оператором являются:

– Трудовой кодекс Российской Федерации;

– Гражданский кодекс Российской Федерации;

– Налоговый кодекс Российской Федерации;

– Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

– Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;

– Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

– Федеральный закон от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;

– Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

– Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; 

– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– Постановление Правительства Российской Федерации от 27.11.2006 №719 «Об утверждении Положения о воинском учете»; 

– Гражданско-правовые договоры на оказание услуг; 

– Согласия субъектов персональных данных на обработку персональных данных; 

– Согласия субъектов персональных данных (в том числе работника) на передачу обработки его персональных данных бухгалтерской аутсорсинговой компании; 

– Основания, когда согласие на обработку персональных данных не требуется в силу закона. 

3. Основные понятия, термины и определения

3.1. В настоящей Политике (Положении) используются следующие понятия, термины и определения: 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 

База данных – совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ. 

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Компрометация пароля учетной записи – ознакомление с паролем третьими лицами.

Материальный носитель персональных данных – материальный объект, содержащий персональные данные в электронном или графическом виде, используемый для закрепления и хранения на нем персональных данных (в том числе, бумажный носитель, машиночитаемый носитель). 

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Оператор персональных данных (Оператор) – Общество осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Пользователь ИСПДн – работник Общества, который допущен к обработке персональных данных в информационных системах персональных данных в соответствии со своими должностными обязанностями приказом должностного лица Предприятия. 

Пользователь сайта – любое лицо, являющееся посетителем Сайта.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Субъект персональных данных:

– физическое лицо, состоящее с Оператором в трудовых или договорных отношениях (контрагент, работник контрагента, клиент, поставщик, покупатель, заказчик, посетитель, подрядчик (ИП или самозанятый) и т.д.), 

– а также физическое лицо, планирующее вступить в трудовые отношения с Работодателем – это соискатель (кандидат) (далее – Субъект персональных данных). 

Сведения, собираемые посредством метрических программ, – это данные о поведении пользователей на веб-сайте, которые собираются с помощью специализированных инструментов - метрических программ.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

С передачей по сети Интернет – это способ обработки персональных данных, при котором используется сеть Интернет для передачи информации.

Электронная почта – это технология передачи электронных сообщений по сети Интернет.

Без передачи по сети Интернет персональных данных – это способ обработки персональных данных, при котором полученная информация не передаётся с использованием сети связи общего пользования, например интернета. Такой способ может подразумевать, например, использование сетевых папок и других IT-решений, которые позволяют передавать данные между сотрудниками компании без доступа к интернету.

ЦОД – это центр обработки данных. Или его второе название ЦХОД – это центр хранения и обработки данных. ЦОД может представлять собой системный блок, если это персональный компьютер, в нашем обычном представлении с монитором, клавиатурой и мышкой. Или это может быть ноутбук.

Гражданско-правовой договор – это соглашение (сделка) между физическим лицом (физическими лицами) и другим физическим лицом (физическими лицами) или юридическим лицом (юридическими лицами), либо между юридическим лицом (юридическими лицами) и другим юридическим лицом (юридическими лицами), направленное на возникновение, изменение или прекращение взаимных прав и обязанностей, для обеспечения возможности принуждения сторон к исполнению этих обязательств и обеспечению прав через обращение к судебным властям.

По содержанию гражданско-правовые договоры делятся на:

- имущественные: договоры, направленные на передачу имущества (купля-продажа, дарение, мена, поставка);

- договоры о выполнении работ (договор подряда);

- договоры об оказании услуг (страхование, перевозка, хранение и т.п.).

Сокращения: 

ИСПДн – информационная система персональных данных; 

Общество – Оператор – Индивидуальный предприниматель Литвинцев Дмитрий Борисович

ПДн – персональные данные; 

ТС – техническое средство; 

3.2. Иные понятия и термины, используемые в Политике, определяются в соответствии с законодательством Российской Федерации.

4. Состав персональных данных

4.1. Обрабатываемые Оператором категории субъектов персональных данных: 

4.2. Полный состав персональных данных, обрабатываемых Оператором, зависит от цели обращения к Оператору:

4.3. Оператор обрабатывает персональные данные, указанные в п. 4.2. Политики, с согласия субъекта персональных данных, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (предоставление, доступ), блокирования, удаления, уничтожения, распространения персональных данных.

5. Цели обработки персональных данных. 

Перечень действий с персональными данными и способы их обработки. 

Категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются.

5.1. Персональные данные обрабатываются Оператором в следующих целях:

5.1.1. Цель № 1

Продвижение товаров, работ, услуг на рынке

(Посетитель сайта предоставляет свои данные для обратной связи)

В данной категории субъектов оператором обрабатываются персональные данные:

- в целях обеспечения обратной связи с посетителем сайта.

- в некоторых случаях посетитель в офисе может оставить свой номер телефона и указать собственное имя.

Оператор обрабатывает следующие категории персональных данных:

- персональные данные:

✔️имя

✔️номер телефона

✔️сведения, собираемые посредством метрических программ.

В рамках выполнения Цели № 1 Оператором не обрабатываются специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сведений о судимости.

Оператор не обрабатывает биометрические категории персональных данных.

Категории субъектов, персональные данные которых обрабатываются:

✔️Клиенты (Покупатели, Заказчики)

✔️Посетители сайта

Правовое основание обработки персональных данных:

Руководствуясь требованиями:

- Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г., 

- иными законодательными документами.

Категории субъектов, персональные данные которых обрабатываются:

Перечень действий с персональными данными:

Способы обработки персональных данных: 

5.1.2. Цель № 2

Распространение на сайте Общества либо в социальных сетях:

- Размещение информации о работниках предприятия (Общества) на сайте. 

- Публикации отзывов об опыте взаимодействия с Обществом. 

- Размещение фото и видеоматериалов, полученных в ходе оказания услуг, выполнения работ.

Оператор обрабатывает следующие категории персональных данных:

- персональные данные:

В рамках выполнения Цели № 2 Оператором не обрабатываются специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сведений о судимости.

Оператор не обрабатывает биометрические категории персональных данных.

Категории субъектов, персональные данные которых обрабатываются:

Правовое основание обработки персональных данных:

Руководствуясь требованиями:

- Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г., 

- иными законодательными документами.

Категории субъектов, персональные данные которых обрабатываются:

Перечень действий с персональными данными:

Способы обработки персональных данных: 

6. Принципы и условия обработки персональных данных

6.1. Персональные данные обрабатываются Оператором с целью:

– реализации прав и законных интересов Оператора в рамках осуществляемого вида деятельности;

– подготовки, заключения, исполнения и прекращения договоров, стороной которых либо выгодоприобретателем либо поручителем является субъект персональных данных;

– соблюдения требований законодательства и иных нормативных правовых актов Российской Федерации;

6.2. Обработка и использование персональных данных субъектов персональных данных осуществляется в иных целях, если это направлено на обеспечение соблюдения законодательства Российской Федерации и иных нормативных правовых актов. Перечень конкретных целей указывается в каждом конкретном случае в соответствующем согласии на обработку персональных данных.

6.3. Принципами обработки персональных данных в Обществе являются:

– законность;

– ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;

– недопустимость объединения в Обществе баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– точность обрабатываемых персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки, недопустимость обработки в Обществе персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

– уничтожение персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;

– личная ответственность работников Общества за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

– принятие исчерпывающих организационных и технических мер для защиты персональных данных, исключающих несанкционированных доступ к ним посторонних лиц.

6.4. Условия обработки персональных данных.

Оператор производит обработку персональных данных при наличии согласия субъекта персональных данных на обработку его персональных данных;

Не требуется согласие субъекта персональных данных на передачу персональных данных:

– по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 N 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);

– по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ, п. "м" ч. 1 ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);

– по запросу суда согласно ч. 4 - 7 ст. 66 АПК РФ, ч. 1, 2 ст. 57 ГПК РФ;

Оператор осуществляет обработку персональных данных в неавтоматизированном и автоматизированном виде с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, а также в смешанном виде. 

Оператор может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключенного договора. 

Третье лицо, осуществляющее обработку персональных данных по поручению Оператора и/или субъекта персональных данных, должно соблюдать правила и принципы обработки персональных данных, предусмотренные законодательством Российской Федерации.

7. Порядок обработки персональных данных.

Получение персональных данных Субъекта персональных данных.

7.1. Персональные данные предоставляются субъектом лично в электронном или в бумажном виде.

7.2. Персональные данные Субъекта персональных данных Оператор получает непосредственно от Субъекта персональных данных. 

Оператор вправе получать персональные данные Субъекта персональных данных от третьих лиц только при уведомлении об этом Субъекта персональных данных и при наличии письменного согласия Субъекта персональных данных. 

Настоящим Субъект персональных данных считается уведомленным и дает свое согласие в отношении периодического получения Работодателем данных от ФМС и ее территориальных органов, от налоговых органов, касающихся разрешений на работу и иных документов, необходимых для оформления трудовых отношений с иностранными Субъектами персональных данных.

7.3. При сборе персональных данных должностные лица (работники) Общества осуществляющие сбор (получение) персональных данных непосредственно от Субъекта персональных данных, разъясняют юридические последствия отказа от предоставления персональных данных.

7.4. К обработке персональных данных в ИСПДн могут иметь доступ работники Оператора, которым он необходим для исполнения должностных обязанностей. 

Допуск пользователей для работы на технических средствах ИСПДн осуществляется в соответствии со списками лиц, допущенных в ИСПДн, утвержденными приказами должностного лица Общества.

7.5. Обработка персональных данных субъектов в Обществе осуществляется:

– с использованием средств вычислительной техники (автоматизированная) и 

– без использования таких средств (неавтоматизированная).

7.6. Обработка (Сбор) персональных данных Субъекта персональных данных осуществляется путем:

– копирования оригиналов документов Субъекта персональных данных (включая документы об образовании, страховое свидетельство государственного пенсионного страхования),

– внесения сведений в учетные формы Оператора (на бумажных и электронных носителях),

– получения / создания оригиналов необходимых документов (включая трудовую книжку, личную карточку Работника, автобиографию);

– формирования персональных данных в процессе кадровой работы;

– внесение персональных данных в информационные системы обработки персональных данных. 

7.7. Субъект персональных данных представляет необходимые сведения и в случае необходимости предъявляет Работодателю документы, подтверждающие достоверность этих сведений.

7.8. Оператор не вправе требовать от Субъекта персональных данных предоставления информации о политических и религиозных убеждениях, а также о частной жизни Субъекта персональных данных за исключением случаев, непосредственно связанных с вопросами трудовых отношений Работника.

7.8. Оператор также не может запрашивать информацию о состоянии здоровья Субъекта персональных данных за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом персональных данных трудовой функции.

7.9. Обработка персональных данных без использования средств автоматизации осуществляется в виде документов на бумажных носителях информации. 

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

7.10. Безопасность персональных данных при их обработке в ИСПДн Общества обеспечивается в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативных правовых актов Российской Федерации.

7.11. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных.

7.12. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. 

В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 17.07.2006 № 152 ФЗ «О персональных данных»:

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (п. 3 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (п. 3.1 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 6 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 ФЗ «О персональных данных»);

– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных (п. 9 ч. 1 ст. 6 ФЗ «О персональных данных»);

– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6 ФЗ «О персональных данных»).

8. Сроки обработки и хранения персональных данных

8.1. Оператор обрабатывает ПДн до момента достижения целей такой обработки.

8.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8.3. Персональные данные на материальных носителях, находящихся в делопроизводстве соответствующего структурного подразделения Оператора, осуществляющего работу с субъектами персональных данных, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. 

По окончании рабочего дня данные документы должны убираться в запирающиеся на ключ сейфы (металлические шкафы), оборудованные внутренними замками. 

В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном виде, допускается хранение таких носителей вне сейфов (металлических шкафов).

8.4. Личное дело, анкета Субъекта персональных данных и иные документы, включающие в себя персональные данные Субъекта персональных данных, содержащиеся на бумажных носителях, находятся у Оператора в специально отведенном шкафу, который обеспечивает защиту от несанкционированного доступа. 

Персональные данные Субъекта персональных данных могут также храниться в электронном виде на сервере Оператора, защищенном от несанкционированного доступа с помощью созданной системы защиты.

8.5. Хранение персональных данных в автоматизированном виде  происходит после их внесения в информационные системы обработки персональных данных. 

Производится регламентное резервное копирование персональных данных, применяются организационные и технические меры защиты информации.

8.6. Хранение документов, содержащих персональные данные Субъекта персональных данных, осуществляется в течение сроков и в порядке, предусмотренным законодательством Российской Федерации, а также и регламентирующими документами Общества в частности, согласием на обработку персональных данных в каждом конкретном случае.

9.  Распространение персональных данных

9.1. Распространение персональных данных осуществляется только на основании согласия на распространение персональных данных, в том числе на Сайте и официальном сообществе в социальных сетях: ВКонтакте.

Распространение персональных данных осуществляется:

– при публикации информации о работниках предприятия (Общества) на сайте;

– при размещении отзывов об опыте взаимодействия с Обществом;

– при размещении фото и видеоматериалов, полученных в ходе оказания услуг, выполнения работ.

9.2. Общество может обрабатывать следующий объем персональных данных: 

9.2.1. На сайте Общества может быть предоставлена следующая информация о работниках предприятия:

– фамилия, имя, отчество; 

– должность;

– профессия;

– фото-видео изображение лица;

– стаж работы.

– информация о достижениях Субъектов. 

9.2.2. При размещении отзывов: 

– фамилия, имя, отчество; 

– должность;

– профессия;

– место работы либо место учебы; 

– изображение. 

9.2.3. Размещение фото и видеоматериалов, полученных в ходе оказания услуг Субъектам: 

– фамилия, имя, отчество; 

– изображение.

9.3. Согласие с настоящей Политикой включает в себя согласие на распространение персональных данных.

10. Передача персональных данных

10.1. Информация, относящаяся к персональным данным Субъекта персональных данных, может быть предоставлена государственным органам и негосударственным структурам в порядке, предусмотренном федеральным законодательством Российской Федерации. 

К таким органам и структурам, в частности относятся:

– Налоговые органы

– Правоохранительные и судебные органы

– Органы статистики

– Военкоматы

– Фонд Социального Страхования и его территориальные органы

– Федеральная Миграционная Служба и ее территориальные органы

– Органы занятости населения

– Муниципальные органы управления

– Иные органы, которым в силу законодательства Работодатель должен предоставлять персональные данные Субъекта персональных данных исключительно в пределах, обусловленных целью их обработки и предусмотренных российским законодательством.

Такая информация передается по запросу вышеуказанных органов на основании настоящего Положения в случаях, предусмотренных российским законодательством.

10.2. Оператор может осуществлять передачу персональных данных Субъекта персональных данных партнерам и заказчикам, с которыми взаимодействует Оператор в процессе осуществления основной деятельности, которые приобретают продукцию и услуги Оператора и в виду этого нуждаются в получении определенной информации в отношении Субъекта персональных данных Оператора, вовлеченных в процесс оказания услуг и маркетингового продвижения продукции, для целей оценки того, насколько Оператор и Субъекты персональных данных подходят им для оказания услуг и предложения продукции, а также для целей обеспечения безопасности и защиты их собственности. 

При этом передаче подлежат только те персональные данные Субъекта персональных данных, которые необходимы для осуществления вышеуказанных целей, а также иных целей, отвечающих требованиям законодательства.

10.3. Оператор не вправе предоставлять персональные данные Субъекта персональных данных третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в случаях, установленных Трудовым кодексом Российской Федерации и федеральными законами.

10.4. При получении Оператором мотивированных запросов от органов власти, если это предусмотрено законодательством, Оператор предоставляет требуемые персональные данные в установленном объеме, порядке и сроки.

Согласия Субъектов персональных данных на предоставление их персональных данных в рамках таких запросов не требуется.

10.5. В случае если лицо, обратившееся с запросом о получении персональных данных, не уполномочено федеральным законом или иными правовыми актами на получение такой информации, либо отсутствует письменное согласие Субъекта персональных данных на предоставление его персональных данных, Оператор обязан отказать такому лицу. 

Лицу, обратившемуся с письменным запросом, может выдаваться письменное уведомление об отказе в предоставлении персональных данных.

10.6. Персональные данные Субъекта персональных данных могут быть переданы уполномоченным представителям Субъекта персональных данных в порядке, установленном законодательством и только в том объеме, в котором они необходимы для выполнения указанными представителями их функции.

10.7. В случае, если Оператор на основании договора поручает обработку персональных данных другому лицу, в том числе представителям Субъекта персональных данных, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, то такое лицо обязано обеспечить конфиденциальность и безопасность персональных данных Субъекта персональных данных. 

Оператор должен ограничивать передачу такой информации только теми персональными данными Субъекта персональных данных, которые необходимы для выполнения третьими лицами их функций.

11. Права и обязанности оператора и субъекта персональных данных при обработке персональных данных субъекта персональных данных

11.1. Оператор при обработке персональных данных субъекта персональных данных вправе:

– получать от субъекта персональных данных письменное согласие на обработку его персональных данных по формам, в случаях, установленных настоящей Политикой, законодательством в области персональных данных;

– устанавливать правила обработки персональных данных субъектов персональных данных в Обществе и вносить изменения и дополнения в Политику, самостоятельно разрабатывать и применять формы документов необходимых для исполнения Политики (согласий, уведомлений и запросов для обработки персональных данных);

– осуществлять иные права, предусмотренные законодательством, нормативно-правовыми актами и локальными актами Оператора в области персональных данных.

11.2. Оператор при обработке персональных данных субъекта обязан:

– осуществлять обработку персональных данных субъектов исключительно в целях, указанных в настоящей Политике;

– получать персональные данные субъекта персональных данных у него самого, а также по его просьбе предоставлять сведения, касающиеся обработки его персональных данных;

– обеспечить хранение и защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты за счет своих средств в порядке, установленном законодательством Российской Федерации;

– Оператор, как обладатель информации, информационных систем, включающих в себя персональные данные субъекта персональных данных, в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

– предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

– своевременное обнаружение фактов несанкционированного доступа к информации;

– предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к информации;

– недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

– возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

– постоянный контроль за обеспечением уровня защищенности информации;

– исполнять иные обязанности, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Оператора в области персональных данных.

11.3. Субъект персональных данных имеет право: 

– на получение сведений, касающихся обработки его персональных данных (Запрос или обращение может быть направлен также официальным (законным) представителем субъекта персональных данных); 

– отозвать согласие на обработку персональных данных; 

– требовать от Оператора уточнения своих персональных данных, их блокирования и уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;

– на обжалование неправомерных действий или бездействий Оператора по обработке персональных данных в уполномоченном органе по защите прав субъектов персональных данных и (или) в судебном порядке; 

– защиту своих прав и законных интересов в области персональных данных; 

– иные права, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Оператора в области персональных данных.

12. Доступ к информации, содержащей персональные данные

12.1. Доступ к информации, содержащей персональные данные, имеют работники Общества, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, а также работники, реализующие права субъектов персональных данных в соответствии со статьей 14 Федерального закона № 152-ФЗ от 27.07.2006 года «О персональных данных» в объеме, необходимом для выполнения ими служебных обязанностей.

12.2. Предоставление полномочий работникам Оператора на обработку персональных данных осуществляется только к данным, необходимым для выполнения ими своих функциональных обязанностей. 

При этом работники, допущенные к персональным данным, в обязательном порядке подписывают «Соглашение о неразглашении конфиденциальной информации Общества».

12.3. При реализации прав субъекта персональных данных, его персональные данные должны предоставляться ему таким образом, чтобы не нарушалась конфиденциальность персональных данных других субъектов персональных данных.

12.4. Требования по соблюдению конфиденциальности персональных данных являются обязательными к исполнению работником Оператора, допущенным к работе с персональными данными. 

Работник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. 

Запрещается предоставлять информацию о персональных данных по телефону, в присутствии третьих лиц или иным способом, нарушающим конфиденциальность.

12.5. Работник, допущенный к обработке персональных данных, принимает на себя обязательства в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

12.6. Работники, допущенные к обработке персональных данных, информируются о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки, установленных Политикой.

12.7. Доступ к обрабатываемым персональным данным разрешается третьим лицам только при наличии официального заявления запросившего лица с указанием перечня необходимой информации, целей для которых она будет использована, с согласия субъекта персональных данных, персональные данные которого затребованы.

12.8. Также доступ к персональным данным субъектов, обрабатываемых Оператором, может быть предоставлен органам власти, если это предусмотрено законодательством Российской Федерации или международными договорами.

12.9 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. 

Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации (ч. 4 ст. 20 ФЗ).

12.10. Доступ к персональным данным Субъекта персональных данных имеют следующие должностные лица: 

– руководитель; 

– заместители руководителя;

– сотрудники бухгалтерии;

– сотрудники отдела кадров;

– руководители подразделений и непосредственные руководители.

12.11. Получение персональных данных Субъекта персональных данных третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья Субъекта персональных данных, а также в случаях, установленных федеральным законодательством. 

Согласно статье 88 ТК РФ при передаче персональных данных работника работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев угрозы жизни и здоровью работника и по требованию госорганов. 

12.12. Передача бухгалтерии на аутсортинг должна сопровождаться передачей согласий на обработку персональных данных работников.

Бухгалтерская аутсорсинговая компания в данном случае является третьей стороной.

Работник предоставляет согласие на обработку его персональных данных бухгалтерской аутсорсинговой компанией.

13. Идентификационные файлы (cookies) и иные технологии

13.1. Веб-сайт, интерактивные услуги и приложения, сообщения электронной почты и любые иные коммуникации от лица Компании могут использовать идентификационные файлы cookies и иные технологии, такие как: пиксельные ярлыки (pixeltags), веб-маяки (webbeacons).

Такие технологии помогают Компании лучше понимать поведение пользователей, сообщают, какие разделы сайта были посещены пользователями, и измеряют эффективность рекламы и сетевых поисков.

Сбор информации осуществляется с использованием файлов «cookies» с согласия Пользователя.

13.2. Файл cookie представляет собой элемент данных, отправляемый веб-сайтом браузеру Пользователя, который затем может храниться на компьютере в качестве метки, идентифицирующей компьютер.

 Файлы cookies часто используются исключительно для анализа использования веб-сайта (в частности, для определения числа Пользователей и продолжительности посещения) и его эффективности (в частности, для определения тем, которые больше всего интересуют Пользователя), а также для упрощения навигации по сайту и его использования и в данном качестве не ассоциируются с персональными данными. 

Файлы cookies также используются для персонализации взаимодействия с Пользователем посредством их сопоставления с данными профиля или предпочтениями пользователя. 

13.3. Файлы cookies делятся на

– «файлы cookies сеанса», помогающие Пользователю эффективнее осуществлять навигацию по сайту и отслеживать перемещения между страницами, чтобы не приходилось заново вводить информацию, уже предоставленную во время текущего посещения сайта или необходимую для совершения транзакции.

– «постоянные cookies», хранящие предпочтения Пользователя для текущего и последующих посещений сайтов. Они записываются на жесткий диск устройства Пользователя и сохраняют корректность при повторном запуске браузера. 

13.4. При посещении Веб-сайта или пользовании Пользователь может задать варианты использования файлов cookies и других аналогичных технологий с помощью параметров и инструментов, предусмотренных в браузере. 

Для удаления имеющихся файлов cookies можно воспользоваться параметрами настройки браузера.

13.5. Пользователь может указать предпочтительные варианты использования большинства файлов cookies и аналогичных технологий через браузер. Информация о контроле над файлами cookies содержится в разделе «Настройки» (или подобном) используемого браузера. 

В большинстве случаев Пользователь можете настроить уведомления браузера о получении файла cookies и в каждом конкретном случае решать, следует ли принять этот файл или нет. 

Пользователь может полностью отключить файлы cookies в браузере. При блокировке, отключении или ином запрете использования файлов cookies Веб-сайт может отображаться неправильно.

13.6. Для ведения статистики и анализа работы Сайта Оператор обрабатывает с использованием метрических сервисов Яндекс.Метрика такие данные, как:

– IP-адрес;

– информация о браузере;

– данные из файлов cookie;

– время доступа;

– реферер (адрес предыдущей страницы).

13.6. В некоторых сообщениях электронной почты Компания может использовать интерактивные ссылки на информацию, размещённую на сайте Компании. Когда пользователи проходят по таким ссылкам, прежде чем они попадают на страницу назначения на веб-сайте Компании, их запросы проходят отдельную регистрацию. 

Компания может отслеживать такие «проходные» данные, для того чтобы помочь себе определить интерес к отдельным темам и измерить эффективность коммуникаций с потребителями. 

Если Пользователь предпочитает, чтобы обращения не отслеживались подобным образом, Пользователь не должен проходить по текстовым или графическим ссылкам в сообщениях электронной почты. 

Пиксельные ярлыки позволяют Компании направлять сообщения электронной почты в формате, читаемом потребителями, и сообщают, были ли такие сообщения прочитаны. Компания может использовать такую информацию для ограничения количества направляемых потребителям сообщений или прекращения их направления.

13.7 Веб-сайты, продукты, приложения и услуги Компании могут содержать ссылки на веб-сайты, продукты и услуги третьих лиц. Продукты и услуги Компании могут также использовать или предлагать продукты или услуги третьих лиц. Персональные данные и информация, собираемая третьими лицами, которые могут включать такие сведения, как данные местоположения или контактная информация, регулируется правилами соблюдения конфиденциальности таких третьих лиц. Компания призывает Пользователя изучать правила соблюдения конфиденциальности таких третьих лиц.

13.7 Оператор не несет ответственности за действия третьих лиц, получивших в результате использования Интернета или Услуг Сайта доступ к информации о Пользователе и за последствия использования данных и информации, которые, в силу природы Сайта, доступны любому пользователю сети Интернет.

14. Реализация права субъекта 

на доступ к своим персональным данным

14.1. Доступ субъекта персональных данных к своим персональным данным предоставляется при обращении либо при получении запроса этого субъекта персональных данных или его законного представителя. 

14.2. Уведомление - Запрос должен содержать:

– номер документа, удостоверяющего личность;

– сведения о дате выдачи указанного документа и выдавшем его органе;

– сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (например, номер и дата заключенного договора) или иные сведения, подтверждающие факт обработки персональных данных Оператором;

– подпись субъекта персональных данных или его законного либо уполномоченного представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

Если по каким-либо причинам Субъекту персональных данных неудобно использовать электронную почту, письменное обращение можно отправить по адресу: 

14.3. Субъект персональных данных имеет право потребовать от оператора предоставить информацию относительно обработки его персональных данных. 

Оператор обязуется предоставить информацию в течение 10 (десяти) рабочих дней со дня получения соответствующего запроса. 

В случае невозможности обработки запроса в течение 10 (десяти) рабочих дней, Оператор имеет право продлить срок подготовки ответа, но не более чем на 5 (пять) рабочих дней. При этом Оператор обязуется направить Субъекту персональных данных мотивированное уведомление с указанием причин продления.

14.4. В случае отказа субъекту персональных данных или его законному представителю в предоставлении сведений, касающихся обработки персональных данных данного субъекта, субъект персональных данных вправе обратиться или направить запрос повторно, но не ранее чем через тридцать дней после первоначального обращения или запроса, если более короткий срок не установлен федеральным законом. 

Запрос должен содержать требования, указанные в п. 14.2 Политики, а также обоснование направления повторного запроса.

14.5. Оператор вправе отказать субъекту в выполнении повторного запроса, не соответствующему требованиям п. 14.3 Политики, отказ должен быть мотивированным.

14.6. Актуализация и исправление персональных данных осуществляются Оператором в случае подтверждения факта их неточности, а удаление и уничтожение - в случае достижения всех целей их обработки и/или отзыва согласия на их обработку, если иное не предусмотрено Политикой и законодательством.

14.7. В случае выявления неточностей в персональных данных, Субъект персональных данных может направить Оператору уведомление на адрес электронной почты Оператора с пометкой «Актуализация персональных данных». 

Оператор вносит соответствующие исправления в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

14.8. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора с пометкой «Отзыв согласия на обработку персональных данных».

14.9. Субъект персональных данных вправе обратиться на электронный адрес Оператора с пометкой «Уничтожение персональных данных» с запросом на уничтожение персональных данных, в случае если такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. 

Оператор уничтожает указанные персональные данные в срок, не превышающий 7 (семи) рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. 

Об уничтожении персональных данных в течение 3 (трех) рабочих дней после уничтожения уведомляется обратившийся Субъект персональных данных.

15. Устранение нарушений законодательства, допущенных при обработке персональных данных.

Уточнение, блокирование и уничтожение персональных данных

15.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

15.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

15.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

15.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, Оператор прекращает неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.

15.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение и уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 10 (десяти) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством в области персональных данных.

15.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 10 (десяти) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством в области персональных данных.

15.7. Уничтожение персональных данных должно быть зафиксировано Оператором в акте об уничтожении персональных данных по каждому такому факту:

– информация на электронных носителях подлежит уничтожению путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации;

– информация на бумажных носителях подлежит уничтожению путем измельчения, исключающими возможность дальнейшего использования.

16. Общие требования к обработке персональных данных

16.1. Требования к обработке персональных данных, осуществляемой с использованием средств автоматизации.

Для всех выявленных и вводимых в эксплуатацию информационных систем персональных данных с автоматизированной / смешанной обработкой ПДн должны быть проведены следующие мероприятия:

– формирование перечня обрабатываемых персональных данных, соответствующих целям обработки работниками Оператора и иными уполномоченными лицами;

– разработка моделей угроз информационной безопасности, а именно определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, в соответствии требованиям федерального законодательства и нормативно-методическим документам уполномоченных органов исполнительной власти по вопросам обеспечения безопасности персональных данных;

– после определения актуальных угроз безопасности для каждой информационной системы персональных данных разрабатываются требования по обеспечению безопасности персональных данных при их обработке в соответствии с нормативно-методическими документами уполномоченных органов исполнительной власти;

– определение уровня защищенности персональных данных должно проводиться в соответствии с требованиями федерального законодательства и/или нормативными правовыми актами уполномоченного органа исполнительной власти;

– в соответствии с актом определения уровня защищенности информационной системы персональных данных и установленными требованиями по обеспечению безопасности персональных данных проектируется, внедряется и вводится в эксплуатацию построенная система защиты персональных данных.

16.2. Требования к обработке персональных данных, осуществляемой без использования средств автоматизации:

– работники, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях персональных данных, об особенностях и правилах их обработки, изложенных в настоящей Политике.

17. Ответственность за нарушение норм, регулирующих защиту персональных данных

17.1. Оператор несет установленную законодательством Российской Федерации ответственность за нарушение законодательства Российской Федерации в области персональных данных, настоящей Политики и других локальных актов Оператора.

17.2. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством.

17.3. За нарушения законодательства Российской Федерации в области персональных данных и настоящей Политики к работникам могут применяться следующие меры дисциплинарной ответственности:

– замечание;

– выговор;

– увольнение.

17.4. Меры дисциплинарной ответственности, указанные в п. 17.3 Политики, применяются в соответствии с локальными актами Оператора и в зависимости от тяжести последствий нарушений для Оператора и субъектов персональных данных.

17.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

– в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

– в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

18. Меры, направленные на обеспечение выполнения оператором обязанностей, связанные с обработкой персональных данных

18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, связанные с обработкой персональных данных:

1) назначено лицо, ответственное за организацию обработки персональных данных; 

2) изданы документы, определяющих политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. 

3) обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона «О персональных данных»; 

4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»; 

6) работники, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

19. Меры по обеспечению безопасности персональных данных при их обработке

19.1. Средства обеспечения безопасности: 

– определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

– применяются модели актуальных угроз и выполняются меры по их нейтрализации;

– обеспечен учет машинных носителей персональных данных;

– осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

– ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.

Использование шифровальных (криптографических) средств:

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

20. Сведения об обеспечении безопасности персональных данных

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе: 

1) обеспечена безопасность помещений, в которых размещена информационная система; 

2) обеспечена сохранность носителей персональных данных;

3) утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; 

4) используются средства защиты информации: 

– Программные средства защиты информации, а именно антивирусная программа;

– Криптографические средства защиты информации, а именно используется токен с электронной подписью.

21. Заключительные положения

21.1. Контроль соблюдения требований настоящей Политики в Обществе, а также ее актуализацию осуществляют лица, ответственные за организацию обработки персональных данных работников.

21.2. Ознакомившись с Политикой, субъект персональных данных подтверждает, что с содержанием Политики он ознакомлен, и что содержание Политики ему понятно.

21.3. Все отношения, касающиеся обработки персональных данных, не предусмотренные в настоящей Политике, регулируются законодательством Российской Федерации.

21.4. При внесении изменений в настоящую Политику в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения.