Положение об обработке персональных данных

I. Общие положения.

1.1. Настоящее Положение об обработке персональных данных (далее - Положение) Общества с ограниченной ответственностью «Пьезус», сокращенное наименование – ООО «Пьезус» (далее – Общество / Оператор), разработано в соответствии с Конституцией РФ, ГК РФ, ТК РФ, НК РФ, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), Федерального закона от 16.07.1999 N 165-ФЗ «Об основах обязательного социального страхования», Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции», Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и иных законов, нормативных правовых актов, локальных актов Общества, а также на основании согласия субъекта персональных данных на обработку персональных данных.

1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Общества и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Общества, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества. Все изменения в Положение вносятся приказом. Положение распространяется на отношения по обработке персональных данных, возникшие в Обществе как до, так и после его утверждения.

1.4. Трансграничная передача персональных данных Обществом не осуществляется.

1.5. Все работники Общества должны быть ознакомлены с настоящим Положением под подпись.

II. Основные понятия, цели, состав и носители персональных данных

2.1. Для целей настоящего Положения используются следующие основные понятия:

2.1.1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.1.1. персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом;

2.1.2. оператор (Оператор) - Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.1.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.4. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.5. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.6. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.7. уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.1.8. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.9. персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом;

2.1.10. информация - сведения (сообщения, данные) независимо от формы их представления;

2.1.11. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.1.12. конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

2.1.13. конфиденциальность персональных данных – обязательное для выполнения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

2.1.14. субъекты персональных данных - в рамках настоящего Положения к субъектам персональных данных относятся:

• соискатели на вакантные должности Общества в рамках правоотношений, урегулированных ТК РФ;
• физические лица, оказывающие услуги (выполняющие работы) на основании договора с Обществом;
• уполномоченные представители контрагентов Общества (физических и (или) юридических лиц любых форм собственности), выполняющие свои обязанности в рамках договорных отношений между такими контрагентами и Обществом;
• работники Общества, в соответствии с понятием ТК РФ, и члены их семей;
• бывшие работники Общества;
• представители/работники, бенефициары, партнеры клиентов/контрагентов (потенциальных контрагентов) Общества (юридических и физических лиц, в том числе индивидуальных предпринимателей),
• пользователи сайта Оператора https://piezus.ru (далее - Пользователи);

2.1.15. биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;

2.1.16. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.2. Общество осуществляет обработку персональных данных с целью:

– рассмотрения кандидатур соискателей на вакантные должности в рамках правоотношений, урегулированных ТК РФ;

– реализации трудовых отношений между Обществом и субъектом персональных данных (работником), и вытекающих из них прав и обязанностей сторон;

– организации обучения, повышения квалификации, продвижения по службе работников;

– контроля количества и качества выполняемой работы;

– передачи персональных данных кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы работникам Общества и для расчета заработной платы (если применимо);

– организации пропускного режима на территорию служебных зданий и помещений Общества, содействия в обеспечении личной безопасности работников, посетителей Общества и обеспечения сохранности имущества указанных лиц, в том числе с использованием средств видеонаблюдения;

– заключения договоров добровольного медицинского страхования здоровья и жизни;

– проверки потенциальных контрагентов на благонадёжность в целях заключения договора;

– заключения и исполнения договоров с контрагентами (поставщиками, покупателями и иными лицами);

– участия Общества в саморегулируемых организациях, прохождение аттестаций, сертификаций Общества и его работников и т.п.;

– установления и поддержания связи с Пользователями сайта Общества, информирования Пользователей, улучшения качества обслуживания и модернизации сайта Общества, направления на адрес электронной почты и телефоны Пользователей сообщений информационного характера;

– проведение маркетинговых, статистических и иных исследований на основе обезличенных данных;

– исполнения требования законодательства РФ;

– для настроек системы показа рекламы;

– проведение стимулирующих мероприятий.

2.3. К персональным данным субъекта персональных данных (физического лица) относятся:

– фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);

– дата (число, месяц, год) и место рождения;

– сведения, содержащиеся в документах, удостоверяющих личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);

– пол;

– cведения о гражданстве (подданстве);

– место работы;

– номер контактного телефона (служебный, личный), адрес электронной почты и (или) сведения о других способах связи;

– идентификационный номер налогоплательщика (ИНН);

– страховой номер индивидуального лицевого счета (СНИЛС);

– реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

– адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

– сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);

– сведения о доходах, обязательствах по исполнительным документам (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

– номера расчетного счета, банковской карты;

– cведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);

– сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);

– информация о владении иностранными языками;

– сведения о трудовой деятельности, профессия, специальность, занимаемая должность, а также информация о предыдущих местах работы, периодах и стаже работы;

– сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета, реквизиты документов воинского учета, в том числе серия, номер, дата выдачи документа, наименование органа, выдавшего его);

– сведения о заработной плате (в т.ч. ее размере и составляющих);

– сведения о социальном положении, социальных льготах;

– сведения о судимости – в случаях, предусмотренных законодательством РФ;

– содержание трудового договора;

– содержание декларации, подаваемой в налоговую инспекцию;

– сведения о состоянии здоровья (о наличии инвалидности) – в случаях, установленных частями 3 и 4 ст. 13 Федерального закона от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

– информация о членстве в выборных органах, в политической партии, участие в общественных объединениях и др.;

– деловые и иные личные качества, которые носят оценочный характер;

– сведения об участии в коммерческих организациях, о принадлежащих а

кциях, долях участия в уставных капиталах юридических лиц, сведения об участии в органах управления юридических лиц;

– сведения о физических лицах из состава информации о цепочке собственников контрагентов;

– адрес выполнения трудовой функции (удаленно);

– информация, указываемая в обращениях (в согласии на получение автоматизированных уведомлений и (или) в др.);

– идентификаторы Пользователя в социальных сетях;

– данные, которые автоматически передаются Оператору в процессе использования сайта Оператора помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), время доступа, адрес запрашиваемой страницы;

– фотографическое изображение;

– подпись;

– прочие сведения, которые могут идентифицировать человека, необходимые для обеспечения реализации целей обработки, указанных в настоящем Положении.

2.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, в Обществе не допускается, за исключением случаев, предусмотренных законодательством РФ.
В частности, если:

–  работник Общества и другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальным категориям;

– персональные данные сделаны общедоступными субъектом персональных данных;

– обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым и (или) пенсионным законодательством РФ;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов других лиц, и получения согласия субъекта персональных данных невозможно.

Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона.

2.5. Носители персональных данных

2.5.1. Бумажные носители персональных данных:

– трудовая книжка;

– сведения о трудовой деятельности, предоставляемые работнику (форма СТД-Р);

– сведения о трудовой деятельности (форма СТД-СФР);

– сведения для ведения индивидуального (персонифицированного) учета и сведения о начисленных страховых взносах на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний (ЕФС-1);

– журналы учета трудовых книжек, движения трудовых книжек и вкладышей к ним;

– листки нетрудоспособности;

– материалы по учету рабочего времени;

– личная карточка Т-2;

– личное дело, формируемое после издания приказа о приеме работника на работу, – основной документ персонального учета работников (в составе которого: анкета; автобиография; характеристика-рекомендация; результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей; копия приказа о приеме на работу; трудовой договор (до подписания трудового договора работник должен быть ознакомлен под подпись с локальными нормативными актами Общества, в том числе, но не ограничиваясь, устанавливающими порядок обработки персональных данных работников, а также права и обязанности работника в этой области), дополнение к личному делу, фиксирующее сведения о перемещении работника по работе (дата вступления в должность и дата ухода с нее, причины перемещения), карточка поощрений и взысканий; внутренняя опись и др.);

– входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;

– заявления;

– подлинники и копии приказов по личному составу (копии приказов о приеме на работу, поощрениях, взысканиях, об увольнении, др.), основания к приказам по личному составу;

– справка о доходах с предыдущего места работы (2-НДФЛ);

– копии паспортов сотрудника (иных документов, удостоверяющих личность);

– результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (для ряда должностей);

– выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами, копии наградных листов;

– копии страховых свидетельств государственного пенсионного страхования или номер СНИЛС, при отсутствии на бумажном носителе, уведомление о регистрации в системе индивидуального (персонифицированного) учета (АДИ-РЕГ);

– копии свидетельств о присвоении ИНН;

– материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

– трудовые и коллективные договоры;

– копии отчетов, направляемые в органы статистики;

– копии документов об образовании;

– рекомендательные письма, характеристики;

– материалы аттестационных комиссий;

– результаты медицинского обследования, сведения об инвалидности, о состоянии здоровья субъекта персональных данных,

– отчеты, аналитические и справочные материалы, передаваемые в государственные органы статистики, налоговые инспекции, другие учреждения, руководителям структурных подразделений, головную организацию (бенефициарам);

– документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

– материалы по анкетированию, тестированию, проведению собеседований с кандидатом на вакантную должность у Оператора;

– анкеты с персональными данными, необходимыми для организации пропускного режима;

– фотографии субъекта персональных данных;

– иные документы.

2.5.2. Электронные носители персональных данных:

– видеозаписи;

– пропускная система;

– базы данных по учету сотрудников предприятия, кадровый резерв;

– система авторизации в локальной сети и система электронной почты;

– любые запоминающие устройства, иное программное обеспечение, используемые как носители информации в электронном виде.

III. Функции Общества при осуществлении обработки персональных данных

3.1. При осуществлении обработки персональных данных Общество:

3.1.1. Принимает меры (правовые, организационные и технические) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

3.1.2. Назначает лицо, ответственное за организацию обработки персональных данных в Обществе.

3.1.3. Издает документы, определяющие политику в отношении обработки персональных данных, локальные нормативные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные нормативные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

3.1.4. Формирует Перечень должностей, осуществляющих обработку персональных данных (далее – Перечень).

3.1.5. Разъясняет субъектам персональных данных юридические последствия отказа предоставить персональные данные и (или) согласие на обработку своих персональных данных в случае, если предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными в соответствии с федеральным законом.

3.1.6. Сообщает в установленном Законом порядке субъектам персональных данных (их представителям) информацию о наличии персональных данных, относящихся к соответствующим субъектам, а также предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных (их представителей), если иное не установлено законодательством РФ.

3.1.7. Если персональные данные получены не от субъектов персональных данных, за исключением случаев, предусмотренных законодательством РФ, до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

- наименование и адрес Общества;

- цель обработки персональных данных и ее правовое основание;

- перечень персональных данных;

- предполагаемые пользователи персональных данных;

- установленные Законом права субъекта персональных данных;

- источник получения персональных данных.

3.1.8. Не сообщает, не раскрывает третьим лицам и не распространяет персональные данные без согласия работников Общества и других субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника Общества, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

3.1.9. Письменно разъясняет субъектам персональных данных порядок принятия решений на основании исключительно автоматизированной обработки их персональных данных и возможные юридические последствия таких решений, предоставляет возможность заявить возражения против такого решения, а также разъясняет порядок защиты субъектом персональных данных своих прав и законных интересов.

3.1.10. В сроки, предусмотренные Законом, уведомляет уполномоченный орган по защите прав субъектов персональных данных об установленных фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

3.1.11. Блокирует персональные данные на период внутренней проверки в случае выявления:

– неправомерной обработки персональных данных;

– неточных персональных данных;

– отсутствия возможности уничтожения персональных данных в течение срока, предусмотренного законодательством РФ или в локальных нормативных актах Общества.

3.1.12. В случае подтверждения факта неточности персональных данных уточняет персональные данные или обеспечивает их уточнение.

3.1.13. Прекращает обработку и уничтожает персональные данные:

– в случае невозможности обеспечить правомерную обработку персональных данных;

– при достижении целей обработки персональных данных;

– в случае отзыва субъектом персональных данных согласия на их обработку;

– по истечении срока обработки персональных данных, установленного при сборе персональных данных;

– в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных Законом.

3.1.14. Совершает иные действия, предусмотренные законодательством РФ.

3.2. Общество, осуществляя обработку персональных данных, вправе:

3.2.1 Ограничить доступ субъекта персональных данных к его персональным данным в соответствии с федеральными законами, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.

3.2.2. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.2.3. Не предоставлять субъекту персональных данных сведения, предусмотренные п. 3.1.7 настоящего Положения, в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными соответствующим субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы соответствующих субъектов персональных данных;

- предоставление субъекту персональных данных указанных сведений нарушает права и законные интересы третьих лиц.

3.2.4. Совершать иные действия с персональными данными, не противоречащими законодательству РФ в области персональных данных.

3.3. Руководители структурных подразделений Общества, осуществляющих обработку персональных данных:

3.3.1. Организуют обработку персональных данных в структурном подразделении в соответствии с законодательством РФ в области персональных, настоящим Положением, иными локальными нормативными актами Общества.

3.3.2. Проводят ознакомление работников с положениями законодательства РФ в области персональных данных, включая Закон, а также (под подпись) с локальными нормативными актами Общества в области персональных данных.

3.3.4. При необходимости назначают лицо, ответственное за обработку персональных данных, используемых в структурном подразделении. Права и обязанности лица, ответственного за обработку персональных данных в соответствующем структурном подразделении, закрепляются в его должностной инструкции.

3.3.5. Осуществляют текущий контроль за обработкой персональных данных в структурных подразделениях.

p>3.3.6. Формируют и актуализируют список работников структурного подразделения, занимающих должности, включенные в Перечень, вносят соответствующие изменения в должностные инструкции вышеуказанных работников.

3.3.7. Обеспечивают конфиденциальность персональных данных, обрабатываемых в соответствующем структурном подразделении.

3.4. Работники Общества, занимающие должности, включенные в Перечень, и осуществляющие обработку персональных данных, обязаны:

3.4.1. Знать требования законодательства в области персональных данных, в том числе требования к защите персональных данных, настоящего Положения, иных локальных нормативных актов Общества в области персональных данных, и осуществлять обработку персональных данных в соответствии с указанными требованиями.

3.4.2. Обеспечивать конфиденциальность персональных данных, использовать предусмотренные в Обществе меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, обрабатываемых в соответствующем структурном подразделении.

3.4.3. Информировать руководителя структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и о других нарушениях порядка обработки персональных данных.

3.4.4. Во время работы с информацией и (или) документами, содержащими персональные данные, исключать возможность ознакомления с ними лиц, занимающих должности, не включенные в Перечень.
При увольнении, уходе в отпуск или убытии в длительную командировку сдавать все имеющиеся в распоряжении бумажные и иные материальные, в том числе внешние электронные, носителя, содержащие персональные данные, лицу, ответственному за обработку персональных данных в структурном подразделении (при его наличии) или работнику, ответственному за обеспечение работы с конфиденциальными документами, а в случае их отсутствия – руководителю структурного подразделения.

3.4.5. Права и обязанности работников структурных подразделений в области обработки персональных данных, а также их ответственность в случае раскрытия или распространения (нарушения конфиденциальности персональных данных) определяются настоящим Положением, должностными инструкциями работников и другими локальными нормативными документами Общества в области персональных данных.

IV. Права субъекта персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. На доступ к своим персональным данным и ознакомление с ними, включая право на получение копий любой записи, содержащей его персональные данные. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (ч. 8 ст. 14 Закона).

4.1.2. Требовать от Общества уточнения, исключения или исправления неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной Обществом цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.1.3. Получать от Общества:

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

4.1.4. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

4.1.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Общества при обработке и защите его персональных данных.

4.2. Субъект персональных данных имеет иные права, предусмотренные законодательством.

V. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных

5.1. Меры по обеспечению выполнения Обществом обязанностей оператора, предусмотренные законодательством РФ, в том числе (но не ограничиваясь) включают в себя:

5.1.1. Назначение лица, ответственного за организацию обработки персональных данных, а также утверждения Перечня должностей структурных подразделений Общества, задействованных в обработке персональных данных;

5.1.2. Издание документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ.
Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных.

5.1.3. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

5.1.4. Обеспечение неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

5.1.5. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5.1.6. Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

5.1.7. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона.

VI. Обработка персональных данных

6.1. Обработка персональных данных в Обществе выполняется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

6.2. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

6.2.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:

• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.

6.2.2. В Обществе используются следующие информационные системы:

• корпоративная электронная почта;
• система электронного документооборота;
• система нормативно-справочной информации;
• система управления персоналом;
• система доступа к локальным и сетевым компьютерным ресурсам Общества;
• контрольно-пропускная система допуска сотрудников на рабочее место и контроля рабочего времени.

6.3. Все персональные данные работника Общества следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Должностное лицо работодателя должно сообщить работнику Общества о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

6.4. Общество вправе обрабатывать персональные данные только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством в области персональных данных.
Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных ч. 4 ст. 18 Закона, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• установленные Законом права субъекта персональных данных;
• источник получения персональных данных.

6.4.1. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

– наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

– цель обработки персональных данных;

– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

– срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

– подпись субъекта персональных данных.

6.4.2. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

6.5. Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных ст. 6 Закона, в том числе (но не ограничиваясь):

• в случае обработки персональных данных, необходимой для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
• в случае обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей
• в случае необходимости обработки персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

6.6. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

6.7. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина генеральный директор Общества (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

• обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом;
• работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны (во всех случаях отказ работника от таких прав недействителен).

6.9. Обработка персональных данных в Обществе прекращается в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных (его представителя) либо по запросу субъекта персональных данных (его представителя), либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
• при достижении целей их обработки (за некоторыми исключениями). В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено (а) договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, (b) иным соглашением между оператором и субъектом персональных данных либо (c) если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами;
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом их обработка допускается только с согласия. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено (а) договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, (b) иным соглашением между оператором и субъектом персональных данных либо (c) если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами;
• при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона). Срок прекращения обработки - не более 10 (десяти) рабочих дней с даты получения требования (с возможностью продления не более чем на 5 (пять) рабочих дней, если направлено уведомление о причинах продления).

6.10. Порядок блокирования и уничтожения персональных данных.

6.10.1. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.10.2. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

6.10.3. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления факта неправомерной обработки.

6.10.4. Персональные данные уничтожаются в течение 30 (тридцати) дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.
При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 (тридцати) дней.

6.10.5. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 (тридцати) дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между субъектом персональных данных и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.

6.10.6. Отбор материальных носителей (документы и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.

6.10.7. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.10.8. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, или путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.10.9. Комиссия подтверждает уничтожение персональных данных, указанных в пп. 6.10.3, пп. 6.10.4, пп. 6.10.5 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

6.10.10. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в отдел кадров для последующего хранения. Акты и выгрузки из журнала хранятся в течение 3 (трех) лет с момента уничтожения персональных данных.

6.10.11. Уничтожение персональных данных, не указанных в п. 6.10.9 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных.

VII. Защита персональных данных

7.1. С целью защиты персональных данных в Обществе приказами генерального директора назначаются (утверждаются):

• работник, ответственный за организацию обработки персональных данных;
• перечень должностей, задействованных в обработке персональные данные;
• перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
• порядок защиты персональных данных при их обработке в информационных системах персональных данных;
• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.2. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.3. Работникам Оператора запрещается:

– раскрывать и распространять персональные данные субъектов персональных данных устно или по телефону;

– использовать сведения, содержащие персональные данные, при подготовке открытых отчетов, докладов, планов, аналитических справок и т.д.;

– работать с документами, содержащими персональные данные, вне служебных помещений;

– передавать (принимать) без расписки документы, содержащие персональные данные;

– оставлять на рабочих столах, в столах и незакрытых сейфах документы, содержащие персональные данные,

– самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций, на которых хранятся персональные данные, или устанавливать дополнительно любые программные и аппаратные средства на них;

– осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;

– записывать и хранить персональные данные на неучтенных носителях информации;

– оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированных действий (временную блокировку экрана и клавиатуры).

Работники Оператора обязаны выполнять требования лица, назначенного ответственным за организацию обработки и обеспечения защиты персональных данных в Обществе, руководителя структурного подразделения, в подчинении которого он находится, касающиеся защиты информации.

7.4. Обществом ведется учет машинных носителей персональных данных. Материальные носители персональных данных хранятся в шкафах, доступ к которым ограничен. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами.

7.5. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

7.6. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

7.7. В Обществе проводятся внутренние расследования в следующих ситуациях:

• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• в иных случаях, предусмотренных законодательством в области персональных данных.

7.8. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль за:

• соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
• соответствием указанных актов законодательству в области персональных данных.

Внутренний контроль проходит в виде внутренних проверок:

• внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором;
• внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

По итогам внутренней проверки оформляется докладная записка на имя генерального директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.

7.9. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

7.9.1. В случае инцидента Общество в течение 24 (двадцати четырех) часов уведомляет Роскомнадзор:

– об инциденте;

– его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

– принятых мерах по устранению последствий инцидента;

– представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

7.9.2. В течение 72 (семидесяти двух) часов Общество обязано:

– уведомить Роскомнадзор о результатах внутреннего расследования;

– предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

7.10. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение 7 (семи) рабочих дней (п. 2 ст. 21 Закона). Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

7.11. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

7.11.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.11 Положения.

7.12. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

7.13. Посторонние лица (любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, сотрудники других организационных структур и т.д.) не должны знать распределение функций, внутренние рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, за исключением:

• информации, содержащейся в общедоступных документах Общества, в том числе (но не ограничиваясь) размещенных на официальном сайте Общества,
• информации, общедоступность которой должна быть обеспечена Обществом в соответствии с требованиями законодательства РФ.

7.14. В целях защиты персональных данных Обществом осуществляется учет и контроль деятельности посетителей, пропускной режим компании, охрана территории, зданий, помещений, транспортных средств.

7.15. Информация, относящаяся к персональным данным, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

7.16. Оператор не вправе предоставлять персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом. Форма бланка Согласия субъекта персональных данных на передачу его данных третьим лицам, отражена в Приложении № 4.

7.17. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным субъекта персональных данных, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.

7.18. Технические меры защиты:

– использование электронной цифровой подписи,

– использование антивирусных средств защиты информации с регулярно обновляемыми базами,

– идентификация и проверка подлинности пользователя при входе в систему информационной системы по периодически обновляемому паролю длиной не менее восьми буквенно-цифровых символов;

– наличие средств восстановления системы защиты персональных данных, в том числе предусматривающих их периодическое обновление и контроль работоспособности.

7.19. В рамках достижения целей обработки и по основаниям, предусмотренным законодательством РФ, персональные данные могут передаваться третьим лицам, в том числе (но не ограничиваясь) контрагентам (потенциальным контрагентам) Общества.
Оператор вправе поручить обработку персональных данных соответствующему лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. В договоре должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.

VIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.2. Генеральный директор Общества за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

IX. Заключительные положения

9.1. По всем вопросам, не урегулированным настоящим Положением, Оператор и субъекты персональных данных руководствуются положениями законов, перечисленных в п. 1.1 настоящего Положения и иных нормативно-правовых актов РФ, а также локальными нормативными актами Оператора.

9.2. Оригинал настоящего Положения хранится в отделе кадров Общества

9.3. Копия Положения и приложений к нему находиться в общем доступе для ознакомления:

– в бумажном виде в кабинете отдела кадров по адресу: 109316, г. Москва, вн.тер.г. муниципальный округ Печатники, пр-кт Волгоградский, д. 42, к. 5, этаж 1, помещ. I, ком. № 2;

– на официальном сайте Оператора по адресу: https://piezus.ru/pdp-regulations.html

9.4. Реквизиты Оператора в целях реализации субъектами персональных данных своих прав или направления запросов в рамках настоящего положения:

– в бумажном виде в кабинете отдела кадров по адресу: 109316, г. Москва, вн.тер.г. муниципальный округ Печатники, пр-кт Волгоградский, д. 42, к. 5, этаж 1, помещ. I, ком. № 2;

– электронный адрес: zakaz@piezus.ru

Приложение № 1 Согласие на обработку персональных данных кандидатов на вакантные должности

Приложение № 2 Согласие на обработку персональных данных работников

Приложение № 3 Согласие на обработку персональных данных представителей (потенциальных) контрагентов

Приложение № 4 Согласие на передачу и обработку персональных данных работника третьей стороной