Политика конфиденциальности

1. Общие положения Настоящая Политика обработки персональных данных общества с ограниченной ответственностью «ПП «БЗАП» (далее - Политика) определяет цели и общие принципы обработки персональных данных и действует в отношении всей информации содержащей персональные данные субъектов, получаемой ООО «ПП «БЗАП» (далее - Общество) в рамках осуществления своей деятельности. В Политике определены основные понятия, права и обязанности Общества, права субъектов персональных данных (далее - субъект ПД), цели, порядок, условия и правовое основание обработки персональных данных, требования к сотрудникам Общества и степень их ответственности, структура и уровень защищенности, статус и должностные обязанности ответственных за обеспечение безопасности персональных данных в различных информационных системах персональных данных (ИСПД) Общества. 1.1. Политика вступает в силу с момента ее утверждения Генеральным директором Общества. 1.2. Настоящая Политика распространяется на все отношения, связанные с обработкой персональных данных в Обществе: С использованием средств автоматизации, в том числе в информационно- телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным; Без использования средств автоматизации. 1.3. Положения Политики распространяются на всех сотрудников Общества. 2. Цели 2.1. Целью настоящей Политики является обеспечение защиты прав и свобод субъектов ПД при обработке их персональных данных в Обществе. 3. Основные понятия 3.1. В настоящей Политике используются следующие понятия: • Персональные данные (ПД)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому или юридическому лицу (субъекту персональных данных); • Специальные персональные данные - сведения о расовой и национальной принадлежности, о политических, религиозных или философских убеждениях, о состоянии здоровья или его интимной жизни, информация о судимостях; • Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность; • Обработка персональных данных - любое действие (операция) или совокупность действий (операции), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; • Оператор персональных данных (Оператор) – ООО «ПП «БЗАП» - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; • Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных; • Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; • Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц; • Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); • Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; • Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; • Информационная система персональных данных –совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; • Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу. • Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в ИСПД; • Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 4. Правовое основание обработки персональных данных Настоящая Политика разработана в соответствии с требованиями следующих нормативных документов: • Конституцией Российской Федерации; • Трудовым кодексом Российской Федерации; • Гражданским кодексом Российской Федерации; • Налоговым кодексом Российской Федерации; • Жилищным кодексом Российской Федерации; • Федеральным законом от 27.07.2006 г. № 152 - ФЗ «О персональных данных»; • Федеральным законом от 27.07.2006 г. № 149 - ФЗ «Об информации, информационных технологиях и защите информации»; • Федеральным законом от 07.12.2011 г. № 416-ФЗ «О водоснабжении и водоотведении»; • Федеральным законом от 06.12.2011 г. №402 -ФЗ «О бухгалтерском учете»; • Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; • Федеральным законом от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; • Федеральным законом от 16.07.1999 №165-ФЗ «Об основах обязательного социального страхования»; • Федеральным законом от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»; • Федеральным законом от 24.07.1998 г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; • Федеральным законом 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; • Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»; • Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; • Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225 «О трудовых книжках»; • Постановлением Правительства Российской Федерации от 06.05.2011 г. № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»; • Уставом ООО «ПП «БЗАП», утвержденный общим собранием учредителей (участников) общества «ПП «БЗАП» Протоколом №7 от 20.04.2010 г.; • Трудовыми договорами и дополнительными соглашениями к ним; • Договорами гражданско-правового характера; • Согласием субъекта персональных данных. 5. Цели обработки категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей или при наступлении иных законных оснований. 5.1. К категориям субъектов персональных данных относятся; 5.1.1. Соискатели на вакантные должности; В данной категории субъектов Обществом обрабатываются персональные данные в целях подбора персонала (соискателей) на вакантные должности в Обществе.  Категории субъектов, персональные данные которых обрабатываются: Соискатели на занятие вакантных должностей в Обществе.  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Телефонный номер (домашний, мобильный); • Адрес электронной почты (e-mail); • Сведения об образовании;  Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.  Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, удаление, уничтожение.  Способ обработки: неавтоматизированная, без передачи по внутренней сети юридического лица, без передачи по сети Интернет.  Сроки обработки и хранения: до принятия решения о трудоустройстве кандидата или его несоответствия вакансии.  Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.2. Действующие и уволенные работники Общества и ближайшие родственники работников; В данной категории субъектов Обществом обрабатываются персональные данные в целях ведения кадрового и бухгалтерского учета.  Категории субъектов, персональные данные которых обрабатываются: Работники; Родственники работников; Уволенные работники; Законные представители  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Дата рождения; • Место рождения; • Пол; • Гражданство; • Адрес регистрации; • Адрес проживания; • Телефонный номер (домашний, мобильный); • Адрес электронной почты (e-mail); • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, сведения о ранее выданных паспортах); • Подразделение; • Должность; • ИНН; • СНИЛС; • Сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность); • Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); • Информация о приеме на работу (наименование предприятия, подразделение, должность, перемещения по должности, увольнение); • Данные о выполняемой работе с начала трудовой деятельности (включая военную службу); • Сведения о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, изменения к трудовому договору, графики работы); • Данные расчетных счетов; • Сведения о занимаемой должности; Родственники работников: • Фамилия, имя, отчество; • Дата рождения; • Степень родства; • Адрес проживания.  Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.  Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) удаление, обезличивание, блокирование, удаление, уничтожение.  Способ обработки: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет  Сроки обработки и хранения: в соответствии с требованиями трудового, налогового законодательства:  Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.3. Контрагенты (законные представители контрагентов); В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в ходе своей хозяйственной деятельности;  Категории субъектов, персональные данные которых обрабатываются: Контрагенты; Представители контрагентов; Клиенты;  Перечень обрабатываемых персональных данных: Физические лица: • Фамилия, имя, отчество; • Дата рождения; • Место рождения; • Адрес регистрации; • Адрес проживания; • Контактный телефон; • Адрес электронной почты; • ИНН; • СНИЛС; • Номер лицевого счета; • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); Юридические лица: • Фамилия, имя, отчество; • Контактный телефон; • Адрес электронной почты; • ИНН; • Номер лицевого счета; • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, адресные данные);  Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.  Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, удаление, уничтожение.  Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет  Сроки обработки и хранения: в соответствии с требованиями действующего законодательства и номенклатурой дел.  Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.4. Работники, уволенные работники Общества (для СФР) В данной категории субъектов Обществом обрабатываются персональные данные в целях Обеспечения соблюдения законодательства о государственной социальной помощи РФ: сдача отчетности в Социальный фонд Российской Федерации, исполнение обязанностей работодателя при возникновении несчастного случая;  Категории субъектов, персональные данные которых обрабатываются: Работники; Уволенные работники;  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Дата рождения; • Адрес регистрации; • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, сведения о ранее выданных паспортах); • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); • ИНН; • СНИЛС; • Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. • Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление, уничтожение. • Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет • Сроки обработки и хранения: в соответствии с требованиями действующего законодательства и номенклатурой дел. • Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.5. Работники, уволенные работники Общества (для ПФР) В данной категории субъектов Обществом обрабатываются персональные данные в целях Обеспечения соблюдения пенсионного РФ  Категории субъектов, персональные данные которых обрабатываются: Работники; Уволенные работники;  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Дата рождения; • Адрес регистрации; • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, сведения о ранее выданных паспортах); • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); • ИНН; • СНИЛС; • Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. • Перечень действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), блокирование, удаление, уничтожение. • Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет • Сроки обработки и хранения: в соответствии с требованиями действующего законодательства и номенклатурой дел. • Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.6. Работники, уволенные работники Общества (для ФНС) В данной категории субъектов Обществом обрабатываются персональные данные в целях Обеспечения соблюдения налогового законодательства РФ  Категории субъектов, персональные данные которых обрабатываются: Работники; Уволенные работники;  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Дата рождения; • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, сведения о ранее выданных паспортах); • ИНН; • СНИЛС; • Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. • Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), блокирование, удаление, уничтожение. • Способ обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет • Сроки обработки и хранения: в соответствии с требованиями действующего законодательства и номенклатурой дел. • Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.1.7. Действующие и уволенные работники Общества и ближайшие родственники работников В данной категории субъектов Оператором обрабатываются персональные данные с целью Обеспечения соблюдения трудового законодательства РФ.  Категории субъектов, персональные данные которых обрабатываются: Работники; Родственники работников; Уволенные работники; Законные представители  Перечень обрабатываемых персональных данных: • Фамилия, имя, отчество; • Дата рождения; • Место рождения; • Пол; • Гражданство; • Адрес регистрации; • Адрес проживания; • Телефонный номер (домашний, мобильный); • Адрес электронной почты (e-mail); • Паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения, сведения о ранее выданных паспортах); • Подразделение; • Должность; • ИНН; • СНИЛС; • Сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность); • Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); • Информация о приеме на работу (наименование предприятия, подразделение, должность, перемещения по должности, увольнение); • Данные о выполняемой работе с начала трудовой деятельности (включая военную службу); • Сведения о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, изменения к трудовому договору, графики работы); • Данные расчетных счетов; • Сведения о занимаемой должности; Родственники работников: • Фамилия, имя, отчество; • Дата рождения; • Степень родства; • Адрес проживания.  Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.  Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) удаление, обезличивание, блокирование, удаление, уничтожение.  Способ обработки: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет  Сроки обработки и хранения: в соответствии с требованиями трудового, налогового законодательства:  Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. 5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется. 5.3. Трансграничная передача данных Обществом не осуществляется. 5.4. Обработка биометрических персональных данных в Обществе допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. 5.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных. 6. Общие принципы обработки персональных данных Обработка персональных данных граждан и работников Общества осуществляется на основе принципов: 6.1. Обработка персональных данных должна осуществляться на законной и справедливой основе; 6.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки; 6.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 6.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; 6.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 6.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает принятие мер по удалению или уточнению неполных, или неточных данных; 6.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 6.8. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом. 7. Условия обработки, передачи и хранения персональных данных 7.1. Общество при осуществлении своей деятельности при обработке персональных данных руководствуется Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных»; 7.2. Общество обеспечивает конфиденциальность персональных данных в отношении всех субъектов персональных данных; 7.3. Общество обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству Российской Федерации; 7.4. Обработка специальных категорий персональных данных осуществляется Обществом с соблюдением следующих условий: 7.5. Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым и пенсионным законодательством Российской Федерации; 7.6. Субъект персональных данных дал согласие в письменной либо в электронной форме на обработку своих персональных данных. 7.7. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности субъекта персональных данных Обществом, обрабатываются при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч.2, ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 7.8. Обработка иных категорий персональных данных осуществляется Обществом с соблюдением следующих условий: 7.9. Обработка персональных данных необходима для достижения целей. 7.10. Предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей; 7.11. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 7.12. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. 7.13. В целях информационного обеспечения в Обществе создаются общедоступные источники персональных данных работников (в том числе телефонные справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество; должность; фотография; номера контактных телефонов; адрес электронной почты. 7.14. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника. 7.15. Общество не осуществляет трансграничную передачу персональных данных; 7.16. В целях осуществления и исполнения функций, полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации, Общество может поручить обработку персональных данных третьим лицам путем заключения договора с учетом требований законодательства Российской Федерации, в том числе Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». 7.17. Общество в праве передать персональные данные третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее -поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 7.18. Условия обработки персональных данных, отличные от получения согласия субъекта, указанные в пункте 5 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» являются альтернативными. 8. Конфиденциальность персональных данных 8.1. Сотрудникам Общества, получившим доступ к персональным данным, запрещено раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом; 8.2. Персональные данные, разрешенные субъектом персональных данных для распространения, размещенные на информационных ресурсах Общества запрещены к обработке неограниченным кругом лиц, за исключением ознакомления с ними. 9. Согласие субъекта персональных данных на обработку его персональных данных 9.1. При необходимости обработки Обществом персональных данных субъекта, субъектом может предоставляться согласие на обработку его персональных данных. При этом субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на обработку, свободно, своей волей и в своих интересах. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом. 9.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при выполнении альтернативных условий обработки персональных данных. 9.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Общество. 9.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 9.5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. 9.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 9.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 9.8. Персональные данные могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия альтернативных условий обработки информации. 9.9. При необходимости размещения Обществом информации о субъекте персональных данных на информационных ресурсах Общества, должно быть получено отдельное согласие на обработку персональных данных, разрешенных субъектом ПД для распространения, в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 24 февраля 2021 г. № 18. 10. Сведения о третьих лицах, участвующих в обработке персональных данных В целях соблюдения законодательства Российской Федерации, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные в: • Социальный фонд России по Свердловской области; • Министерство труда и социальной защиты населения Свердловской области; • Управление Федеральной налоговой службы по Свердловской области; • Военный комиссариат по Свердловской области; • Авиа- и ж/д компании; • Банкам Российской Федерации; • Медицинские учреждениям; • Страховые компании; • Образовательные учреждения; • Законным представителям субъекта персональных данных; • Иным органам, если передача персональных требуется в соответствии с законодательством Российской Федерации или необходима для получения работником выплат, наград, субсидий, пособий, заработной платы и других форм. Исключением таких случаев является, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы: • В судебные органы в связи с осуществлением правосудия; • В органы государственной безопасности; • В органы прокуратуры; • В органы полиции; • В следственные органы; 11. Права и обязанности Общества 11.1. Общество в праве: 11.1.1. Отстаивать свои интересы в суде; 11.1.2. Предоставлять персональные данные субъектов третьим лицам, в случаях, предусмотренных действующим законодательством (правоохранительные, налоговые органы и др.); 11.1.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации; 11.1.4. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации. (в целях исполнения договоров, заключенных с Обществом, а также начисления платежей потребителям в том числе по публичным договорам) 11.2. Обязанности Общества: 11.2.1. Предоставить субъекту персональных данных по его просьбе информацию предусмотренной частью 7 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; 11.2.2. Сведения, касающиеся обработки персональных данных субъекта, должны быть предоставлены Обществом субъекту персональных данных по его запросу в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных; 11.2.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных». 11.2.4. В случае неправомерной обработки персональных данных по обращению (либо запросу) субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование этих персональных данных (обеспечить их блокирование), либо в случае выявления неточных персональных данных - осуществить блокирование (обеспечить блокирование) персональных данных, относящихся к этому субъекту персональных данных, если блокирование не нарушает права и законные интересы субъекта персональных данных или третьих лиц, с момента такого обращения или получения указанного запроса на период проверки; 11.2.5. В случае подтверждения факта неточности персональных данных на основании сведений, предоставленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов Общество обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течении семи рабочих дней со дня представления таких сведений и снять блокирование данных; 11.2.6. В случае получения персональных данных не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных соответствующую информацию; 11.2.7. В случае неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества в порядке, предусмотренном действующим законодательством; 11.2.8. В случае достижения цели, отзыва согласия субъекта на обработку его персональных данных обработки Общество обязано прекратить обработку персональных данных в порядке, предусмотренном федеральным законом; 11.2.9. Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; 11.2.10. В случае изменений сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных в течении десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. 12. Права субъекта персональных данных 12.1. Субъект персональных данных, согласно законодательству Российской Федерации, имеет право: • В случае если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением федерального законодательства или иным образом нарушает его права и свободы имеет право обжаловать действия или бездействие Общества в уполномоченный орган или в судебном порядке; • Требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации; • На получение информации (далее - запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей: 1) Подтверждение факта обработки персональных данных Обществом; 2) Правовые основания и цели обработки персональных данных; 3) Цели и применяемые Обществом способы обработки персональных данных; 4) Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона; 5) Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом; 6) Сроки обработки персональных данных, в том числе хранения; 7) Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; 8) Информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) Наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу; 10) Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. 12.2. Субъект персональных данных имеет право на получение запрашиваемой информации, за исключением следующих случаев: - обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; - обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; - обработка персональных данных осуществляется в соответствии с законодательством противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; - доступ субъекта персональных данных к его персональным данным нарушает законные интересы третьих лиц; - обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. • Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; • На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке; 12.3. Субъект персональных данных обязан предоставлять комплекс достоверных и документированных персональных данных, состав которых установлен законодательством; 12.4. Сообщать уполномоченным Обществом лицам на обработку персональных данных сведения об изменении своих персональных данных; 13. Хранение и использование персональных данных субъектов 13.1. Персональные данные субъектов персональных данных хранятся и обрабатываются с соблюдением требований действующего Российского законодательства о защите персональных данных; 13.2. Обработка персональных данных граждан и работников Общества осуществляется смешанным способом обработки персональных данных; 13.3. Хранение персональных данных работника и иных субъектов персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении; 13.4. Хранение документов, содержащих персональные данные работника и иных субъектов персональных данных, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. 13.5. По истечении установленных сроков хранения документы подлежат уничтожению. 13.6. Общество обеспечивает запрет доступа к персональным данным лицам, не уполномоченным законодательством или Обществом для получения соответствующих сведений 14. Условия прекращения обработки персональных данных Срок или условие прекращения обработки персональных данных в Обществе: • ликвидация Общества или прекращение деятельности; • истечение 75 лет/50 лет - хранение персональных данных работников; • исполнение обязательств по договорам и по истечению срока исковой давности; • отзыв согласия, если иное не предусмотрено Федеральным законом, либо в течении срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством. 15. Правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных К мерам, применяемым Обществом для защиты персональных данных относятся: 15.1. Назначение лица, ответственного за организацию обработки персональных данных; 15.2. Разработка документов, регламентирующих политику Общества в отношении обработки персональных данных, локальные документы по вопросам обработки персональных данных; 15.3. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику Общества в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных; 15.4. Опубликование в открытом доступе Общества документа, определяющего политику Общества в отношении обработки персональных данных; 15.5. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона «О персональных данных»; 15.6. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 15.7. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 15.8. Применение, прошедшей в установленном порядке, процедуры оценки соответствия средств защиты информации; 15.9. Систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных; 15.10. Учет машинных носителей персональных данных; 15.11. Обнаружение фактов и принятие мер по пресечению несанкционированного доступа к персональным данным; 15.12. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 15.13. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 15.14. Осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. 16. Методы защиты персональных данных 16.1. К методам защиты персональных данных относятся:  реализация разрешительной системы допуска к обработке персональных данных;  организация обучения и проведение методической работы с работниками Общества, допущенными к работе с персональными данными, в том числе посредством информационных систем;  ограничение доступа в помещения, где хранятся носители информации;  разграничение доступа к персональным данным;  регистрация действий сотрудников в информационных системах персональных данных, контроль и пресечение несанкционированного доступа к персональным данным;  применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;  использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, использование защищенных каналов связи. 17. Требования по обеспечению защиты 17.1. Сотрудники Общества, являющиеся пользователями информационных систем персональных данных (далее - ИСПД), должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн; 17.2. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПД, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПД; 17.3. Сотрудник, осуществляющий обработку ПД должен быть ознакомлен с настоящей Политикой, установленным регламентом работы с элементами ИСПД и средствами защиты персональных данных; 17.4. Сотрудники Общества, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей, логинов и паролей) и не допускать несанкционированный доступ к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов; 17.5. Сотрудники Общества должны следовать установленным процедурам поддержания режима безопасности ПД при выборе и использовании паролей (если не используются технические средства аутентификации); 17.6. Сотрудники Общества должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПД и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты; 17.7. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию; 17.8. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Общества, третьим лицам; 17.9. При работе с ПД в ИСПД сотрудники Общества обязаны обеспечить отсутствие возможности просмотра ПД третьими лицами с мониторов своих автоматизированных рабочих мест (далее - АРМ); 17.10. При завершении работы с ИСПД сотрудники обязаны защитить монитор с помощью блокировки доступом по паролю, если не используются более сильные средства защиты; 17.11. Сотрудники Общества должны быть проинформированы об угрозах нарушения режима безопасности ПД и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили политику и процедуры безопасности ПД; 17.12. Сотрудники обязаны немедленно сообщать обо всех наблюдаемых ими подозрительных случаях работы ИСПД, могущих повлечь за собой угрозы безопасности ПД, а также о выявленных ими событиях, затрагивающих безопасность ПД, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПД. 18. Лица, ответственные за организацию обработки персональных данных в Обществе 18.1. Приказом Генерального директора Общества: • Назначается ответственный за организацию обработки персональных данных в Обществе; 18.2. Ответственный за организацию обработки персональных данных обязан: • Составлять нормативную правовую базу Общества по вопросам обработки персональных данных; • Организовать доведение до сотрудников Общества положений законодательства РФ в области ПД, требований к защите ПД и локальных нормативных актов в сфере обработки ПД принятых в Обществе; • Осуществлять внутренний контроль за соблюдением Обществом и работниками Общества законодательства Российской Федерации в области ПД; • Организовывать приём и обработку обращений и запросов субъектов ПД (их представителей) и осуществлять контроль за приёмом и обработкой таких обращений и запросов в подразделениях Общества. 19. Внутренний контроль за соблюдением положений локальных нормативных актов Общества в области персональных данных 19.1. Контроль за соблюдением локальных нормативных актов Общества в области обработки ПД, осуществляется с целью проверки соответствия обработки ПД в Обществе требованиям действующего законодательства Российской Федерации, оценки эффективности принимаемых мер по обеспечению безопасности ПД. Выявление возможных каналов утечки ПД, фактов несанкционированного доступа к ПД и их устранение; 19.2. Внутренний контроль за соблюдением Обществом законодательства РФ и положений локальных нормативных актов Общества в области ПД, осуществляется ответственным за организацию обработки ПД в Обществе; 19.3. Внутренний контроль за соблюдением работниками подразделений Общества законодательства РФ и локальных нормативных актов Общества в области ПД, осуществляется начальниками соответствующих подразделений Общества. 20. Ответственность за реализацию положений Политики 20.1. Общество несет ответственность за соблюдение требований законодательства Российской Федерации в области персональных данных, а также за обеспечение конфиденциальности при их обработке; 20.2. Ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов в области обработки ПД, за обеспечение конфиденциальности персональных данных в подразделениях Общества, возлагается на руководителей и работников Общества, допущенных к обработке персональных данных; 20.3. Действующим законодательством Российской Федерации предусмотрена ответственность за нарушение установленных правил эксплуатации АРМ и информационных систем. (статьи 272, 273 и 274 Уголовного Кодекса Российской Федерации). 21. Реагирование на обращения/запросы субъектов персональных данных и их представителей, уполномоченных органов 21.1. Процесс реагирования на обращения и запросы по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта к своим персональным данным осуществляется в несколько этапов: • Прием обращение/запроса; • Регистрации запроса; • Первичная обработка; • Исполнение запроса (включая формирования ответа); • Отправка ответа на запрос. В зависимости от формата поступления запроса, этап приёма обращения (запроса) происходит в следующих формах: • Приём непосредственного обращения субъекта ПД (его представителя); • Приём почтового запроса субъекта ПД (его представителя); • Приём запросов в иных формах (телефон, факс, электронная почта и др.) не производится. 21.2. При непосредственном обращении субъект ПД предъявляет сотруднику Общества документ, удостоверяющий личность, а при обращении представителя субъекта ПД, документ, подтверждающий полномочия субъекта ПД. Запрос оформляется на бумажном носителе и должен содержать фамилию, имя, отчество субъекта, номер, серия документа, удостоверяющего личность, сведения о его выдаче и выдавшем органе, почтовый адрес, контактный телефон, текст запроса; 21.3. При поступлении почтового запроса, он регистрируется, проверяются на корректность оформления и полноту содержащих сведений. В случае обращения представителя субъекта проверяется наличие сведений, подтверждающих полномочия субъекта; Запрос регистрируется сотрудником Общества в установленном порядке. 21.4. По результатам первичной обработки запрос направляется компетентному сотруднику для исполнения, который формирует и дает ответ в течение тридцати дней; 21.5. Контроль за исполнением запросов субъектов осуществляется лицом, ответственным за организацию обработки персональных данных, которое назначается или определяется приказом генерального директора Общества; 21.6. В соответствии с частью 4 статьи 20 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных», Общество сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течении тридцати дней с даты получения такого запроса. В течении тридцати дней под контролем лица, ответственного за организацию обработки персональных данных, подготавливается и направляется в уполномоченный орган мотивированный ответ и, при необходимости, другие необходимые документы. 22. Заключительные положения. 22.1. Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в новой редакции документа указывается дата последнего обновления. 22.2. Новая редакция Политики вступает в силу с момента её утверждения генеральным директором Общества и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики. Приложения: 1. Лист ознакомления с Политикой обработки персональных данных ООО «ПП «БЗАП». 2. Образец согласия на обработку персональных данных.