Положение об обработке персональных данных | Онлайн бухгалтерия Небо

Положение об обработке персональных данных

Положение об обработке персональных данных в ООО "Небо"

Утверждено Приказом ООО «Небо» от 22.10.2018 г. № 18

  1. Общие положения

1.1. Настоящее Положение «Об обработке персональных данных в Обществе с ограниченной ответственностью «Небо» (далее по тексту — «Положение») определяет порядок обработки персональных данных работников, заказчиков, клиентов, и других лиц Общества с ограниченной ответственностью «Небо» (далее по тексту — «Общество»), а также порядок обеспечения конфиденциальности обрабатываемых персональных данных.

1.2. Настоящее Положение разработано на оснований требований:

1.2.1. Конституции Российской Федерации (принятой всенародным голосованием 12.12.1993 г., с учетом поправок);

1.2.2. Гражданского кодекса Российской Федерации;

1.2.3. Налогового кодекса Российской Федерации;

1.2.4. Трудового кодекса Российской Федерации;

1.2.5. Федерального закона от 27.07.2006 г. № 152-ФЗ«О персональных данных»;

1.2.6. Федерального закона от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;

1.2.7. Федерального законаот 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

1.2.8. Федерального закона от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

1.2.9. Федерального законаот 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;

1.2.10. Указа Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

1.2.11. Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

1.2.12. Постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

1.2.13. ПостановленияПравительства РФ от 16.04.2003 г. № 225 «О трудовых книжках»;

1.2.14. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;

1.2.15. Постановления Госкомстата РФ от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

1.2.16. иныхнормативно-правовых актов Российской Федерация, закрепляющих основания и порядок обработки персональных данных; и соответствующихцелям и полномочиям по обработке персональных данных Обществом.

1.3. Требования настоящего Положения распространяются на работников Общества, заказчиков Общества, клиентов Общества, и других лиц (субъектов персональных данных), персональные данные которых обрабатывает Общество.

1.4. Доступ к настоящему Положению неограничен, так как настоящее Положение является документом, определяющим политику Общества в отношении обработки персональных данных, и реализуемые требования к защите персональных данных.

 

  1. Основные понятия, термины и определения

 

В настоящем Положении используются следующие понятия, термины и определения:

Информация — сведения (сообщения, данные) независимо от формы их представления;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Субъекты персональных данных — работники Общества, заказчики Общества, клиенты Общества, и другие лица, персональные данные которых обрабатывает Общество;

Работник — физическое лицо (субъект персональных данных), состоящее или состоявшее в трудовых отношениях с Обществом, в том числе уволенные работники;

Заказчик — физическое лицо (субъект персональных данных), заинтересованное в выполнении Обществом работ, оказании им услуг или приобретении у продавца какого-либо продукта;

Клиент — физическое лицо (субъект персональных данных), которому Обществом оказывается услуга;

Другие лица — физические лица (субъекты персональных данных), законные представители физических лиц, не относящиеся к категории работников, заказчиков и клиентов, персональные данные которых обрабатывает Общество (кандидаты на замещение вакантных должностей, близкие родственники работников, законные представители работников, законные представители заказчиков, законные представители клиентов);

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Доступ к информации — возможность получения информации, содержащей персональные данные и ее использования;

Использование персональных данных — действия (операции) с персональными данными, совершаемые Обществом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Конфиденциальность персональных данных — обязательное для соблюдения работниками Общества, иными получившим доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

 

  1. Цели и задачи Положения

 

3.1. Целями настоящего Положения выступают:

3.1.1. обеспечение соответствия обработки персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц требованиям действующего законодательства Российской Федерации;

3.1.2. обеспечение защиты персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц от несанкционированного доступа, утраты, неправомерного их использования, или распространения.

3.2. Задачами настоящего Положения являются:

3.2.1. определение принципов, целей и условий обработки персональных данных;

3.2.2. определение категорий персональных данных, категорий субъектов персональных данных, обрабатываемых Обществом;

3.2.3. определение действий (операций), совершаемых с персональными данными при их обработке;

3.2.4. определение применяемых Обществом способов защиты персональных данных;

3.2.5. определение прав и обязанностей Общества и субъектов персональных данных при обработке персональных данных.

 

  1. Принципы обработки персональных данных

 

4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

 

  1. Цели обработки персональных данных

 

Целями обработки персональных данных, являются:

  • регистрация сведений субъектов персональных данных, необходимых для самостоятельного ведения ими бухгалтерского учета на сервисах сайта Общества;
  • выполнение функций Удостоверяющего центра по созданию и управлению квалифицированными сертификатами ключей проверки электронной подписи в соответствии с регламентом;
  • осуществление технической поддержки субъектов персональных данных по использованию сервисов сайта Общества;
  • получение субъектами персональных данных актуальной информации о событиях и деятельности Общества;
  • заключение договоров на оказание услуг в области бухгалтерского обслуживания;
  • исполнение договорных обязательств;
  • ведение документооборота в Обществе в соответствии с трудовым законодательством Российской Федерации;
  • получение прибыли, и ее распределения в соответствии с действующим законодательством Российской Федерации и Уставом Общества.

 

  1. Условия обработки персональных данных

 

6.1. Обработка персональных данных осуществляется только работниками Общества, непосредственно использующими их в служебных (трудовых) целях.

6.2. Лица, уполномоченные на обработку персональных данных Общества имеют право получать только те персональные данные, которые необходимы им для выполнения своих служебных (трудовых) обязанностей. Все остальные работники Общества имеют право на полную информацию, касающуюся только собственных персональных данных.

6.3. Обработка персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных.

6.4. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством Российской Федерации. В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.

6.4.1. Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

6.4.2. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.

 

  1. Конфиденциальность персональных данных

 

Общество, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

 

  1. Категорий персональных данных, категорий субъектов персональных данных, обрабатываемых Обществом

 

8.1. Перечень категорий персональных данных, обрабатываемых в Обществе:

  • фамилия, имя, отчество;
  • пол;
  • дата рождения;
  • место рождения;
  • адрес регистрации;
  • данные документа, удостоверяющего личность (его серии, номере, дате и месте выдачи);
  • гражданство;
  • данные документа, удостоверяющего постановку на учет физического лица в налоговом органе (идентификационный номер налогоплательщика — ИНН);
  • данные страхового номера индивидуального лицевого счета (СНИЛС);
  • контактный номер телефона;
  • адрес электронной почты;
  • анкетные, биографические данные физического лица;
  • семейное положение;
  • состав семьи;
  • информация о трудовом стаже, предыдущих местах работы;
  • информация о воинской обязанности;
  • информация об образовании, квалификации, наличии специальных знаний;
  • данные о доходе и удержанном налоге на доходы физических лиц (НДФЛ);
  • сведения о должности, заработной плате, месте работы, рабочем месте;
  • информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью.

8.2. Перечень категорий субъектов персональных данных, обрабатываемых в Обществе:

  • Физические лица (работники), состоящих в трудовых отношениях с Обществом;
  • Физические лица (заказчики, клиенты), состоящих в договорных и иных гражданско-правовых отношениях с Обществом;
  • Другие лица: физические лица, законные представители физических лиц, не относящиеся к категории работников, заказчиков и клиентов, персональные данные которых обрабатывает Общество (кандидаты на замещение вакантных должностей, близкие родственники работников, законные представители работников, законные представители заказчиков, законные представители клиентов).

 

  1. Действия (операции), совершаемые с персональными данными при их обработке

 

9.1. Обществом совершаются следующие действия (операции), или совокупность действий (операций) с персональными данными субъектов персональных данных:

9.1.1. сбор;

9.1.2. запись;

9.1.3. систематизация;

9.1.4. накопление;

9.1.5. хранение;

9.1.6. уточнение (обновление, изменение);

9.1.7. извлечение;

9.1.8. использование;

9.1.9. передача (распределение, предоставление, доступ);

9.1.10. обезличивание;

9.1.11. блокирование;

9.1.12. удаление;

9.1.13. уничтожение персональных данных.

9.2. Общество при обработки персональных данных осуществляет обработку персональных данных как автоматизированным способом, так и неавтоматизированным способом (смешанная обработка персональных данных).Если используется цифровая информационная система (предназначенная для автоматизированной обработки персональных данных), то передача персональных данных осуществляется по защищенным каналам связи, а также с применением средств криптозащиты. Если используется информационная система на основе бумажных носителей, то передача персональных данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Общества, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным нормативным актом Общества.

9.3. Блокирование персональных данных в Обществе осуществляется с учетом специфики конкретной информационной системы. При использовании цифровой информационной системы,блокирование персональных данных в Обществе осуществляется посредством закрытия доступа к файлам с применением средств криптозащиты. При использовании информационной системы на основе бумажных носителей, блокирование персональных данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.

9.4. Хранение персональных данных в Обществе осуществляется с учетом специфики конкретной информационной системы.При использовании цифровой информационной системы, хранение персональных данных осуществляется на электронных носителях (жестком диске), а также в облачном хранилище данных.При использовании информационной системы на основе бумажных носителей, хранение персональных данных осуществляется в бухгалтерии Общества.

9.5. Ликвидация персональных данных в Обществе осуществляется с учетом специфики конкретной информационной системы. При использовании цифровой информационной системы, ликвидация персональных данных осуществляется  посредством их удаления изэлектронных носителей (с жестких дисков), а также с облачных хранилищ данных. При использовании информационной системы на основе бумажных носителей, ликвидация персональных данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.

 

  1. Защита персональных данных

работников Общества, заказчиков Общества, клиентов Общества, и других лиц 

 

10.1.  Общество при обработке персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.2.   Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

10.3.   Обеспечение безопасности персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учетом машинных носителей персональных данных;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

10.4.   Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.

10.5.   Выбор средств защиты информации для системы защиты персональных данных осуществляется Обществом в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.

10.6.   Для обеспечения безопасности персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, при неавтоматизированной обработке предпринимаются следующие меры:

10.6.1.   Определяются места хранения персональных данных, которые оснащаются средствами защиты:

—   в офисе, где осуществляется хранение документов, содержащих персональные данные работников Общества, заказчиков Общества, клиентов Общества, и других лиц, имеется сейф.

—   в офисе, где осуществляется хранение документов, оборудовано замками и системами охранной и пожарной сигнализаций.

10.6.2.  Все действия по неавтоматизированной обработке персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, осуществляются только уполномоченными лицами, согласно списка, утвержденного отдельным локальным нормативным актом Общества, и только в объеме, необходимом данным лицам для выполнения своей служебной (трудовой) функции.

10.6.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:

1)   при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;

2)   при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10.6.4.   Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

10.7.   Для обеспечения безопасности персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, при автоматизированной обработке предпринимаются следующие меры:

10.7.1.   Все действия при автоматизированной обработке персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц, осуществляются только уполномоченными лицами, согласно списка работников, утвержденного отдельным локальным нормативным актом Общества, и только в объеме, необходимом данным лицам для выполнения своей служебной (трудовой) функции.

10.7.2. Персональные компьютеры, имеющие доступ к информационной системе персональных данных работников Общества, заказчиков Общества, клиентов Общества, и других лиц защищены:

  • средствами крипто защиты информации;
  • системой защиты информации от несанкционированного доступа;
  • антивирусной программой.

 

  1. Права и обязанности Общества

как оператора по обработке персональных данных

 

11.1. Общество имеет право обрабатывать персональные данные субъектов персональных данных после соблюдения необходимых требований действующего законодательства РФ в области обработки персональных данных.

11.2. Общество обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами РФ:

  • назначить лицо, ответственное за организацию обработки персональных данных;
  • разработать и утвердитьлокальные нормативные акты, определяющие политику в отношении обработки персональных данных;
  • ознакомить работников, непосредственно осуществляющие обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с собственными документами и локальными нормативными актами, определяющими политику Общества в отношении обработки персональных данных;
  • осуществить внутренний контроль соответствия обработки персональных данных законодательству РФ в области персональных данных;
  • установить правила доступа работников к обрабатываемым документам, содержащим персональные данные, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применить необходимые организационные и технические меры по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, необходимых для обеспечения установленного уровня защищенности;
  • организовать учет машинных носителей персональных данных;
  • применить средства защиты информации прошедшие процедуру соответствия (сертифицированные);
  • обеспечить обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  • осуществитьконтроль за принимаемыми мерами по обеспечению безопасности в информационных системах персональных данных.

11.3. Обязанности Общества при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:

  • Общество обязано сообщить в порядке, предусмотренном статьей 14Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
  • В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14Федерального закона № 152-ФЗ, или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
  • Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
  • Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.

11.4. Обязанности Общества по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных:

  • В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
  • В случае подтверждения факта неточности персональных данных, Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
  • В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, или лицом, действующим по поручению Общества, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных. Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
  • В случае достижения цели обработки персональных данных, Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ, или другими федеральными законами РФ.
  • В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляетсядругим лицом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ, или другими федеральными законами РФ.
  • В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 35пункта 11.4. настоящего раздела Положения, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами РФ.

 

  1. Права и обязанности субъектов персональных данных

 

12.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Обществом;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Обществом способы обработки персональных данных;
  • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом, или на основании соответствующей правовой нормы;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ «О персональных данных»;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.

Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

12.2. Сведения, указанные в пункте 12.1. настоящего раздела Положения, должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

12.3. Сведения, указанные в пункте 12.1. настоящего раздела Положения, предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

12.4. В случае, если сведения, указанные в пункте 12.1. настоящего раздела Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу, или направить ему повторный запрос в целях получения сведений, указанных в пункте 12.1. настоящего раздела Положения, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством РФ.

12.5. Субъект персональных данных вправе обратиться повторно к Обществу, или направить ему повторный запрос в целях получения сведений, указанных в пункте 12.1. настоящего раздела Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте12.4. настоящего раздела Положения, в случае, если такие сведения, и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте12.3. настоящего раздела Положения, должен содержать обоснование направления повторного запроса.

12.6. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами12.4. и 12.5. настоящего раздела Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

12.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ, в том числе если:

  • обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

12.8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Общество не докажет, что такое согласие было получено.

12.9. Общество обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в пункте 12.8. настоящего раздела Положения.

12.10. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 12.11. настоящего раздела Положения.

12.11. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

12.12. Общество обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

12.13. Общество обязано рассмотреть возражение, указанное в пункте 12.12. настоящего раздела Положения, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

12.14. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства РФ, или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Обществавуполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

12.15. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12.16. Обязанности субъектов персональных данных:

12.16.1. Предоставить Обществу свои полные и достоверные персональные данные.

12.16.2. Своевременно поставить в известность Общества об изменении своих персональных данных.

 

  1. Ответственность за нарушение норм,

регулирующих обработку персональных данных

 

13.1. Лица, виновные в нарушении требований Федерального закона № 152-ФЗ, несут предусмотренную законодательством РФ ответственность.

13.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом № 152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

 

  1. Заключительные положения

 

14.1. Настоящее Положение вступает в силу с момента его утверждения Директором Общества и действует бессрочно, до замены его новым Положением.

14.2. Настоящее Положение действует в отношении всех субъектов персональных данных, чьи персональные данные обрабатывает Общество.