УТВЕРЖДЕНО

Приказом Генерального директора

ООО «АЛЬБОМИКС» от 20.11.2023 № 6

Положение

об обработке персональных данных

Общества с ограниченной общества «АЛЬБОМИКС»

(ООО «АЛЬБОМИКС»)

город Москва

1. Общие положения

1. Общество с ограниченной ответственностью «АЛЬБОМИКС» (далее –"Оператор"), являясь Оператором, осуществляет работу с персональными Работников, а также всех физических лиц, так или иначе взаимодействующих с ООО «АЛЬБОМИКС», исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, реализации уставных видов деятельности Оператора, а также содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2. Настоящее Положение определяет политику ООО «АЛЬБОМИКС» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Настоящим Положением определяется порядок обработки персональных данных Работников, а также всех физических лиц, так или иначе взаимодействующих с Оператором

4. Настоящее Положение разработано на основе и во исполнение Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее – "Закон о персональных данных"), Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188 и иных нормативных актов законодательства РФ.

5. В целях применения настоящего Положения применяются следующие основные понятия:

Работник означает физическое лицо:

• находящееся в трудовых отношениях с Оператором;

• бывшее в трудовых отношениях с Оператором.

Кандидат означает физическое лицо, планирующее вступить в трудовые отношения с Оператором.

Зарегистрированный пользователь Сайта (далее Пользователь) – физические лица, зарегистрировавшиеся на сайте Оператора путем заполнения регистрационной формы и разделов в «Личном кабинете», а также заключившие и планирующие заключить с Оператором договор на оказание услуг.

Субъект персональных данных (также Субъект) – Работник, Кандидат, Пользователь, а также любое другое физическое лицо, в том числе, заключившее договор с Оператором.

Оператор - ООО «АЛЬБОМИКС».

Персональные данные Субъекта – любая информация, относящаяся к Субъекту персональных данных, на основе которой такой Субъект может быть определен, включая, но не ограничиваясь:

• фамилию, имя, отчество,

• год, месяц и дату рождения, место рождения,

• пол,

• гражданство,

• данные рабочей визы, паспортные данные или данные иного документа, удостоверяющего личность (включая серию и/или номер, дату выдачи и выдавший орган),

• ИНН,

• Документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа,

• табельный номер Работника,

• данные об образовании, знании иностранных языков, данные по повышению квалификации и переподготовке,

• сведения о семейном положении и составе семьи, в том числе необходимые для предоставления законодательно установленных льгот,

• сведения о воинском учете,

• контакты – адрес регистрации и фактический адрес проживания, адрес личной электронной почты,

• телефон (личный мобильный, домашний),

• биометрические данные,

• данные о трудовой деятельности (включая опыт работы),

• сведения о заработной плате и иных доходах и выплатах, сведения о социальных льготах, декларациях, подаваемых в органы Федеральной налоговой службы РФ (в том числе территориальные), данные, направляемые в органы Федеральной службы государственной статистики (в том числе территориальные органы),

• должность,

• рабочие контактные данные (включая адрес корпоративной электронной почты),

• сведения медицинского характера (в случаях, предусмотренных законом)

• информация о заболеваниях субъекта, затрудняющих выполнение субъектом трудовой функции,

• сведения о наличии судимости и иные данные,

• изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен).

Персональные данные относятся к категории конфиденциальной информации.

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности человека и на основе, которых можно установить его личность и которые используются Оператором для установления личности Субъекта персональных данных.

Обработка персональных данных Субъекта (перечень действий с персональными данными на обработку которых Субъекта персональных данных дает согласие) – любые действия с использованием средств автоматизации или без таковых (операции) с персональными данными, включая получение, запись, сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, комбинирование, передачу (трансграничную передачу, распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение или любое другое использование персональных данных Субъекта персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным уполномоченным Оператором лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия Работника или наличия иного законного основания.

Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

6. Документами, содержащими персональные данные, являются:

• паспорт или иной документ, удостоверяющий личность,

• трудовая книжка и/или сведения о трудовой деятельности,

• страховое свидетельство государственного пенсионного страхования,

• свидетельство о постановке на учет в налоговый орган и присвоении ИНН,

• документы воинского учета,

• документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки,

• личная карточка Работника,

• автобиография, резюме Кандидата, характеристики, рекомендательные письма и иные аналогичные документы,

• адреса электронной почты,

• номера телефонов,

• медицинское заключение о состоянии здоровья и листок нетрудоспособности,

• документы, содержащие сведения о заработной плате, доплатах, надбавках, компенсациях и льготах,

• приказы о приеме на работу, об увольнении, о переводе на другую должность, о поощрениях и взысканиях, о повышении заработной платы, премировании, об отпусках и иные приказы по личному составу,

• документы по командировкам и деловым встречам Работников,

• заявления, запросы, объяснительные, докладные и служебные записки Работников,

• документы (отчеты, заключения, акты, сообщения, информация, справки, переписка, докладные и служебные записки) о соблюдении дисциплины труда,

• трудовой договор и дополнения к нему,

• документы о достижениях Субъекта персональных данных, его интервью, повышениях квалификации,

• штатное расписание,

• график отпусков,

• переписка по вопросам трудоустройства,

• разрешения на работу и иные документы, необходимые для оформления трудовых отношений с иностранными Субъектами персональных данных,

• согласия Субъекта персональных данных на обработку персональных данных,

• иные документы, которые с учетом специфики работы и в соответствии с законодательством и локальными нормативными актами Оператору должны быть предъявлены Субъекту персональных данных при заключении договора, в том числе трудового, или в период его действия,

• другие документы и электронные носители, содержащие персональные сведения, предназначенные для использования в служебных целях.

7. Согласие на обработку персональных данных Субъектов может быть получено в письменном виде на бумажном носителе по формам, утвержденным в Приложениях № 1, 4, 5, 6 к данному Положению, а также на основании части 1 статьи 9 Закона о персональных данных в любой позволяющей подтвердить факт его получения форме, в том числе путем отметки в соответствующем поле на сайте Оператора в соответствии с п. 2.2.6 данного Положения. В случае, если Законодательством предусмотрено обязательное наличие письменной формы согласия в соответствии с пунктом 4 статьи 9 Закона о персональных данных, то таковое может быть получено только в письменном виде на бумажном носителе. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

2. Обработка персональных данных Субъекта персональных данных

1. Основные положения

1. При обработке персональных данных Субъекта персональных данных в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации и иных федеральных законов, а также международных договоров, имеющих юридическую силу на территории России.

2. Сроки обработки персональных данных Субъекта персональных данных определяются в соответствии со сроком действия договора на оказания услуг, трудового договора, а также требованиями законодательства и нормативных документов.

3. Обработка персональных данных осуществляется в целях исполнения возложенных на Оператора законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами, иными нормативно-правовыми актами Российской Федерации и локальными нормативными актами Оператора, а также в иных корпоративных целях, не противоречащих действующему законодательству.

4. Целями обработки персональных данных Субъекта персональных данных, в частности, являются:

• реализации уставных видов деятельности Оператора,

• поиск и подбор персонала,

• заключение трудовых договоров и исполнение трудовых договоров,

• содействие в трудоустройстве, обучении и продвижении по службе,

• обеспечение личной безопасности,

• контроль количества и качества выполняемой работы (включая аттестацию и оценку деятельности),

• расчет заработной платы, пособий и иных выплат,

• обеспечение охраны труда и безопасных условий труда

• организация командировок и иных разъездов работников (включая компенсацию расходов),

• возможность связаться с Субъектом персональных данных в случае служебной необходимости,

• обеспечение сохранности имущества Субъекта персональных данных и Оператора,

• обеспечение законных интересов Субъекта персональных данных, связанных с трудовой деятельностью у Оператора,

• представления услуг субъектам персональных данных,

• осуществления клиентской поддержки Субъекта,

• осуществления информационной рассылки Субъектам,

• проведения аудита и внутренних исследований с целью повышения качества предоставляемых Оператором услуг,

• иные цели, направленные на обеспечение соблюдения законов и иных нормативных правовых актов.

В соответствии с требованиями ст. 18.1 Закона о персональных данных Приложением №8 к данному Положению определены для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

5. Субъект персональных данных предоставляет свое письменное согласие на обработку своих биометрических персональных данных, которая осуществляется Оператором для идентификации личности Субъекта персональных данных в служебных целях, а также для целей обеспечения личной безопасности Субъекта персональных данных и контроля количества и качества работы, выполняемой Субъектом персональных данных. Обработка таких персональных данных может осуществляться без согласия Субъекта персональных данных в случаях, предусмотренных российским законодательством.

6. Оператор не вправе отказывать в обслуживании в случае отказа Субъекта персональных данных предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если получение оператором согласия на обработку персональных данных не является обязательным

7. Согласие Субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов (в который входит Работник), персональные данные которых подлежат обработке, а также определяющего полномочия Оператора персональных данных,

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем

• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных,

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно,

• обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи,

• в иных случаях, установленных в Законе о персональных данных.

В случае служебной необходимости Субъект персональных данных дает свое согласие на обработку персональных данных по форме, установленной Оператором (Приложение №1).

8. Обработка персональных данных Кандидатов для приема на работу осуществляется в соответствии с требованиями данного Положения. При обработке персональных данных кандидатов оформляется согласие по форме, утвержденной Оператором (приложение № 5).

9. Обработка персональных данных Пользователей производится в соответствии с требованиями данного Положения. При обработке персональных данных Пользователей оформляется согласие (Приложение №6) путем проставления отметки в соответствующем поле на сайте Оператора в соответствии с п.2.2.6 данного Положения.

2. Получение персональных данных Субъекта персональных данных

1. Персональные данные Субъекта персональных данных Оператор получает непосредственно от Субъекта персональных данных. Оператор вправе получать персональные данные Субъекта персональных данных от третьих лиц только при уведомлении об этом Субъекта персональных данных (Приложение №3) и при наличии письменного согласия Субъекта персональных данных (Приложение №4).

2. Сбор персональных данных Субъекта персональных данных осуществляется путем:

• копирования оригиналов документов Субъекта персональных данных,

• внесения сведений в учетные формы Оператора (на бумажных и электронных носителях),

• получения/создания оригиналов необходимых документов (включая, но не ограничиваясь трудовой книжкой, личной карточкой Работника, автобиографией, листком нетрудоспособности),

• заполнения Пользователем регистрационной формы и разделов «Личного кабинета» на сайте Оператора.

3. Субъект персональных данных представляет необходимые сведения и в случае необходимости предъявляет Оператору документы, подтверждающие достоверность этих сведений.

4. Оператор не вправе требовать от Субъекта персональных данных предоставления информации о политических и религиозных убеждениях, а также о частной жизни Субъекта персональных данных за исключением случаев, непосредственно связанных с вопросами трудовых отношений Работника.

5. Оператор также не может запрашивать информацию о состоянии здоровья Субъекта персональных данных за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом персональных данных трудовой функции.

6. Персональные данные Пользователей могут быть получены путем заполнения регистрационной формы и разделов в «Личном кабинете», а также путем проставления отметки в соответствующем поле.

3. Хранение персональных данных

1. Сведения о работниках организации хранятся на бумажных носителях в помещении бухгалтерии, для этого используются специально оборудованные шкафы и сейфы, которые запираются на ключ. Ключи от шкафов и сейфов, в которых находятся сведения о работниках организации, находятся у Главного бухгалтера, а при его отсутствии - у Генерального директора. Личные дела уволенных работников хранятся в архиве бухгалтерии.

2. Конкретные обязанности по заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные работников, возлагаются на работников бухгалтерии и закрепляются в трудовых договорах, заключаемых с ними, или в должностных инструкциях.

3. Материалы, связанные с анкетированием, проведением собеседований с кандидатами на должность и работниками, помещаются в специальное дело, имеющее гриф "Конфиденциально".

4. Сведения о персональных данных работников организации также хранятся на электронных носителях, доступ к которым ограничен паролем.

5. Хранение документов, содержащих персональные данные Субъектов, осуществляется в течение сроков и в порядке, предусмотренными законодательством Российской Федерации.

4. Использование персональных данных Субъекта персональных данных

2.4.1 Оператор использует персональные данные Субъекта персональных данных для решения вопросов продвижения Субъекта персональных данных по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы, премирования, направления Работника в служебные командировки, оформления льгот, формирование оферт и договоров на оказание услуг и иных финансово-отчетных документов, информационной рассылки клиентам, привлечения новых клиентов и т. д.

2.4.2. При принятии решений, порождающих юридические последствия в отношении Субъекта персональных данных, Оператор не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения, без получения на это письменного согласия Субъекта персональных данных.

2.4.3. Использование и хранение биометрических персональных данных Субъекта персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

5. Передача персональных данных Субъекта персональных данных.

2.5.1. Информация, относящаяся к персональным данным Субъекта персональных данных, может быть предоставлена государственным органам и негосударственным структурам в порядке, предусмотренном федеральным законодательством Российской Федерации. К таким органам и структурам, в частности относятся:

• Налоговые органы,

• Правоохранительные и судебные органы,

• Органы статистики,

• Военкоматы,

• Фонд пенсионного и социального страхования Российской Федерации и его территориальные органы,

• Главное управление по вопросам миграции МВД России,

• Органы занятости населения,

• Муниципальные органы управления,

• Иные органы, которым в силу законодательства Оператора должен предоставлять персональные данные Субъекта персональных данных исключительно в пределах, обусловленных целью их обработки и предусмотренных российским законодательством.

Такая информация передается на основании требований законодательства, а также в отдельных случаях по запросу некоторых из вышеуказанных органов на основании настоящего Положения в случаях, предусмотренных российским законодательством.

2.5.2. Оператор может осуществлять передачу персональных данных Субъекта персональных данных партнерам и заказчикам, с которыми взаимодействует Оператор в процессе осуществления основной деятельности, которые приобретают продукцию и продукцию услуги Оператора и в виду этого нуждаются в получении определенной информации в отношении Субъекта персональных данных Оператора, вовлеченных в процесс оказания услуг и маркетингового продвижения продукции, для целей оценки того, насколько Оператор и Субъекты персональных данных подходят им для оказания услуг и предложения продукции, а также для целей обеспечения безопасности и защиты их собственности. При этом передаче подлежат только те персональные данные Субъекта персональных данных, которые необходимы для осуществления вышеуказанных целей, а также иных целей, отвечающих требованиям законодательства.

2.5.3. Оператор не вправе предоставлять персональные данные Субъекта персональных данных третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в случаях, установленных Трудовым кодексом Российской Федерации и Федеральными законами.

2.5.4. В случае если лицо, обратившееся с запросом о получении персональных данных, не уполномочено федеральным законом или иными правовыми актами на получение такой информации, либо отсутствует письменное согласие Субъекта персональных данных на предоставление его персональных данных, Оператор обязан отказать такому лицу. Лицу, обратившемуся с письменным запросом, может выдаваться письменное уведомление об отказе в предоставлении персональных данных.

2.5.5. Персональные данные Субъекта персональных данных могут быть переданы уполномоченным представителям Субъекта персональных данных в порядке, установленном законодательством и только в том объеме, в котором они необходимы для выполнения указанными представителями их функции.

2.5.6. В случае, если Оператор на основании договора поручает обработку персональных данных другому лицу, в том числе представителям Субъекта персональных данных, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, то такое лицо обязано обеспечить конфиденциальность и безопасность персональных данных Субъекта персональных данных. Оператор должен ограничивать передачу такой информации только теми персональными данными Работников, которые необходимы для выполнения третьими лицами их функций.

2.6. Способы обработки персональных данных Субъекта персональных данных

Обработка персональных данных Субъекта персональных данных осуществляется путем смешанной (как автоматизированной, так и без использования средств автоматизации) обработки, в том числе, с использованием внутренней сети и сети Интернет.

2.6.1. Обработка персональных данных без использования средств автоматизации

1. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

5. Правила, предусмотренные 2.6.1.3 и 2.6.1.4 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.6.2. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:

1. Обработка персональных данных, осуществляемая без использования средств автоматизации осуществляется таким образом, что в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

2. Раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

2.6.3. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой с использования средств автоматизации:

1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации, если применяемые меры и средства обеспечения безопасности не соответствуют требованиям законодательства Российской Федерации, предъявляемым к системам данного класса.

3. Обработка персональных данных с использованием средств автоматизации осуществляется в рамках информационных систем персональных данных Оператора и внешних информационных систем, предоставляемых сторонними организациями.

3. Доступ к Персональным данным

1. Уполномоченные лица имеют право получать только те персональные данные Субъекта персональных данных, которые необходимы для выполнения их должностных обязанностей и функций. Все остальные Субъекты персональных данных имеют право на полную информацию только об их персональных данных и обработке этих данных.

2. Получение персональных данных Субъекта персональных данных третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья Субъекта персональных данных, а также в случаях, установленных федеральным законодательством.

3. Доступ к персональным данным Субъекта персональных данных имеют следующие должностные лица:

• генеральный директор – администратор информационной системы персональных данных (ИСПДн);

• главный бухгалтер - администратор ИСПДн;

• руководители структурных подразделений - в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях – Пользователь ИСПДн.

4. Субъекты персональных данных, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором.

4. Защита персональных данных

1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации ограниченного доступа;

• реализацию права на доступ к информации.

2. При передаче персональных данных Субъекта персональных данных с соблюдением условий, предусмотренных в настоящем Положении, должностные лица Оператора обязаны предупредить лиц, которым передаются данные, об ответственности в соответствии с законодательством Российской Федерации.

3. Защита информации осуществляется в соответствии с требованиями международных договоров, локальным нормативным актом Оператора в сфере защиты информации, требованиями Оператора, а также российским законодательством.

4. Для защиты персональных данных Субъект персональных данных Оператор обязан соблюдать следующие правила:

• ограничение и регламентация состава лиц, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

• избирательное и обоснованное распределение документов и информации, содержащих персональные данные Субъектов персональных данных, между лицами, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

• в помещениях Оператора должны быть обеспечены необходимые условия для работы с конфиденциальными документами и базами данных, в том числе содержащих персональные данные (в частности, для хранения документов, содержащих персональные данные должны использоваться специально оборудованные шкафы или сейфы, которые запираются на ключ);

• должен быть организован порядок уничтожения информации, содержащей персональные данные Субъекта персональных данных, если законодательством не установлены требования по хранению соответствующих данных (в частности, бумажные носители, содержащие персональные данные должны уничтожаться путем использования шредера или иным аналогичным способом);

• с Субъектами персональных данных должна производиться разъяснительная работа по предупреждению утраты сведений при работе с конфиденциальными документами (в том числе, документами, содержащими персональные данные);

• личные дела Работников могут выдаваться только специально уполномоченным должностным лицам;

• персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа;

• соблюдение порядка приема, учета и контроля деятельности посетителей на территории Оператора;

• контроль соблюдения требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);

• расследование случаев несанкционированного доступа или разглашения персональных данных и привлечение виновных лиц к ответственности;

• иные требования, предусмотренные законодательством.

5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

5. Права и обязанности сторон в области обработки персональных данных

1. Субъект персональных данных обязан предоставлять Оператору достоверные сведения о себе.

Оператор оставляет за собой право проверять достоверность сведений, сверяя данные, предоставленные Субъектом персональных данных, с имеющимися документами.

Субъект персональных данных обязан воздерживаться от разглашения персональных данных других Субъектов персональных данных.

Субъекты персональных данных обязаны использовать персональные данные других Субъектов персональных данных лишь в целях, для которых они были сообщены.

2. В случае если на основании персональных данных Субъекта персональных данных невозможно достоверно установить какие-либо обстоятельства, учет которых необходим при принятии решений, затрагивающих права Субъекта персональных данных в рамках трудовых отношений, Оператор может предложить Субъекту персональных данных представить разъяснения и уточнения в отношении своих персональных данных в любой удобной форме.

3. При изменении персональных данных, содержащихся в документах, указанных в пункте 1.5 Положения (включая фамилию, имя, отчество, адрес фактического места жительства, паспортные данные, сведения о состоянии здоровья (вследствие выявленных в соответствии с медицинским заключением противопоказаний для выполнения Субъектом персональных данных его должностных обязанностей) и др.), если инициатором таких изменений не является сам Оператор, Субъект персональных данных обязан письменно уведомить Оператора о таких изменениях в срок, не превышающий 3х (трех) рабочих дней.

4. По мере необходимости Оператор может истребовать у Субъекта персональных данных дополнительные персональные данные. Если обязанность предоставления персональных данных для Субъекта персональных данных установлена действующим законодательством, Оператор обязан разъяснить Субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

5. В целях обеспечения защиты персональных данных, хранящихся у Оператора, Субъекты персональных данных имеют право:

• получать полную информацию о своих персональных данных.

• получать информацию, касающуюся обработки своих персональных данных, включая: подтверждение факта обработки персональных данных Оператором, а также цель такой обработки; способы обработки персональных данных, применяемые Оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения.

• свободного бесплатного доступа к своим персональным данным.

6. Оператор, как обладатель информации, информационной системы, включающей в себя персональные данные Субъекта персональных данных, в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

• своевременное обнаружение фактов несанкционированного доступа к информации;

• предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к информации;

• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

• постоянный контроль за обеспечением уровня защищенности информации.

7. Оператор обязан предупредить лиц, получающих персональные данные Субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено (в форме обязательства о неразглашении). Лица, получающие персональные данные Субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Субъектов персональных данных в порядке, установленном федеральными законами Российской Федерации.

6. Разграничение прав доступа к персональным данным

1. Разграничение прав осуществляется исходя из характера и режима обработки персональных данных в ИСПДн , а также должностных инструкций сотрудников.

2. Список групп должностных лиц, ответственных за обработку в ИСПДн, а также их уровень прав доступа в ИСПДн установлен п. 3.3 данного Положения.

3. При изменении лиц, допущенных к обработке ПДн в ИСПДн, в списки вносятся изменения приказом Генерального директора Оператора.

4. Основные группы пользователей ИСПДн

• Администраторы ИСПДн – осуществляют настройку и установку технических средств ИСПДн и обеспечивают ее бесперебойную работу.

• Пользователи ИСПДн — осуществляют текущую работу с персональными данными.

5. Распределение уровня доступа к персональным данным:

Группа	Уровень доступа к ПД	Разрешенные действия
Администратор ИСПДн	Обладает правами Администратора ИСПДн. Обладает полной информацией об ИСПДн, в том числе о системном и прикладном программном обеспечении ИСПДн, о технических средствах и конфигурации ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.	Сбор Систематизация Накопление Хранение Уточнение Использование Уничтожение
Пользователи	Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. Сбор, систематизация, накопление, хранение, уточнение, использование, уничтожение	Сбор Систематизация Накопление Хранение Уточнение Использование Уничтожение

7. Уничтожение персональных данных

1. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

2. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

4. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктом 2.1.7 данного Положения. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 4.5, 7.1-7.3 данного Положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6. Подтверждение уничтожения персональных данных в случаях, предусмотренных данным Положением, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, по формам актов, установленных в Приложении №7 к данному Положению.

8. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными Субъекта персональных данных

1. Информация, относящаяся к персональным данным Субъекта персональных данных, является конфиденциальной и охраняется законодательством Российской Федерации.

2. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

3. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

9. Заключительные положения

1. Контроль за исполнением настоящего Положения возлагается на генерального директора.

2. При приеме на работу к Оператору лицо, поступающее на работу, до подписания трудового договора, должно быть в обязательном порядке ознакомлено с настоящим Положением, что подтверждается подписью лица в листе ознакомления с настоящими правилами, являющимся неотъемлемой частью настоящего Положения.