Политика в отношении обработки персональных данных
- Подробности
- Опубликовано: 16.04.2024 15:54
- Просмотров: 2948
Скачать Политику ООО "Иверия-Ломбард" в отношении обработки персональных данных в формате (*.pdf)
Приложение № 1 к приказу № 8 от«01» апреля 2024 г.
ПОЛИТИКА
ООО «Иверия-ломбард»
в отношении обработки персональных данных
(новая редакция)
1. Общие положения
1.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «Иверия-ломбард» (далее – Организация) является одной из приоритетных задач Организации.
В Организации для этих целей разработан и введен в действие комплект организационно-распорядительной документации, обязательный к исполнению работниками Организации, допущенными к обработке персональных данных.
Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере обработки и защиты персональных данных и в соответствии с локальными нормативными актами Организации.
1.2. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников (в том числе соискателей на вакантные должности) и клиентов Организации и иных лиц, чьи персональные данные обрабатываются Организацией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Основные понятия, используемые в политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, ФЗ «О персональных данных»;
- оператор персональных данных (Организация) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- иные понятия, в соответствии с действующим законодательством.
1.4. Политика распространяется на отношения в области обработки и защиты персональных данных, возникшие в Организации как до, так и после утверждения настоящей Политики.
1.5. Настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Организации, а также размещается в местах осуществления деятельности, за исключением детальной информации о принятых мерах по защите персональных данных в Организации, а также иной информации, использование которой неограниченным кругом лиц может нанести ущерб Организации или субъектам персональных данных. Подробная информация о принятых мерах содержится в локальных нормативных актах Организации в области защиты персональных данных.
2. Цели обработки, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, способы, сроки их обработки и хранения, порядок уничтожения
2.1. Сведениями, составляющими персональные данные, обрабатываемые в Организации, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Обработка персональных данных работников Организации может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
2.2. Состав персональных данных определяется в зависимости от целей их обработки, с учётом положений действующего законодательства РФ, в частности ФЗ «О персональных данных», Трудового кодекса РФ и другими нормативными правовыми актами в области обработки персональных данных.
2.3. Целью обработки персональных данных является осуществления и выполнение возложенных законодательством РФ на Организацию функций, полномочий и обязанностей, в частности в сферах: противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма; осуществления ломбардной деятельности; трудовых правоотношений.
2.3.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.3:
а) Категория субъектов персональных данных: работники Организации (в том числе бывшие).
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- пол;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- сведения об опыте работы;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;
- сведения о доходе с предыдущего места работы;
- семейное положение, наличие детей, родственные связи;
- сведения о регистрации брака;
- паспортные данные или данные документа, удостоверяющего личность;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- специальность;
- СНИЛС;
- ИНН;
- занимаемая должность;
- адрес места жительства (места регистрации) и адрес фактического проживания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- иные персональные данные, предоставляемые работниками самостоятельно, в том числе определённые трудовым законодательством РФ, необходимые для цели, указанной в п. 3.1.
Категория обрабатываемых персональных данных: специальные. Перечень обрабатываемых персональных данных:
- сведения о судимости (в случаях и в порядке, которые определяются в соответствии с федеральными законами).
.
б) Категория субъектов персональных данных: представители работников Организации, контрагентов (исполнители, продавцы) Организации, являющихся юридическими лицами, индивидуальными предпринимателями, физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- сведения, содержащиеся в документе подтверждающим наличие полномочий;
- иные персональные данные, предоставляемые представителями работников Организации, контрагентов (исполнители, продавцы) Организации, являющихся физическими лицами, в том числе необходимые для цели, указанной в п. 2.3;
в) Категория субъектов персональных данных: представители и бенефициарные владельцы клиентов, являющихся юридическими лицами, индивидуальными предпринимателями, физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата рождения;
- гражданство;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес места жительства (места регистрации) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- должность, наименование и адрес работодателя (в случае, если клиентом является иностранным публичным должностным лицом, должностным лицом публичных международных организаций, а также лицом, замещающим (занимающим) государственные должности РФ, должности членов Совета директоров Центрального банка РФ, должности федеральной государственной службы, назначение на которые и освобождение от которых осуществляются Президентом РФ или Правительством РФ, должности в Центральном банке РФ, государственных корпорациях и иных организациях, созданных РФ на основании федеральных законов, включенные в перечни должностей, определяемые Президентом РФ;
- степень родства либо статус (супруг или супруга) клиента по отношению к лицу, являющимся иностранным публичным должностным лицом, должностным лицом публичных международных организаций, а также лицом, замещающим (занимающим) государственные должности РФ, должности членов Совета директоров Центрального банка РФ, должности федеральной государственной службы, назначение на которые и освобождение от которых осуществляются Президентом РФ или Правительством РФ, должности в Центральном банке РФ, государственных корпорациях и иных организациях, созданных РФ на основании федеральных законов, включенные в перечни должностей, определяемые Президентом РФ;
- сведения о целях установления и предполагаемом характере деловых отношений с Организацией, сведения о целях финансово-хозяйственной деятельности;
- сведения о финансовом положении;
- сведения о деловой репутации;
- сведения об источниках происхождения денежных средств и (или) иного имущества;
- сведения о бенефициарном владельце клиента;
- сведения о выгодоприобретателе клиента;
- сведения документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в РФ (данные миграционной карты в случае отсутствия иных документов): серия (если имеется) и номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания);
- СНИЛС;
- ИНН;
- сведения, содержащиеся в документе, подтверждающим наличие полномочий;
- иные персональные данные, предоставляемые представителями и бенефициарными владельцами клиентов, являющихся юридическими лицами или индивидуальными предпринимателями, необходимые для цели, указанной в п. 2.3.
г) Категория субъектов персональных данных: физические лица, являющиеся участниками и/или бенефициарными владельцами Организации.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- гражданство;
- дата рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- ИНН.
д) Категория субъектов персональных данных: клиенты Организации, являющиеся физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата рождения;
- гражданство;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес места жительства (места регистрации) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- должность, наименование и адрес работодателя (в случае, если клиентом является иностранным публичным должностным лицом, должностным лицом публичных международных организаций, а также лицом, замещающим (занимающим) государственные должности РФ, должности членов Совета директоров Центрального банка РФ, должности федеральной государственной службы, назначение на которые и освобождение от которых осуществляются Президентом РФ или Правительством РФ, должности в Центральном банке РФ, государственных корпорациях и иных организациях, созданных РФ на основании федеральных законов, включенные в перечни должностей, определяемые Президентом РФ;
- степень родства либо статус (супруг или супруга) клиента по отношению к лицу, являющимся иностранным публичным должностным лицом, должностным лицом публичных международных организаций, а также лицом, замещающим (занимающим) государственные должности РФ, должности членов Совета директоров Центрального банка РФ, должности федеральной государственной службы, назначение на которые и освобождение от которых осуществляются Президентом РФ или Правительством РФ, должности в Центральном банке РФ, государственных корпорациях и иных организациях, созданных РФ на основании федеральных законов, включенные в перечни должностей, определяемые Президентом РФ;
- сведения о целях установления и предполагаемом характере деловых отношений с Организацией, сведения о целях финансово-хозяйственной деятельности;
- сведения о финансовом положении;
- сведения о деловой репутации;
- сведения об источниках происхождения денежных средств и (или) иного имущества;
- сведения о бенефициарном владельце клиента;
- сведения о выгодоприобретателе клиента;
- сведения документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в РФ (данные миграционной карты в случае отсутствия иных документов): серия (если имеется) и номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания);
- СНИЛС;
- ИНН;
- иные персональные данные, предоставляемые клиентами, являющиеся физическими лицами, необходимые для цели, указанной в п. 2.3.
2.3.2. Способы обработки персональных данных для цели, указанной в п. 2.3.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости), а также с передачей по сети «Интернет» (в предусмотренных законодательством РФ случаях).
2.3.3. Сроки обработки персональных данных для цели, указанной в п. 2.3., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до истечения сроков исковой давности;
- до наступления иных событий, установленных законодательством РФ или согласием на обработку персональных данных.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.3.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.3, если срок хранения персональных данных не установлен федеральным законом.
2.3.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.3:
2.3.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.3, или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.3.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.3.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.3.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.4. Целью обработки персональных данных является привлечения и отбор соискателей на вакантные должности Организации.
2.4.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.4.:
а) Категория субъектов персональных данных: соискатели на вакантные должности Организации.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- пол;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- сведения об опыте работы;
- СНИЛС;
- ИНН;
- образование;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о воинском учете;
- специальность;
- иные персональные данные, предоставляемые соискателями на вакантные должности самостоятельно, в том числе необходимые для цели, указанной в п. 2.4.
Категория обрабатываемых персональных данных: специальные. Перечень обрабатываемых персональных данных:
- сведения о судимости (в случаях и в порядке, которые определяются в соответствии с федеральными законами).
2.4.2. Способы обработки персональных данных для цели, указанной в п. 2.4.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.4.3. Сроки обработки персональных данных для цели, указанной в п. 2.4., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до наступления иных событий, установленных законодательством РФ или согласием на обработку персональных данных.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.4.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.4., если срок хранения персональных данных не установлен федеральным законом.
2.4.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.4.:
2.4.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.4., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.4.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.4.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.4.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.5. Целью обработки персональных данных является исполнение договоров, заключённых с клиентами Организации, являющимися юридическими лицами или индивидуальными предпринимателями, в рамках осуществления деятельности, определённой уставом, при наличии соответствующего согласия на обработку персональных данных от физических лиц, являющихся представителями таких клиентов.
2.5.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.5.:
а) Категория субъектов персональных данных: представители клиентов Организации, являющихся юридическими лицами или индивидуальными предпринимателями.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- сведения, содержащиеся в документе подтверждающим наличие полномочий;
- иные персональные данные, предоставляемые клиентами Организации, являющимися юридическими лицами или индивидуальными предпринимателями, их представителями, в том числе необходимые для цели, указанной в п. 2.5.
2.5.2. Способы обработки персональных данных для цели, указанной в п. 2.5.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.5.3. Сроки обработки персональных данных для цели, указанной в п. 2.5., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до наступления иных событий, установленных законодательством РФ или согласием на обработку персональных данных.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.5., если срок хранения персональных данных не установлен федеральным законом.
2.5.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.5.:
2.5.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.5., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.5.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.5.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.5.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
2.6. Целью обработки персональных данных является исполнение договоров, стороной которых либо выгодоприобретателем или поручителем по которым является субъект персональных данных, а также заключение договоров по инициативе субъекта персональных данных или договоров, по которым субъект персональных данных будет являться выгодоприобретателем или поручителем.
2.6.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.6.:
а) Категория субъектов персональных данных: работники Организации (в том числе бывшие).
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- пол;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- сведения об опыте работы;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;
- паспортные данные или данные документа, удостоверяющего личность;
- сведения о заработной плате;
- сведения о социальных льготах;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- специальность;
- СНИЛС;
- ИНН;
- занимаемая должность;
- адрес места жительства (места регистрации) и адрес фактического проживания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- банковские реквизиты;
- иные персональные данные, предоставляемые работниками Организации, в том числе необходимые для цели, указанной в п. 2.6.
Категория обрабатываемых персональных данных: специальные. Перечень обрабатываемых персональных данных:
- сведения о судимости (в случаях и в порядке, которые определяются в соответствии с федеральными законами).
б) Категория субъектов персональных данных: представители работников Организации, контрагентов (исполнители, продавцы) Организации, являющихся физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- сведения, содержащиеся в документе подтверждающим наличие полномочий;
- иные персональные данные, предоставляемые представителями работников Организации, контрагентов (исполнители, продавцы) Организации, являющихся физическими лицами, необходимые для цели, указанной в п. 2.6.
в) Категория субъектов персональных данных: контрагенты (исполнители, продавцы), являющиеся физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- ИНН;
- СНИЛС;
- банковские реквизиты;
- иные персональные данные, предоставляемые контрагентами (исполнители, продавцы), являющимися физическими лицами, необходимые для цели, указанной в п. 2.6.
2.6.2. Способы обработки персональных данных для цели, указанной в п. 2.6.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.6.3. Сроки обработки персональных данных для цели, указанной в п. 2.6., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до истечения сроков исковой давности;
- до наступления иных событий, установленных законодательством РФ или договором, заключённым с субъектом персональных данных, или согласием на обработку персональных данных.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.6., если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.6.:
2.6.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.6., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.6.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.6.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.6.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.7. Целью обработки персональных данных является ведение кадрового делопроизводства и соблюдение локальных нормативных актов Организации.
2.7.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.7.:
а) Категория субъектов персональных данных: работники Организации (в том числе бывшие).
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- пол;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- сведения об опыте работы;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;
- сведения о доходе с предыдущего места работы;
- семейное положение, наличие детей, родственные связи;
- сведения о регистрации брака;
- паспортные данные или данные документа, удостоверяющего личность;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- специальность;
- СНИЛС;
- ИНН;
- занимаемая должность;
- адрес места жительства (места регистрации) и адрес фактического проживания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- иные персональные данные, предоставляемые работниками Организации, в том числе определённые действующим законодательством РФ, локальными нормативными актами Организации, условиями заключённого договора с субъектом персональных данных, необходимые для цели, указанной в п. 2.7.
Категория обрабатываемых персональных данных: специальные. Перечень обрабатываемых персональных данных:
- сведения о судимости (в случаях и в порядке, которые определяются в соответствии с федеральными законами).
2.7.2. Способы обработки персональных данных для цели, указанной в п. 2.7.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.7.3. Сроки обработки персональных данных для цели, указанной в п. 2.7., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до наступления иных событий, установленных законодательством РФ или договором, заключённым с субъектом персональных данных, или согласием на обработку персональных данных, или локальными нормативными актами Организации.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.7.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.7., если срок хранения персональных данных не установлен федеральным законом.
2.7.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.7.:
2.7.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.7., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.7.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.7.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.7.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.8. Целью обработки персональных данных является заключение и исполнение договоров с контрагентами (исполнители, продавцы), являющимися юридическими лицами или индивидуальными предпринимателями.
2.8.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.8.:
а) Категория субъектов персональных данных: представители контрагентов (исполнители, продавцы), являющихся юридическими лицами или индивидуальными предпринимателями.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные или данные документа, удостоверяющего личность;
- адрес регистрации (места жительства) или места пребывания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- сведения, содержащиеся в документе подтверждающим наличие полномочий;
- иные персональные данные, предоставляемые контрагентами (исполнители, продавцы) и их представителями, в том числе необходимые для цели, указанной в п. 2.8.
2.8.2. Способы обработки персональных данных для цели, указанной в п. 2.8.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.8.3. Сроки обработки персональных данных для цели, указанной в п. 2.8., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до окончания срока действия согласия на обработку персональных данных либо в случае его отзыва субъектом персональных данных, за исключением случаев, когда Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до истечения сроков исковой давности;
- до наступления иных событий, установленных законодательством РФ, согласием на обработку персональных данных или локальными нормативными актами Организации.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.8.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.8., если срок хранения персональных данных не установлен федеральным законом.
2.8.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.8.:
2.8.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.8., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.8.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.8.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.8.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.9. Целью обработки персональных данных является исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
2.9.1. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных для цели, указанной в п. 2.9.:
а) Категория субъектов персональных данных: работники Организации (в том числе бывшие); контрагенты (исполнители, продавцы) Организации, являющиеся физическими лицами; участники и/или бенефициарные владельцы Организации, являющиеся физическими лицами.
Категория обрабатываемых персональных данных: общие. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- пол;
- паспортные данные или данные документа, удостоверяющего личность;
- СНИЛС;
- ИНН;
- адрес места жительства (места регистрации) и адрес фактического проживания;
- контактные данные (номер телефона, адрес электронной почты и т.д.);
- банковские реквизиты;
- иные персональные данные, содержащиеся в судебных актах, актах других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
2.9.2. Способы обработки персональных данных для цели, указанной в п. 2.9.: автоматизированная и без использования средств автоматизации (смешанная), с передачей по внутренней сети Организации (при необходимости).
2.9. Сроки обработки персональных данных для цели, указанной в п. 2.9., определяются следующими условиями:
- до достижения цели обработки персональных данных;
- до истечения сроков хранения документов, содержащих персональные данные (на бумажных и электронных носителях);
- до истечения сроков исковой давности;
- до наступления иных событий, установленных законодательством РФ.
Указанные в настоящем пункте сроки обработки персональных данных применяются, если иные сроки не установлены федеральным законом.
2.9.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цель обработки персональных данных, указанная в п. 2.9., если срок хранения персональных данных не установлен федеральным законом.
2.9.5. Порядок уничтожения персональных данных, обрабатываемых для цели, указанной в п. 2.9.:
2.9.5.1. В случае достижения цели обработки персональных данных, указанной в п. 2.9., или в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Организация обязана прекратить обработку и уничтожить персональные данные субъекта персональных данных Организации в срок, не превышающий 30 рабочих дней с даты достижения цели обработки или с даты поступления отзыва, либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
2.9.5.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях (без использования средств автоматизации) приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке без использования средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных при их обработке без использования средств автоматизации подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.9.5.3. При уничтожении персональных данных в ИСПДн (с использованием средств автоматизации), приказом руководителя Организации назначается комиссия по уничтожению персональных данных, а также утверждается форма акта уничтожения персональных данных при их обработке с использованием средств автоматизации, которая должна содержать:
а) наименование и адрес Организации;
б) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
в) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
г) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
д) наименование ИСПДн, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных;
е) способ уничтожения персональных данных;
ё) причину уничтожения персональных данных;
ж) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством РФ, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в пп. «в» настоящего пункта.
Помимо акта об уничтожении персональных данных при их обработке с использованием средств автоматизации документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в ИСПДн, которая должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определённому (определённым) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование ИСПДн, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
В случае если выгрузка из журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные в настоящем пункте, то недостающие сведения вносятся в акт об уничтожении персональных данных при их обработке с использованием средств автоматизации.
Акт об уничтожении персональных данных при их обработке с использованием средств автоматизации и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
2.9.5.4. Документы, содержащие персональные данные субъектов персональных данных, уничтожаются путём измельчения в бумагорезательной машине или ином техническом устройстве, которое исключает дальнейшее использование документов в качестве первоисточника.
Персональные данные, обрабатываемые в ИСПДн, уничтожаются путём их стирания (удаления) в ИСПДн Организации.
2.10. Организацией не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением сведений о судимости работников, соискателей на вакантные должности Организации в случаях и в порядке, которые определяются в соответствии с федеральными законами, а также за исключением случаев, предусмотренных законодательством РФ.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, в том числе:
- Конституция РФ;
- Гражданский кодекс РФ;
- Трудовой кодекс РФ;
- Налоговый кодекс РФ;
- ФЗ "Об обществах с ограниченной ответственностью";
- ФЗ "О бухгалтерском учете";
- ФЗ "Об обязательном пенсионном страховании в РФ";
- Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в РФ";
- ФЗ "О персональных данных";
- ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
- ФЗ "О воинской обязанности и военной службе";
- Постановление Правительства РФ от 27.11.2006 г. N 719 "Об утверждении Положения о воинском учете";
- ФЗ "Об индивидуальном (персонифицированном) учёте в системах обязательного пенсионного страхования и обязательного социального страхования";
- Постановление Правительства РФ от 26.02.2021 г. N 270 "О некоторых вопросах контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота и внесении изменений в некоторые акты Правительства РФ";
- ФЗ «Об уполномоченном по правам потребителей финансовых услуг»;
- Закон РФ «О защите прав потребителей»;
- Постановление Правительства РФ от 31.12.2020 N 2463 "Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства РФ";
- Постановление Правительства РФ от 31.07.2017 N 913 "Об утверждении Правил представления юридическими лицами информации о своих бенефициарных владельцах и принятых мерах по установлению в отношении своих бенефициарных владельцев сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", по запросам уполномоченных органов государственной власти";
- Положение Банка России от 12.12.2014 г. N 444-П "Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
- Указание Банка России от 30.12.2015 г. N 3927-У "О формах, сроках и порядке составления и представления в Банк России документов, содержащих отчет о деятельности ломбарда и отчет о персональном составе руководящих органов ломбарда";
- Указание Банка России от 19.11.2020 N 5626-У "О ведении Банком России государственного реестра ломбардов";
- ФЗ "О ломбардах";
- ФЗ "О потребительском кредите (займе)";
- Указание Банка России от 11.05.2021 г. N 5790-У "Об установлении формы залогового билета";
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Организации.
3.2. Правовым основанием обработки персональных данных также являются:
- устав Организации;
- договоры, заключаемые между Организацией и субъектом персональных данных;
- согласие на обработку персональных данных, в том числе согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения.
4. Права и обязанности
4.1. Основными правами Организации, как оператора, являются:
- самостоятельное определение состава и перечня мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ «О персональных данных» или другими федеральными законами;
- поручение обработки персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных – продолжение осуществления обработки персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;
- передача персональных данных органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ;
- отказ субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 ст. 14 ФЗ «О персональных данных». Такой отказ должен быть мотивированным;
- отстаивание своих интересов в судебных, государственных и иных органах, учреждениях;
- отказ в предоставлении персональных данных в случаях, предусмотренных действующим законодательством РФ;
- осуществление обработки персональных данных субъекта персональных данных без его согласия в случаях, предусмотренных ФЗ "О персональных данных" или иными федеральными законами;
- отказ в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и/или дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение Организацией согласия на обработку персональных данных является обязательным;
- отказ потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в случаях, если обязанность предоставления потребителем персональных данных предусмотрена законодательством РФ или непосредственно связана с исполнением договора с потребителем (Закон РФ «О защите прав потребителей»);
- иные права, установленные действующим законодательством РФ.
4.2. Основными обязанностями Организации как оператора являются:
- прекращение обработки персональных данных или обеспечение ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и уничтожение персональных данных или обеспечение их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами – в случае достижения цели обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекращение обработки персональных данных или обеспечение ее прекращения (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожение персональных данных или обеспечение их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления отзыва субъекта персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами;
- организация обработки персональных данных в соответствии с требованиями ФЗ «О персональных данных»;
- предоставление ответов на обращения и запросы субъектов персональных данных и их представителей в соответствии с требованиями ФЗ «О персональных данных»;
- направление в уполномоченный орган по защите прав субъектов персональных данных (далее - Роскомнадзор) по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Организации необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
- соблюдение принципов и правил обработки персональных данных, предусмотренных ФЗ «О персональных данных»;
- нераскрытие третьим лицам и нераспространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- предоставление доказательств получения согласия субъекта персональных данных на обработку его персональных данных или доказательства наличия оснований, при которых Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных, указанных в ФЗ «О персональных данных»;
- обеспечение субъекту персональных данных возможности определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- опубликование в срок не позднее трех рабочих дней с момента получения соответствующего согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения, информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения;
- прекращение в любое время по требованию субъекта персональных данных передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения;
- предоставление субъекту персональных данных в доступной форме информации, касающейся обработки его персональных данных и указанной в ФЗ «О персональных данных»;
- немедленное прекращение по требованию субъекта персональных данных обработку его персональных данных, полученных Организацией при условии предварительного согласия субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
- разъяснение субъекту персональных данных юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и/или получение Организацией согласия на обработку персональных данных являются обязательными;
- предоставление субъекту персональных данных информации, определённой ФЗ «О персональных данных», если персональные данные получены не от субъекта персональных данных, за исключением случаев, определённых ФЗ «О персональных данных»;
- обеспечение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в ФЗ «О персональных данных»;
- принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ «О персональных данных» или другими федеральными законами;
- опубликование или иным образом обеспечение неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- предоставление по запросу Роскомнадзора документов и локальных нормативных актов, указанных в ФЗ «О персональных данных» и/или иным образом подтвердить принятие мер, направленных на обеспечение выполнения Организацией обязанностей, предусмотренных ФЗ «О персональных данных»;
- принятие необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- сообщение в порядке, предусмотренном ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставление возможности ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
- предоставление в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя в письменной форме мотивированного ответа, содержащий ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
- предоставление безвозмездно субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана уничтожить такие персональные данные. Организация обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
- сообщение в Роскомнадзор по его запросу необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
- в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки персональных данных невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос Роскомнадзора были направлены им, также указанный орган;
- уведомление Роскомнадзора до начала обработки персональных данных о своем намерении осуществлять обработку персональных данных в порядке, установленном ФЗ «О персональных данных»;
- уведомление Роскомнадзора обо всех произошедших изменениях сведений, представленных Организаций и содержащихся в уведомлении об обработке персональных данных, не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, за указанный период;
- уведомление Роскомнадзора в случае прекращения обработки персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных;
- предоставление лицу, ответственному за организацию обработки персональных данных, сведения, определённые ФЗ «О персональных данных»;
- при предъявлении потребителем требования о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, - предоставление в письменной форме (в том числе в форме электронного документа) такой информации в течение семи дней со дня предъявления указанного требования (Закон РФ «О защите прав потребителей»). Организация предоставляет информацию потребителю в той форме, в которой предъявлено требование потребителя о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, если иное не указано в этом требовании. При предъявлении потребителем требования о предоставлении информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, в устной форме такая информация должна быть предоставлена незамедлительно;
- оценка вреда в соответствии с требованиями, установленными Роскомнадзором, который может быть причинён субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
- иные обязанности, предусмотренные действующим законодательством РФ.
4.3. Основными правами субъекта персональных данных являются:
- установление в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, запретов на передачу (кроме предоставления доступа) этих персональных данных Организацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Организации в установлении субъектом персональных данных соответствующих запретов и условий не допускается;
- получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Перечень информации и порядок ее получения установлен ФЗ «О персональных данных»;
- требование от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принятие предусмотренных законодательством РФ мер по защите своих прав;
- выдвижение условия предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжалование в Роскомнадзоре или в судебном порядке неправомерных действий или бездействия Организации при обработке своих персональных данных;
- обращение к любому лицу, обрабатывающему его персональные данные, с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, в случае несоблюдения положений ФЗ «О персональных данных» или обратиться с таким требованием в суд;
- в случае, если сведения, касающиеся обработки его персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, - повторное обращение в Организацию или направление ей повторного запроса в целях получения сведений, касающихся обработки его персональных данных, и ознакомление с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- повторное обращение в Организацию или направление ему повторного запроса в целях получения сведений, касающихся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения установленного ФЗ «О персональных данных» срока в случае, если такие сведения и/или обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объёме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в ФЗ «О персональных данных», должен содержать обоснование направления повторного запроса;
- защита своих прав и законных интересов, в том числе возмещение убытков и/или компенсация морального вреда в судебном порядке;
- иные права, предусмотренные действующим законодательством РФ, локальными нормативными актами Организации в области обработки персональных данных.
4.4. Основными обязанностями субъекта персональных данных являются:
- предоставление Организации своих персональных данных в соответствии с законодательством РФ и локальными нормативными актами Организации;
- своевременное информирование Организации об изменениях своих персональных данных;
- обеспечение конфиденциальности персональных данных других субъектов персональных данных в соответствии с требованиями законодательства РФ и локальных нормативных актов Организации;
- иные обязанности, предусмотренные действующим законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1. Организация осуществляет обработку персональных данных в соответствии с требованиями законодательства РФ, а именно следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
5.3. Организация осуществляет автоматизированную и без использования средств автоматизации обработки персональных данных (смешанная обработка персональных данных).
5.4. Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством РФ. Организация вправе передавать персональные данные органам дознания и следствия, Федеральной налоговой службе, Пенсионному фонду РФ, Фонду социального страхования, Банку России, Росфинмониторингу, МВД России, уполномоченному по правам потребителей финансовых услуг, Роспотребнадзору, Федеральной пробирной палате и иным уполномоченным органам по основаниям и в порядке, предусмотренным действующим законодательством РФ.
5.5. Обработка персональных данных в Организации производится на основе соблюдения следующих принципов:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Организации;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
5.6. К обработке персональных данных допускаются работники Организации, в должностные обязанности которых входит обработка персональных данных.
5.7. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и/или письменной форме непосредственно от субъекта персональных данных;
- получения персональных данных из общедоступных источников:
- внесения персональных данных в информационные системы Организации;
- использования иных способов обработки персональных данных.
5.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных в соответствии с требованиями к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждённых Роскомнадзором.
5.9. Организация принимает необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных, в том числе:
- опубликовывает или иным образом обеспечивает неограниченный доступ к настоящей Политике и к сведениям о реализуемых требованиях к защите персональных данных;
- осуществляет оценку вреда в соответствии с требованиями, установленными Роскомнадзором, который может быть причинён субъектам персональных данных в случае нарушения ФЗ «О персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных.
5.10. Организация принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Организации;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Организации, осуществляющих обработку персональных данных.
5.11. При сборе персональных данных Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в ФЗ «О персональных данных».
5.12. Организация при обработке персональных данных, осуществляемой без использования средств автоматизации, обеспечивает раздельное хранение персональных данных (материальных носителей) обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Организацией.
5.13. В Организации создаются и хранятся типовые документы, содержащие сведения о субъектах персональных данных. Использование и хранение в Организации данных типовых документов определяются в соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Актуализация, исправление, блокирование персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Подтверждение факта обработки персональных данных Организацией, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных», предоставляются Организацией субъекту персональных данных или его представителю в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Организации следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Указанный запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Организация предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями ФЗ «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Организация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Организацией, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Организация:
• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Организацией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
Порядок и условия взаимодействия Роскомнадзора с операторами, в рамках ведения реестра учёта инцидентов в области персональных данных, определяются Роскомнадзором.
6.6. При обращении субъекта персональных данных в Организацию с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения Организацией соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Организации необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.7. Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях 1 - 4 к настоящей Политике.
7. Заключительные положения
7.1. К настоящей Политике обеспечивается неограниченный доступ.
7.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых нормативных правовых актов по обработке и защите персональных данных и/или в случае изменения внутренних процессов Организации по обработке и защите персональных данных.
7.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Организации.
7.4. Ответственность лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством РФ и локальными нормативными актами Организации.