Политика в отношении обработки персональных данных
Бланк или шапка
__________________________________________________
(наименование, адрес, ИНН, ОГРН)
Утверждаю
_____________________________________
(наименование должности руководителя организации
ООО «Охранная фирма «Титан»
__________/_________ (подпись/Ф.И.О.)
«___»________________ ____г.
ПОЛИТИКА
в отношении обработки персональных данных в ООО «Охранная фирма «Титан»
Санкт-Петербург
2025
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных Общества с ограниченной ответственностью «Охранная фирма «Титан» (ООО «Охранная фирма «Титан»), именуемая далее - Политика, разработана во исполнение требований п.2 ч.1 ст. 8.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает ООО «Охранная фирма «Титан» () и обязательна для соблюдения всеми его работниками.
1.3. Настоящая Политика вступает в действие с момента утверждения руководителем ООО «Охранная фирма «Титан» и действует до утверждения новой Политики.
1.4. Настоящая Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч.2 ст.18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте ООО «Охранная фирма «Титан».
1.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в ООО «Охранная фирма «Титан».
1.7. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов ООО «Охранная фирма «Титан» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. В настоящей Политике используются следующие термины и их определения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (Оператор) – ООО «Охранная фирма «Титан»;
Субъекты персональных данных - работники ООО «Охранная фирма «Титан», бывшие работники, кандидаты на замещение вакантных должностей (соискатели), а также родственники работников, бывших работников, соискателей; клиенты и контрагенты ООО «Охранная фирма «Титан» (физические лица); представители/работники клиентов и контрагентов ООО «Охранная фирма «Титан» (юридических лиц) и иные лица, персональные данные которых ООО «Охранная фирма «Титан» обязано обрабатывать в соответствии с законодательством Российской Федерации;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;
Персональные данные, разрешенные Субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
3.1. Оператор имеет право:
3.1.1. Получать от Субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные Субъекта персональных данных, для целей обработки, указанных в п.5.3 настоящей Политики.
3.1.2. Требовать от Субъекта персональных данных своевременного уточнения предоставленных персональных данных.
3.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
3.1.4. Поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3.1.5. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
3.2. Оператор обязан:
3.2.1. Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
3.2.2. Отвечать на обращения и запросы Субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3.2.3. Сообщать в уполномоченный орган по защите прав Субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.
3.2.3. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.3. Оператор имеет иные права и несет иные обязанности, предусмотренные законодательством Российской Федерации.
4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ
СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект персональных данных имеет право:
4.1.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
4.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.1.3. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг Оператора;
4.1.4. Требовать от Организации прекратить обработку его персональных данных.
4.1.5. Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
4.2. Субъект персональных данных обязан:
4.2.1. Обеспечивать достоверность предоставляемых Оператору персональных данных, необходимых для целей обработки, предусмотренных в п.5.3 настоящей Политики.
4.2.2. Предоставлять Организации (вариант: Индивидуальному предпринимателю) сведения для уточнения (обновления, изменения) предоставленных персональных данных.
4.3. Субъект персональных данных имеет иные права и несет иные обязанности, предусмотренные законодательством Российской Федерации.
5. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.3. Обработка Оператором персональных данных осуществляется в следующих целях:
· Осуществление деятельности, предусмотренной Уставом ООО «Охранная фирма» Титан», в том числе заключение и исполнение договоров с контрагентами;
· Исполнение трудового законодательства Российской Федерации в рамках трудовых и иных непосредственно связанных с ним отношений;
· Подготовка, заключение, исполнение и прекращение гражданско-правовых договоров, соглашений, установление иных гражданско-правовых отношений с Субъектами персональных данных, их уполномоченными представителями, в том числе осуществление взаимодействия с Субъектами персональных данных, являющимися представителями юридических лиц;
· Содействие кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
· Ведение кадрового делопроизводства и личных дел работников;
· Ведения бухгалтерского учета;
· Организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
· Рассмотрение в установленном порядке обращений (жалоб) граждан;
· Предоставление работникам и членам их семей дополнительных гарантий и компенсаций, других видов социального обеспечения;
· Предоставление сведений в Пенсионный Фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы в соответствии с законодательством РФ;
· Организация воинского учета;
· Идентификация пользователей, зарегистрированных в мобильном приложении «Титан 112», на Интернет-сайтах, иных сервисах и программных продуктах ООО «Охранная фирма «Титан» (далее – Сервисы);
· Предоставление пользователям Сервисов доступа к функционалу Сервисов, в том числе: - идентификация пользователей Сервисов;
- создания учетной записи, если Пользователь дал согласие на создание учетной записи;
предоставление пользователям Сервисов доступа к разделам, ресурсам, в том числе персонализированным, а также иной информации, размещенной в Сервисах;
установление обратной связи с пользователями Сервисов, включая направление уведомлений, запросов, касающихся пользования Сервисами, обработки запросов и заявок от пользователей Сервисов, в том числе посредством форм обратной связи (контактных форм), обработки данных при регистрации (авторизации) пользователей, и иных сообщений;
обработка и получение платежей от пользователей Сервисов;
поиск и подключение к Bluetooth-устройствам пользователей Сервисов;
предоставление пользователям Сервисов обновлений Сервисов, специальных предложений, информационной, рекламной информации (с согласия пользователя Сервисов), новостной рассылки и иных сведений, связанных с использованием Сервисов и (или) деятельностью Оператора;
предоставление пользователям Сервисов эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием указанных Сервисов;
улучшение качества работы Сервисов, удобства их использования;
сбор статистических данных о пользователях Сервисов, проведение статистических и иных исследований на основе указанных сведений;
·
· Обеспечение пропускного режима в помещения ООО «Охранная фирма» Титан»;
· В иных целях, не противоречащих законодательству Российской Федерации.
5.4. Обработка персональных данных работников может осуществляться исключительно с соблюдением принципа соответствия законам и иным нормативным актам.
6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, а именно:
· Конституция Российской Федерации;
· Гражданский кодекс Российской Федерации;
· Трудовой кодекс Российской Федерации;
· Налоговый кодекс Российской Федерации;
· Семейный кодекс Российской Федерации;
· Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
· Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
· Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
· Федеральный закон от 15.12.2001 № 162-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
· Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
· Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
· Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
· Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
· Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
· Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
· Приказ Минтруда России от 19.05.2021 № 320н «Об утверждении формы, порядка ведения и хранения трудовых книжек»;
· Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6.2. Правовым основанием обработки персональных данных также являются:
· Устав ООО «Охранная фирма «Титан»;
· Договоры, заключаемые Оператором с Субъектами персональных данных;
· Согласие Субъектов персональных данных или их законных представителей на обработку их персональных данных.
7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки, предусмотренным в разделе 5 настоящей Политики.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.2. Достоверными являются персональные данные, полученные из следующих источников:
- паспорт или иной документ, удостоверяющий личность Субъекта персональных данных;
- трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Оператор является для Субъекта персональных данных первым работодателем);
- документ, подтверждающий регистрацию Субъекта персональных данных в системе индивидуального (персонифицированного) учета;
- военный билет и иные документы воинского учета Субъекта персональных данных;
- диплом об образовании Субъекта персональных данных;
- свидетельство о постановке Субъекта персональных данных на учет в налоговом органе.
Отдельным приказом руководителя ООО «Охранная фирма «Титан» могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
7.3. ______________________ (указать подразделение) ООО «Охранная фирма «Титан» обеспечивает проверку вышеперечисленных документов, содержащих персональные данные, на предмет их подлинности, а также обеспечивают при необходимости их временное хранение в установленном порядке.
7.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
7.2.1. Работники Оператора:
· фамилия, имя, отчество;
· пол;
· год, дата, месяц рождения;
· место рождения;
· адрес;
· образование;
· профессия;
· доходы;
· паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);
· сведения о трудовой деятельности, опыте работы;
· контактные данные (номер телефона, адрес электронной почты);
· данные свидетельства о присвоении идентификационного номера налогоплательщика ИНН);
· данные страхового номера индивидуального лицевого счета (СНИЛС);
· данные военного билета, приписного свидетельства (сведения о приписке к военным частям, командам, наличие отсрочки от призыва на военную службу);
· данные (включая реквизиты) диплома о высшем образовании;
· банковские реквизиты;
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.2. Кандидаты на замещение вакантной должности:
· фамилия, имя, отчество;
· пол;
· год, дата, месяц рождения;
· адрес;
· контактные данные (номер телефона, адрес электронной почты);
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.3. Члены семьи работников Оператора:
· фамилия, имя, отчество;
· год, дата, месяц рождения;
· контактные данные (номер телефона, адрес электронной почты);
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.4. Физические лица, состоящие в гражданско-правовых (договорных) отношениях с Оператором и (или) их законные представители:
· фамилия, имя, отчество;
· адрес;
· паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);
· контактные данные (номер телефона, адрес электронной почты);
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.5. Заявители с обращениями (жалобами):
· фамилия, имя, отчество;
· год, дата, месяц рождения;
· адрес;
· паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);
· контактные данные (номер телефона, адрес электронной почты);
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.6. Представители юридических лиц-контрагентов:
· фамилия, имя, отчество;
· должность в представляемой организации;
· контактные данные (номер телефона, адрес электронной почты);
· иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.2.7. Пользователи Сервисов Оператора:
· фамилия, имя, отчество;
· пол;
· контактные данные (номер телефона, адрес электронной почты);
· банковские платежные реквизиты;
· информация технического характера, включая IP-адрес устройства, местоположение;
· иные дополнительные сведения, указываемые Пользователями в свободном поле или предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
Предлагаю заменить выделенные зеленым цветом пункты на указанные ниже, так как форма этих пунктов ниже соответствует уведомлению в Роскомнадзор об осуществлении обработки персональных данных.
7.4. К персональным данным работников и бывших работников, обрабатываемым Оператором в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе ведения кадрового и бухгалтерского учета, воинского учета, относятся: фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; телефон, адрес электронной почты, иные контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.5. К персональным данным соискателя, обрабатываемым Оператором в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, относятся: фамилия, имя, отчество; пол; гражданство; дата и место рождения; телефон, адрес электронной почты, иные контактные данные; сведения об образовании, опыте работы, квалификации; иные персональные данные, сообщаемые соискателями в резюме и сопроводительных письмах.
7.6. К персональным данным родственников работников, бывших работников и соискателей (а также членов их семей), обрабатываемым Оператором в целях исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, относятся: фамилия, имя, отчество; степень родства; год рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.7. К персональным данным клиентов и контрагентов Оператора (физических лиц), обрабатываемым Оператором в целях осуществления хозяйственной деятельности, в том числе заключения, исполнения и прекращения договоров с контрагентами, относятся: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; телефон, адрес электронной почты, иные контактные данные; замещаемая должность; индивидуальный номер налогоплательщика; номер банковского счета; иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
7.8. К персональным данным представителей клиентов и контрагентов Оператора (физических и юридических лиц), обрабатываемым Оператором в целях осуществления хозяйственной деятельности, в том числе заключения, исполнения и прекращения договоров с контрагентами, относятся: фамилия, имя, отчество; паспортные данные; телефон, адрес электронной почты, иные контактные данные; замещаемая должность; иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
7.9. К персональным данным граждан с обращениями (жалобами), обрабатываемым Оператором в целях рассмотрения в установленном порядке указанных обращений (жалоб), относятся: фамилия, имя, отчество; год, дата, месяц рождения; адрес; паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); контактные данные (номер телефона, адрес электронной почты); иные дополнительные сведения, предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.10. К персональным данным пользователей Сервисов, обрабатываемым Оператором в целях идентификации пользователей Сервисов и предоставления им доступа к функционалу Сервисов, относятся: фамилия, имя, отчество; пол; контактные данные (номер телефона, адрес электронной почты); банковские платежные реквизиты; информация технического характера, включая IP-адрес устройства, местоположение; иные дополнительные сведения, указываемые Пользователями Сервисов Оператора в свободном поле или предусмотренные требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных.
7.11. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации. Биометрические персональные данные обрабатываются только при наличии согласия в письменной форме Субъекта персональных данных, за исключением случаев, предусмотренных ч.2 ст.11 Закона о персональных данных.
7.11.1. К биометрическим персональным данным __________________ (указать категорию Субъектов персональных данных), обрабатываемым Оператором в целях ____________________________, относятся: __________________________________.
7.11.2. К биометрическим персональным данным __________________________ (указать категорию Субъектов персональных данных), обрабатываемым Оператором в целях ____________________, относятся: __________________________________.
7.12. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
Обработка персональных данных о состоянии здоровья, в частности, допускается в случаях, предусмотренных законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации, а также когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта персональных данных невозможно.
8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
8.2. Оператор при обработке персональных данных обязуется соблюдать конфиденциальность персональных данных.
8.3. Оператор осуществляет следующие операции с персональными данными: получение (сбор); запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление доступа); обезличивание; блокирование; удаление; уничтожение.
Оператор не осуществляет трансграничную передачу персональных данных.
8.4. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от Субъекта персональных данных. В случае если предоставление соответствующих данных возможно только от третьих лиц, то Субъект персональных данных должен дать письменное согласие на это.
8.5. Обработка персональных данных осуществляется с согласия Субъектов персональных данных или их представителей на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает Субъект персональных данных.
8.6. Оператор осуществляет обработку персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой и без использования средств автоматизации (смешанная обработка).
8.7. Персональные данные Субъектов персональных данных размещаются Оператором в следующих информационных системах:
- информационная система персональных данных работников Оператора;
- информационная система персональных данных лиц, не являющихся работниками Оператора, но персональные данные которых Оператор должен обрабатывать в соответствии с трудовым законодательством;
- информационная система персональных данных клиентов и контрагентов Оператора (физических лиц) и представителей клиентов и контрагентов Оператора (физических и юридических лиц);
- информационная система персональных данных _____________________ (указать категорию лиц).
8.8. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы:
- в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
- в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Оператора, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным нормативным актом.
8.9. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
8.10. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий Субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
8.11. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
8.12. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
8.13. При обработке персональных данных с использованием средств автоматизации Оператор соблюдает Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 № 1119, и Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
8.14. При обработке персональных данных без использования средств автоматизации Оператор соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
8.15. Оператор осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
8.16. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, установленных законодательством Российской Федерации. Срок хранения персональных данных, обрабатываемых в цифровых информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.17. Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.18. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
8.19. Оператор осуществляет распространение персональных данных, разрешенных Субъектом персональных данных для распространения, то есть производит действия, направленные на их раскрытие неопределенному кругу лиц, с соблюдением запретов и условий, установленных ст.10.1 Закона о персональных данных. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого Субъекта на обработку его персональных данных.
8.19.1 Распространение Оператором персональных данных может осуществляться в следующих целях: ____________________________.
8.20. Оператор должен прекратить обработку персональных данных Субъекта персональных данных в случаях, если:
- выявлена неправомерная обработка персональных данных - в течение 3 (трех) рабочих дней с даты этого выявления;
- достигнуты цели обработки персональных данных - в течение 30 (тридцати) дней с даты достижения целей обработки;
- Субъект персональных данных отозвал согласие на обработку его персональных данных - в течение 30 (тридцати) дней с даты отзыва;
- Субъект персональных данных обратился к Оператору с требованием о прекращении обработки - в течение 10 рабочих дней с даты получения соответствующего требования, за исключением случаев, предусмотренных Законом о персональных данных, когда обработка не подлежит прекращению. Этот срок может быть продлен, но не более чем на 5 рабочих дней, если Оператор направит Субъекту персональных данных мотивированное уведомление с указанием причин продления срока;
- истек срок действия согласия;
- прекращена деятельность по обработке персональных данных с последующим уведомлением Роскомнадзора.
5.20.1. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и Субъектом персональных
9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ
НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч.7 ст.14 Закона о персональных данных, предоставляются Оператором Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения соответствующего запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, если Организация (вариант: Индивидуальный предприниматель) направит в адрес Субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
Указанные сведения Оператор предоставляет Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч.8 ст.14 Закона о персональных данных, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.2. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
Предлагаю эти выделенные зеленым цветом пункты заменить на указанные ниже
9.3. Оператор должен уничтожить персональные данные в следующих случаях и в следующие сроки:
- если достигнуты цели обработки персональных данных либо утрачена необходимость их достижения - в срок не более 30 дней с даты достижения указанных целей, если иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- если Субъект персональных данных или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в срок не более 7 рабочих дней со дня представления таких сведений;
- если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, - в срок не более 10 рабочих дней с даты выявления неправомерной обработки;
- если Субъект персональных данных отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, - в срок не более 30 дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
- если достигнуты максимальные сроки хранения документов, содержащих персональные данные, - в течение 30 дней.
9.4. Лицо, уполномоченное осуществлять уничтожение персональных данных, и способы уничтожения персональных данных устанавливаются в ___________________ (указать локальный нормативный акт или приказ).
9.5. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.
При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
Назад на главную