ПОЛОЖЕНИЕ об обработке и защите персональных данных работников и иных лиц в ООО «ЭПС»

Настоящее Положение об обработке и защите персональных данных работников и иных лиц (далее — Положение) является локальным нормативным актом и регламентирует порядок обработки персональных данных работников в ООО «ЭПС» (далее — Общество, Работодатель или Оператор), включая порядок хранения, передачи, блокирования и уничтожения персональных данных, меры по их защите и иные вопросы, связанные с обработкой персональных данных работников (далее — Работники или Субъекты персональных данных) и иных Субъектов персональных данных, указанных в Положении.

  •  

    1. Общие положения

     

    1.1. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, а также принятой Оператором Политикой обработки персональных данных в целях обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    1.2. В Положении устанавливаются:

    цель, порядок и условия обработки персональных данных;

    категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;

    положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

    1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

    1.4. Положение вступает в силу с даты его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения.

    1.5. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.

     

    2. Категории субъектов персональных данных

     

    2.1. К субъектам, персональные данные которых обрабатываются Обществом в соответствии с Положением, относятся:

    кандидаты для приема на работу в Общество (соискатели);

    работники Общества;

    бывшие работники Общества;

    члены семей работников Общества — в случаях, когда согласно законодательству сведения о них предоставляются работником;

    иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права;

    клиенты и контрагенты Общества (физические лица);

    представители (работники) клиентов и контрагентов Общества (юридических лиц);

    пользователи, посетители сайта Общества, лица, обратившиеся с помощью форм обратной связи посредством сайта, социальных сетей, мессенджеров.

     

    3. Цели обработки персональных данных, категории (перечни)

    обрабатываемых персональных данных

     

    3.1. Персональные данные обрабатываются Обществом в следующих целях:

    3.1.1. Ведение кадрового и бухгалтерского учета, исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, обеспечение соблюдения налогового законодательства, обеспечение соблюдения пенсионного законодательства.

    В соответствии с целью, указанной в настоящем пункте, в Обществе обрабатываются следующие персональные данные:

    фамилия, имя, отчество;

  • пол;
  • гражданство;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • индивидуальный номер налогоплательщика;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • данные о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения о судимости;
  • сведения о состоянии здоровья;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
  • владение иностранными языками и языками народов Российской Федерации;
  • сведения о полисе обязательного медицинского страхования;
  • сведения о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
  • сведения об аттестации работника;
  • сведения о повышении квалификации;
  • информация о приеме на работу, перемещении по должности, увольнении;
  • сведения об отпусках, сведения о командировках, сведения о листках нетрудоспособности работника;
  • табельный номер;
  • информация о смене фамилии;
  • сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством (наименование льготы, номер и дата выдачи документа);
  • заявление о выборе формы ведения трудовой книжки;
  • страховой стаж;
  • отметки о явках и неявках на работу по числам месяца, количество неявок, причины неявок, количество отработанных часов за месяц, неделю, количество выходных и праздничных дней;
  • серия и номер трудовой книжки, вкладыша;
  • основание прекращения (расторжения) трудового договора (увольнения), причина увольнения, дата увольнения, номер и дата приказа (распоряжения);
  • данные о детях;
  • стандартные, социальные и имущественные вычеты;
  • статус налогоплательщика;
  • биометрические персональные данные, а именно фотографическое изображение Субъекта персональных данных;
  • иная информация, которую желает сообщить о себе работник, а также иные персональные данные, соответствующие заявленным целям обработки.
  • 3.1.2. В целях подбора персонала (соискателей) на вакантные должности Общества обрабатываются следующие персональные данные кандидатов для приема на работу (соискателей):

    фамилия, имя, отчество;

  • год рождения;
  • месяц рождения;
  • дата рождения;
  • место рождения;
  • семейное положение;
  • пол;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • адрес электронной почты;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • сведения об образовании, опыте работы, квалификации;
  • биометрические персональные данные, а именно фотографическое изображение Субъекта персональных данных;
  • иные персональные данные, сообщаемые кандидатами (соискателями) в резюме, анкетах и сопроводительных письмах.
  • 3.1.3. В целях осуществления предпринимательской деятельности в соответствии с уставом ООО «ЭПС», в том числе, заключения и исполнения контрактов/договоров/соглашений с поставщиками, подрядчиками, исполнителями, покупателями, заказчиками и иными контрагентами обрабатываются следующие персональные данные клиентов и контрагентов Общества (физических лиц):

    фамилия, имя, отчество;

  • дата рождения;
  • месяц рождения;
  • год рождения;
  • место рождения;
  • пол;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • адрес регистрации по месту жительства;
  • адрес электронной почты;
  • номер телефона;
  • замещаемая должность;
  • индивидуальный номер налогоплательщика;
  • номер расчетного счета;
  • иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
  • 3.1.4. В целях осуществления предпринимательской деятельности в соответствии с уставом ООО «ЭПС», в том числе, заключения и исполнения контрактов/договоров/соглашений с поставщиками, подрядчиками, исполнителями, покупателями, заказчиками и иными контрагентами обрабатываются следующие персональные данные представителей (работников) клиентов и контрагентов Общества (юридических лиц):

    фамилия, имя, отчество;

  • дата рождения;
  • месяц рождения;
  • год рождения;
  • место рождения;
  • пол;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • адрес регистрации по месту жительства;
  • адрес электронной почты;
  • номер телефона;
  • замещаемая должность;
  • иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов (юридических лиц), необходимые для заключения и исполнения договоров.
  • 3.1.5. В целях предоставления пользователям доступа к сервисам, информации, материалам, содержащимся на официальном сайте Общества, направления сообщения/обращения/информации в форме обратной связи посредством официального сайта, социальных сетей, мессенджеров обрабатываются следующие персональные данные пользователей, посетителей сайта, лиц, обратившихся с помощью форм обратной связи:

    фамилия, имя, отчество;

  • адрес электронной почты;
  • номер телефона;
  • почтовый адрес;
  • имена и пароли пользователей;
  • IP-адрес компьютера и время доступа;
  • сведения о том, по ссылке с какого Интернет-сайта пользователь попал на ресурс Оператора;
  • сведения о посещенных страницах на сайте Оператора;
  • сведения об использованных ссылках на сайте Оператора;
  • сведения о просмотре рекламных баннеров;
  • информация об устройствах компьютера пользователя;
  • прочая техническая информация, предоставляемая браузером пользователя (тип устройства, тип и версия браузера, операционная система, разрешение экрана и т.п.);
  • сведения о направленных запросах или обращениях;
  • сведения о приобретенных товарах и предоставленных услугах (в том числе сведения о доставке);
  • детальная информация о соглашениях между пользователем и Оператором;
  • сведения о контактах и сообщениях;
  • данные о местоположении пользователя (при получении прямого согласия пользователя на каждый случай предоставления подобной информации);
  • иная информация, которую желает сообщить о себе пользователь, посетитель сайта, а также иные персональные данные, соответствующие заявленным целям обработки.

 

3.2. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

 

4. Порядок и условия обработки персональных данных

 

4.1. Правовым основанием обработки персональных данных являются:

 

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
  • Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон РФ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон РФ от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
  • Федеральный закон от 28 марта 1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года № 188;
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
  • устав ООО «ЭПС»;
  • договоры, заключаемые между Обществом и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных.

 

4.2. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

4.3. Обработка персональных данных в Обществе выполняется следующими способами:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

смешанная обработка персональных данных.

4.4. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

4.4.1. Форма согласия Работника на обработку персональных данных установлена в Приложении № к Положению («Форма согласия работника на обработку персональных данных»).

4.4.2. Форма согласия соискателя на обработку персональных данных установлена в Приложении № к Положению («Форма согласия соискателя на обработку персональных данных»).

4.4.3. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора. Форма согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, установлена в Приложении № 4 к Положению («Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

4.4.4. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.5. Общество не осуществляет трансграничную передачу персональных данных.

4.6. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.6.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:

получения оригиналов документов либо их копий;

копирования оригиналов документов;

внесения сведений в учетные формы на бумажных и электронных носителях;

создания документов, содержащих персональные данные, на бумажных и электронных носителях;

внесения персональных данных в информационные системы персональных данных.

4.6.2. В Обществе используются следующие информационные системы:

корпоративная электронная почта;

система электронного документооборота;

система поддержки рабочего места пользователя;

система управления персоналом;

система контроля за удаленным доступом;

информационный портал.

4.7. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

4.8. При передаче персональных данных Работника Работодатель должен соблюдать следующие требования:

- не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в других случаях, предусмотренных законом;

 

- не сообщать персональные данные Работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;

- осуществлять передачу персональных данных Работника в пределах одной организации в соответствии с Положением, с которым Работник должен быть ознакомлен под роспись;

- разрешать доступ к персональным данным Работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции;

- передавать персональные данные Работника его представителям в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными Работника, которые необходимы для выполнения указанными представителями их функций.

4.9. Не требуется согласие Работника на передачу персональных данных:

- третьим лицам в целях предупреждения угрозы жизни и здоровью Работника;

- в СФР в объеме, предусмотренном законом, налоговые органы, военные комиссариаты, в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;

- по мотивированному запросу органов прокуратуры, правоохранительных органов и органов безопасности;

- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

- по запросу суда;

- в случаях, связанных с исполнением Работником должностных обязанностей (например, при направлении в командировку);

- для предоставления сведений в кредитную организацию, обслуживающую платежные карты Работников;

- в иных случаях, предусмотренных законодательством РФ.

4.10. Оператор осуществляет передачу персональных данных Работников своим контрагентам с письменного согласия Работника, форма которого установлена в Приложении № 3 к Положению («Форма согласия работника на передачу его персональных данных третьему лицу»).

 

5. Сроки обработки и хранения персональных данных

 

5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:

при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение трех рабочих дней с даты выявления такого факта;

при достижении целей их обработки (за некоторыми исключениями);

по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;

при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

 

 

 

6. Порядок блокирования и уничтожения персональных данных

 

6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет работник, ответственный за организацию обработки персональных данных.

6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора.

6.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

актом об уничтожении персональных данных — если данные обрабатываются без использования средств автоматизации;

актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных — если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

6.8.4. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

6.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных.

 

7. Защита персональных данных. Процедуры,

направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений

 

7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

7.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.

7.2. С целью защиты персональных данных в Обществе приказами генерального директора назначаются (утверждаются):

работник, ответственный за организацию обработки персональных данных;

работник, ответственный за обеспечение безопасности персональных данных в информационных системах;

перечень должностей, при замещении которых обрабатываются персональные данные, в том числе в информационных системах;

перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;

иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.4. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Общество обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие, а именно:

 

- определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система);

 

- применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

- применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

- применять для уничтожения персональных данных средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, в составе которых реализована функция уничтожения информации;

- проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

- вести учет машинных носителей персональных данных;

- обеспечивать обнаружение фактов несанкционированного доступа к персональным данным и принимать меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;

- обеспечивать восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установить правила доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе;

- осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.

7.5. Для обеспечения третьего уровня защищенности персональных данных при их обработке в информационных системах Обществом установлены следующие меры:

Помещения, в которых размещена информационная система персональных данных, оборудуются запирающими устройствами.

Машинные носители персональных данных хранятся в сейфе.

Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.

В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.6. Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119, проводится не реже 1 раза в 3 года.

7.7. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ.

 

7.8. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:

при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;

в иных случаях, предусмотренных законодательством в области персональных данных.

7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;

соответствием указанных актов требованиям законодательства в области персональных данных.

7.10.1. Внутренний контроль проходит в виде внутренних проверок.

7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

7.10.3. По итогам внутренней проверки оформляется приказ. Если выявлены нарушения, в приказе приводится перечень мероприятий по их устранению и соответствующие сроки.

7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).

7.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:

об инциденте;

его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

принятых мерах по устранению последствий инцидента;

представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

7.11.2. В течение 72 часов Общество обязано сделать следующее:

уведомить Роскомнадзор о результатах внутреннего расследования;

предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

7.13. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

7.14. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.13. Положения.

7.15. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

 

8. Ответственность за нарушение норм, регулирующих

обработку персональных данных

 

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.