ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9 Января 2024 г.
Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика Общества с ограниченной ответственностью ПКФ «Инкомпен» (ПКФ «Инкомпен») в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон о персональных данных) в целях защиты персональных данных от несанкционированного доступа, разглашения и распространения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ООО ПКФ «Инкомпен».
1.3. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ООО ПКФ-«Инкомпен» осуществляет обработку персональных данных, в том числе: Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 № 14-ФЗ “Об обществах с ограниченной ответственностью”, Федеральный закон от 06.12.2011 № 402-ФЗ “О бухгалтерском учете”, Федеральный закон от 15.12.2001 № 167-ФЗ “Об обязательном пенсионном страховании в Российской Федерации”.
1.4. Настоящая Политика и изменения к ней утверждаются руководителем ООО ПКФ «Инкомпен» и вводятся в действие приказом.
1.5. С настоящей Политикой, а также со всеми изменениями к ней, все работники ООО ПКФ «Инкомпен» должны быть ознакомлены под роспись. При приеме на работу ознакомление производится до момента подписания трудового договора.
1.6. Настоящая Политика опубликована в свободном доступе в информационно-телекоммуникационной сети Интернет по адресу: https://incompen.ru/
2. Основные понятия
2.1. Для целей настоящей Политики используются следующие основные понятия:
– персональные данные – любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных);
– персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных”;
– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее в настоящей Политике ПКФ «Инкомпен» будет поименовано как Оператор);
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
– веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в информационно-телекоммуникационной сети «Интернет» по адресу: https://incompen.ru/;
– пользователь – любой посетитель веб-сайта;
– распространение персональных данных – действия, направленные на передачу персональных данных неопределенному кругу лиц;
– предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе Оператора и (или) в результате которых уничтожаются материальные носители персональных данных работников;
– обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному физическому лицу;
– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Цели обработки персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.
3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Обработка персональных данных осуществляется Оператором в следующих целях:
3.3.1. для осуществления деятельности в соответствии с Уставом, в том числе в целях заключения и исполнения договоров с контрагентами, клиентами;
3.3.2. для исполнения норм трудового законодательства в рамках оформления трудовых и иных непосредственно связанных с ними отношений, в том числе:
– при содействии в трудоустройстве;
– ведении кадрового и бухгалтерского учета;
-содействии работникам в получении образования, повышении квалификации и продвижении по службе;
– оформлении награждений и поощрений;
– предоставлении со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций;
– с целью обеспечения исполнения обязательных требований охраны труда;
– заполнении и передаче в уполномоченные органы требуемых форм отчетности;
– обеспечении личной безопасности работников и сохранности имущества;
– осуществлении контроля за количеством и качеством выполняемой работы;
3.3.3. для предоставления доступа пользователю к сервисам, информации, материалам, содержащимся на веб-сайте, для направления пользователям веб-сайта уведомлений, запросов, согласований заказов, условий соглашений и договоров.
4. Категории субъектов персональных данных
Категории обрабатываемых персональных данных и способы их обработки
4.1. Для достижения определенных в разделе 3 настоящей Политики целей Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных (далее – субъекты персональных данных):
– кандидаты для приема на работу;
– работники;
– бывшие работники;
– члены семей работников – в случаях, когда согласно законодательству сведения о них предоставляются работником;
– клиенты;
– контрагенты;
– пользователи веб-сайта;
– иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
4.2. В соответствии с целями, указанными в разделе 3 настоящей Политики, Оператор может обрабатывать следующие категории персональных данных:
4.2.1. Кандидаты для приема на работу, работники, бывшие работники члены семей работников – в случаях, когда согласно законодательству сведения о них предоставляются работником:
– фамилия, имя, отчество;
– возраст и пол;
– гражданство;
– дата и место рождения;
– паспортные данные;
– регистрационный номер в системе индивидуального (персонифицированного) учета пенсионного страхования;
– идентификационный номер налогоплательщика (ИНН);
– адрес проживания (регистрации);
– сведения о семейном положении и составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым, налоговым законодательством и локальными нормативными актами работодателя;
– сведения об образовании;
– профессия, специальность, занимаемая должность;
– сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
– сведения о воинском учете;
– сведения о заработной плате;
– сведения об имущественном положении, доходах, задолженностях;
– сведения о социальных льготах;
– адрес личной электронной почты;
– номера телефонов (домашний и мобильный);
– деловые и иные личные качества, которые носят оценочный характер;
– сведения о состоянии здоровья (для отдельных категорий работников) на предмет годности к осуществлению трудовых обязанностей в случаях, предусмотренных законодательством;
– сведения об отсутствии/наличии судимостей в случаях, предусмотренных законодательством;
– фото- и видео-изображение лица;
– голос;
– антропометрические данные (рост, размер одежды, обуви, головного убора).
4.2.2. Клиенты, контрагенты, пользователи веб-сайта:
– фамилия, имя, отчество;
– адрес электронной почты;
4.2.3. Оператор может обрабатывать и иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует целям обработки, предусмотренным в разделе 3 настоящей Политики.
4.4. Документы, в которых могут содержаться персональные данные:
– комплекс документов, сопровождающих ведение кадрового делопроизводства и бухгалтерского учета;
– материалы по анкетированию, тестированию, проведению собеседований с кандидатами на вакантные должности;
– справки о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
– трудовые книжки, сведения о трудовой деятельности (СТД-Р,СТД-СФР);
– дела, содержащие материалы по аттестации работников;
– дела, содержащие материалы внутренних расследований;
– справочно-информационный банк данных по персоналу (картотеки, журналы);
– отчетные, аналитические и справочные материалы, передаваемые руководству Оператора;
– отчеты, направляемые в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
– договоры с контрагентами и клиентами;
– формы обратной связи, заполняемые пользователями веб-сайта;
– прочие документы, содержащие персональные данные.
4.5. Обработка персональных данных осуществляется Оператором следующими способами:
– без использования средств автоматизации;
– с использованием средств автоматизированной обработки данных (специализированные программы, офисная оргтехника и пр.) с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
– смешанная обработка персональных данных.
5. Обязанности Оператора
В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов, указанных в разделе 4 Политики, обязаны соблюдать следующие общие требования:
5.1. Обработку персональных данных осуществлять исключительно в целях, определенных разделом 3 настоящей Политики.
5.2. При определении объема и содержания обрабатываемых персональных данных руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных” и иными федеральными законами.
5.3. Персональные данные получать непосредственно от субъекта персональных данных (работника или его представителя, контрагента, клиента, пользователя веб-сайта). Оператор проверяет достоверность сведений, сверяя данные, представленные работником (его представителями), кандидатами на работу, контрагентами, клиентами с имеющимися у субъекта документами.
5.4. Обеспечивать защиту персональных данных от неправомерного их использования или утраты за счет собственных средств в порядке, установленном действующим законодательством.
5.5. Знакомить работников под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.6. Осуществлять обработку персональных данных в пределах ООО ПКФ «Инкомпен» в соответствии с настоящей Политикой, руководствуясь действующими нормативными правовыми актами в области защиты персональных данных.
5.7. Вырабатывать меры защиты персональных данных, в том числе с участием работников и их представителей.
5.8. Уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента.
5.9. Оператор не имеет права:
– осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ;
– получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
– при принятии решений, затрагивающих интересы субъекта персональных данных, основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
6. Права и обязанности субъекта персональных данных
6.1. В рамках действующего законодательства по защите персональных данных субъект персональных данных имеют право на:
– получение полной информации об их персональных данных и обработке этих данных;
– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
– определение своих представителей для защиты своих персональных данных;
– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе Оператора исключить или исправить персональные данные субъекта персональных данных он имеет право в письменной форме заявить Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
– требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
– обжалование в суде любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
– подачу письменного или в форме электронного документа согласия на обработку персональных данных, а также отзыв данного согласия в любой момент времени основании письменного заявления;
– подачу письменного или в форме электронного документа согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
– предоставление Оператору в любое время требования о прекращении передачи (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения;
– участие в работе по выработке совместно с Оператором мер защиты персональных данных.
6.2. Субъект персональных данных обязан:
– предоставлять Оператору достоверные персональные данные, необходимые для целей, указанных в разделе 3 Политики;
– при изменении персональных данных работник должен уведомить Оператора об этом не позднее 3-х календарных дней с момента изменений.
7. Основные принципы обработки персональных данных
7.1. Обработка Оператором персональных данных работника возможна только с его письменного согласия. Исключение составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 – 11 ч. 1 ст. 6, п. п. 2.1 – 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).
Пользователь веб-сайта выражает свое согласие на обработку персональных данных посредством проставления галочки в соответствующей веб-форме, размещенной на веб-сайте.
7.2. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то он должен быть заранее в письменной форме уведомлен Оператором об этом и от него должно быть получено письменное согласие. Оператор обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
7.3. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения:
7.3.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.3.2. Согласие субъекта персональных данных на обработку персональных данных, разрешенных им для распространения, оформляется отдельно от иных согласий на обработку его персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.3.3. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
7.3.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных им для распространения, не следует, что он не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых он устанавливает условия и запреты, то такие персональные данные обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
7.3.5. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.
7.3.6. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
7.3.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по письменному требованию работника. Данное требование должно включать следующие сведения: фамилию, имя, отчество, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления соответствующего требования Оператору.
7.4. Персональные данные субъекта персональных данных не сообщаются третьей стороне без его предварительного письменного согласия, за исключением случаев, когда это сообщение необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.
7.5. Оператор обязан предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие доступ к персональным данным, обязаны соблюдать режим секретности (конфиденциальности).
7.6. Оператор (работодатель) передает персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
8. Доступ к персональным данным
8.1. Оператор разрешает доступ к персональным данным только специально уполномоченным должностным лицам. При этом лица, получившие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
8.2. Право доступа к персональным данным имеют следующие должностные лица:
– директор;
– главный бухгалтер;
– бухгалтер
– заместитель директора по развитию (в части тех сведений, которые необходимы им для выполнения конкретных функций);
– заместитель директора по производству (в части тех сведений, которые необходимы им для выполнения конкретных функций);
– мастер по ремонту технологического оборудования (в части тех сведений, которые необходимы им для выполнения конкретных функций);
– экономист (в части тех сведений, которые необходимы им для выполнения конкретных функций);
– менеджер по продажам (в части тех сведений, которые необходимы им для выполнения конкретных функций);
8.3. Доступ иных должностных лиц к персональным данным осуществляется на основании письменного разрешения Оператора.
8.4. Должностные лица Оператора, получившие доступ к персональным данным согласно
п.8.2. Политики, обязаны подписать Обязательство о неразглашении персональных данных.
8.5. Внешний доступ к персональным данным
8.5.1. К числу массовых потребителей персональных данных вне Оператора можно отнести государственные и негосударственные функциональные структуры:
– налоговые инспекции;
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды.
8.5.2. Надзорно-контрольные органы имеют доступ к персональным данным только в объеме своей компетенции.
8.5.3. Организации, в которые Оператор по просьбе субъектов (работников) осуществляет перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные Общества, кредитные Общества), могут получить доступ к персональным данным только в случае письменного согласия субъекта.
8.5.4. Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта.
9. Защита персональных данных
9.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
9.2. Для обеспечения внутренней защиты персональных данных Оператором соблюдаются следующие меры:
9.2.1. Без письменного согласия субъекта персональных данных Оператор не имеет права раскрывать (передавать) третьим лицам и распространять персональные данные, если иное не предусмотрено законодательством о персональных данных.
! Запрещено раскрытие и распространение персональных данных по телефону.
9.2.2. Назначается лицо, ответственное за организацию обработки персональных данных, которое обязано:
– осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
– доводить до сведения работников нормы и требования законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
– организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
9.2.3. С целью защиты персональных данных у Оператора утверждается:
– перечень уполномоченных лиц, имеющих доступ к персональным данным, и форма обязательства о неразглашении конфиденциальной информации;
– порядок передачи персональных данных;
– форма согласия на обработку персональных данных,
– форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
– форма согласия работника на передачу персональных данных третьему лицу;
– форма согласия работника на получение Оператором персональных данных от третьего лица;
– порядок защиты персональных данных при их обработке в информационных системах персональных данных;
– порядок уничтожения персональных данных;
– иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
9.2.4. Документы, содержащие персональные данные, хранятся в местах, защищенных от несанкционированного доступа в течение сроков хранения, предусмотренных законодательством об архивном деле в РФ. При этом обеспечивается раздельное хранение документов, содержащих персональные данные, обработка которых осуществляется в различных целях.
Трудовые книжки и вкладыши к ним, книга учета движения трудовых книжек и вкладышей к ним хранятся у Оператора в несгораемом шкафу.
9.2.5. Доступ к персональным данным, содержащимся в информационных системах Оператора, осуществляется по индивидуальным паролям, обеспечивается регистрации и учет всех действий, совершаемых с персональными данными в информационной системе.
Не допускается размещение информации, содержащий персональные данные в открытых электронных каталогах (файлообменниках).
9.2.6. Типовые формы документов Оператора на бумажных носителях составляются таким образом, чтобы не допускать возможности несанкционированного разглашения, содержащихся в них персональных данных работников.
9.2.7. Оператором проводятся внутренние расследования при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных.
9.2.8. Оператором проводится оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.2.9. Оператором осуществляется внутренний контроль за организацией работы с персональными данными.
9.3. Внешняя защита персональных данных обеспечивается Оператором посредством применения:
– порядка приема, учета и контроля деятельности посетителей;
– использования сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами, прошедшими в установленном порядке процедуру оценки соответствия средств защиты информации;
– пропускного режим Оператора;
– технических средств охраны и сигнализации;
– отдельных помещений для защиты информации при интервьюировании, собеседованиях и проведении совещаний.
10. Сроки обработки и хранения персональных данных
10.1. Срок обработки персональных данных определяется с учетом цели их обработки.
10.2. Оператор обязан прекратить или обеспечить прекращение обработки персональных данных, а в дальнейшем уничтожить или обеспечить их уничтожение в следующих случаях:
– при выявлении факта неправомерной обработки персональных данных (в течение трех рабочих дней с даты выявления такого факта);
– при достижении целей обработки персональных данных (в течении тридцати дней);
– по истечении срока действия или при отзыве работником согласия на обработку его персональных данных, если в соответствии с законодательством о персональных данных их обработка допускается только с согласия (в течении тридцати дней);
– при обращении работника к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки – не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
10.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством.
10.4. Документы на бумажных носителях хранятся Оператора до момента прекращения их обработки в соответствии с п.10.2. Политики, далее подлежат уничтожению или длительному хранению.
Срок хранения документации, содержащей персональные данные, определяется согласно законодательству об архивном деле в РФ.
10.5. Документы, содержащие персональные данные, в отношении которых Оператор осуществляет автоматизированную обработку, хранятся на специальных технических устройствах Информационной системы (серверах) в соответствии со сроками хранения, предусмотренными законодательством об архивном деле в РФ для их бумажных аналогов.
11. Порядок уничтожения персональных данных
11.1. Оператор уничтожает персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
11.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются Оператором либо обезличиваются.
11.3. Персональные данные уничтожаются в течение 30 дней с даты достижения цели их обработки или поступления от работника отзыва согласия на обработку его персональных данных.
11.4. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
11.5. Уничтожение персональных данных осуществляет с привлечением комиссии, созданной приказом руководителя Оператора:
11.5.1. Комиссия составляет перечень документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
11.5.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.5.3. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
– актом об уничтожении персональных данных – если данные обрабатываются без использования средств автоматизации;
– актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных – если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
11.5.4. Акты об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных хранятся у Оператора в течение трех лет с момента уничтожения персональных данных.
11.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, установленного законодательством, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
12. Ответственность за нарушение норм, регулирующих обработку персональных данных
12.1. Персональная ответственность – одно из главных требований функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
12.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о персональных данных субъектов, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
12.3. В случае поручения обработки персональных данных другому лицу, Оператор несет ответственность перед работником за действия данного лица. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
12.4. Руководитель, разрешающий доступ к персональным данным, несет персональную ответственность за данное разрешение.
12.5. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
12.6. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
12.7. За неисполнение или ненадлежащее исполнение работником Оператора по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Оператор (как работодатель) вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
12.8. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
12.9. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
12.10. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных законодательством о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.