г. Уфа, ул. Клавдии Абрамовой д.5
пн – пт, 9:00 – 18:00
/ Политика обработки персональный данных
Политика обработки и защиты персональных данных
(утверждена приказом ООО НПП «Стилэкопром» от 24.03.2025 г. № 129 «О внесении изменений в политику обработки и защиты персональных данных»)
1. Общие положения.
1.1. Настоящая «Политика обработки и защиты персональных данных» (далее — Политика) определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью Научно-производственном предприятии «Стилэкопром» (далее — Оператор) от несанкционированного доступа, неправомерного
их использования или утраты.
1.2. Политика разработана в соответствии с действующим законодательством Российской Федерации и на действующих правовых основаниях в области защиты персональных данных:
1) Конституцией Российской Федерации.
2) Трудовым кодексом Российской Федерации.
3) Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4) Федеральным законом от 06.12.2011 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
5) Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
6) Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7) Иные применимые нормативно-правовые акты уполномоченных органов.
1.3. Настоящая Политика является локальным нормативным документом постоянного действия.
1.4. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.5. Обработка персональных данных субъектов персональных данных осуществляется Оператором в целях:
1) обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;
2) исполнения требований законодательства в сфере ПОД/ФТ.
3) осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных лицам, указанным в пп. 2 п. 3.5. разд. 3 настоящей Политики;
4) регулирования трудовых отношений с работниками Оператора (в соответствии с Трудовым кодексов Российской Федерации).
5) осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными документами.
6) в иных законных целях.
1.6. Обработка персональных данных осуществляется Оператором на основе следующих задач:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей;
3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5) обработке подлежат только персональные данные, которые отвечают целям их обработки;
6) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
7) обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
8) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
9) Оператором должны быть приняты необходимые меры либо обеспечено их принятие по удалению или уточнению неполных или неточных данных;
10) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
11) обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.7. Политика является основой для разработки локальных нормативных актов Оператора по безопасности обработки и защиты персональных данных. Распорядительные, локальные нормативные и иные внутренние документы не должны противоречить настоящей Политике.
1.8. Настоящая Политика распространяется на сотрудников Оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с Оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов, физических лиц, находящихся в гражданско-правовых отношениях с Оператором.
их использования или утраты.
1.2. Политика разработана в соответствии с действующим законодательством Российской Федерации и на действующих правовых основаниях в области защиты персональных данных:
1) Конституцией Российской Федерации.
2) Трудовым кодексом Российской Федерации.
3) Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4) Федеральным законом от 06.12.2011 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
5) Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
6) Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7) Иные применимые нормативно-правовые акты уполномоченных органов.
1.3. Настоящая Политика является локальным нормативным документом постоянного действия.
1.4. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.5. Обработка персональных данных субъектов персональных данных осуществляется Оператором в целях:
1) обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;
2) исполнения требований законодательства в сфере ПОД/ФТ.
3) осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных лицам, указанным в пп. 2 п. 3.5. разд. 3 настоящей Политики;
4) регулирования трудовых отношений с работниками Оператора (в соответствии с Трудовым кодексов Российской Федерации).
5) осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными документами.
6) в иных законных целях.
1.6. Обработка персональных данных осуществляется Оператором на основе следующих задач:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей;
3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5) обработке подлежат только персональные данные, которые отвечают целям их обработки;
6) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
7) обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
8) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
9) Оператором должны быть приняты необходимые меры либо обеспечено их принятие по удалению или уточнению неполных или неточных данных;
10) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
11) обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.7. Политика является основой для разработки локальных нормативных актов Оператора по безопасности обработки и защиты персональных данных. Распорядительные, локальные нормативные и иные внутренние документы не должны противоречить настоящей Политике.
1.8. Настоящая Политика распространяется на сотрудников Оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с Оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов, физических лиц, находящихся в гражданско-правовых отношениях с Оператором.
2. Понятия, определения и их принятые сокращения, используемые в настоящей Политике.
2.1. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим
федеральным законом.
2.3. Субъект персональных данных (Субъект ПД) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.4. Оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.7. Неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществляемая при непосредственном участии человека (Примечание: обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее).
2.8. Смешанная обработка персональных данных — обработка персональных данных, включающая как автоматизированную, так и неавтоматизированную обработку персональных данных.
2.9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.12. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13. Система защиты персональных данных (СЗПДн) — представляет собой совокупность организационных мер и средств защиты информации, которая включает средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в информационной системе информационные технологии.
2.14. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.15. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.16. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.2. Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим
федеральным законом.
2.3. Субъект персональных данных (Субъект ПД) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.4. Оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.7. Неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществляемая при непосредственном участии человека (Примечание: обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее).
2.8. Смешанная обработка персональных данных — обработка персональных данных, включающая как автоматизированную, так и неавтоматизированную обработку персональных данных.
2.9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.12. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13. Система защиты персональных данных (СЗПДн) — представляет собой совокупность организационных мер и средств защиты информации, которая включает средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в информационной системе информационные технологии.
2.14. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.15. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.16. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Обработка персональных данных.
3.1. Получение персональных данных (далее по тексту — ПД):
1) Все П Д следует получать от самого субъекта (далее по тексту — Субъект) ПД.
2) Если П Д Субъекта можно получить только у третьей стороны, то Субъект П Д должен быть уведомлен об этом или должно быть получено согласие Субъекта П Д на получение такой информации.
3) Оператор должен сообщить Субъекту П Д о целях, предполагаемых источниках и способах получения ПД, перечне действий с ПД, сроке, в течении которого действует согласие на обработку ПД и порядок его отзыва, а также о последствиях отказа Субъекта П Д дать письменное согласие нп их получение.
4) Документы, содержащие ПД создаются путем:
а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
б) внесения сведений в учетные формы;
в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.2. Обработка П Д:
1) Обработка П Д включает совершение Оператором следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, доступ), обезличивание, блокирование, удаление,
уничтожение.
2) Обработка П Д осуществляется путем:
а) получения персональных данных в устной и письменной форме непосредственно от Субъектов П Д;
б) получения ПД из общедоступных источников;
в) внесения ПД в журналы, реестры и информационные системы Оператора;
г) использования иных способов обработки ПД.
3) Обработка П Д осуществляется:
а) с согласия Субъекта П Д на обработку его ПД;
б) в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерация функций, полномочий и обязанностей;
в) в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен Субъектом П Д либо по его просьбе (далее — ПД, сделанные о субъекте персональных данных).
4) Цели обработки ПД:
а) осуществление трудовых отношений;
б) осуществление гражданско-правовых отношений.
5) Категории субъектов ПД:
а) физические лица, состояние в трудовых взаимоотношениях с Оператором;
б) близкие родственники лиц, состоящие в трудовых взаимоотношениях с Оператором;
в) физические лица — потребители и их законные представители;
г) физические лица, претенденты на замещение вакантной должности;
д) физические лица — практиканты/стажеры.
6) ПД, обрабатываемое Оператором:
а) данные, полученные при осуществлении трудовых отношений;
б) данные, полученные для осуществления отбора кандидатов на работу;
в) данные, полученные при осуществлении гражданско-правовых отношений.
7) Обработка персональных данных ведется:
а) с использованием средств автоматизации;
б) без использования средств автоматизации с передачей по внутренней сети юридического лица;
в) без передачи по сети Интернет.
8) Обработка П Д производится Оператором с использованием баз данных на территории Российской Федерации.
3.3. Хранение П Д:
1) П Д Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
2) ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.
3) П Д Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
4) Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
5) Хранение П Д в форме, позволяющей определить Субъекта П Д, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки и в случае утраты необходимости в их достижения.
Хранение ПД осуществляется до наступления следующих случаев:
1. До момента их уничтожения Оператором:
а) в случае поступления от Субъекта П Д заявления на отзыв согласия на обработку ПД или требования об уничтожении ПД;
б) в случае получение от Субъекта П Д требования об уничтожении ПД.
2. До окончания срока хранения ПД в соответствии с договоренностями Оператора и Субъекта П Д.
3. До момента истечения срока действия согласия или достижения целей обработки ПД.
3.4. Уничтожение П Д:
1) Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
2) ЦД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3) Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанных членами комиссии.
3.5. Передача П Д:
1) Общество поручает обработку третьим лицам в следующих случаях:
а) Субъект П Д выразил свое согласие на такие действия;
б) передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
2) Перечень лиц, которым передаются ПД.
Третьи лица, которым передаются ПД:
а) Пенсионный фонд Российской Федерации — для учета (на законных основаниях).
б) Налоговые органы Российской Федерации (на законных основаниях).
в) Банки — для начисления заработной платы (на основании договора).
г) Бюро кредитных историй (с согласия Субъекта).
д) Юридические и коллекторские фирмы, работающие в рамках законодательства Российской Федерации, при неисполнении обязательств по договору займа (с согласия Субъекта ПД).
3) В остальных случаях не допускается раскрытие третьим лицам и распространение ПД без согласия Субъекта П Д, если иное не предусмотрено федеральным законом. Согласие на обработку ПД, разрешенных ПД для распространения, оформляется отдельно от иных согласий Субъекта ПД
на обработку его ПД.
4) Трансграничную передачу П Д Оператор не осуществляет, но может.
При необходимости трансграничной передачи П Д Оператор до начала осуществления трансграничной передачи ПД, обязан:
а) убедиться в том, что иностранным государством, на территории которого осуществляется передача ПД, обеспечивается адекватная защита прав Субъектов П Д (наличие государства в утвержденном Уполномоченным органом по защите прав субъектов персональных данных перечне).
б) до подачи уведомления, предусмотренного ч. 3 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПД, сведения перечисленные в ч. 5 ст. 12 Федерального закона от 27.07.2006 г.
№ 152-ФЗ «О персональных данных».
в) уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу ПД. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПД, предусмотренного ст. 22
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Уведомление о намерении осуществлять трансграничную передачу ПД, предусмотренное ч. 3 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом и должно содержать сведения предусмотренные ч. 4 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Трансграничная передача ПД осуществляется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и международными договорами Российской Федерации.
Трансграничная передача ПД на территории иностранных государств, утвержденных Уполномоченным органом по защите прав субъектов персональных данных в перечне иностранных государств, обеспечивающих адекватную защиту прав Субъектов П Д, куда включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПД при их обработке, осуществляется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов.
Трансграничная передача ПД в страны, не обеспечивающие адекватной защиты прав Субъектов П Д, осуществляется:
1) при наличии согласия Субъекта П Д на трансграничную передачу его ПД;
2) для исполнения договора, стороной которого является Субъект П Д;
3) для защиты жизни, здоровья, иных жизненно важных интересов Субъекта П Д или других лиц при невозможности получения согласия Субъекта П Д;
4) в случаях, предусмотренных международными соглашениями Российской Федерации, федеральными законами (если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов
незаконного вмешательства).
1) Все П Д следует получать от самого субъекта (далее по тексту — Субъект) ПД.
2) Если П Д Субъекта можно получить только у третьей стороны, то Субъект П Д должен быть уведомлен об этом или должно быть получено согласие Субъекта П Д на получение такой информации.
3) Оператор должен сообщить Субъекту П Д о целях, предполагаемых источниках и способах получения ПД, перечне действий с ПД, сроке, в течении которого действует согласие на обработку ПД и порядок его отзыва, а также о последствиях отказа Субъекта П Д дать письменное согласие нп их получение.
4) Документы, содержащие ПД создаются путем:
а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
б) внесения сведений в учетные формы;
в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.2. Обработка П Д:
1) Обработка П Д включает совершение Оператором следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, доступ), обезличивание, блокирование, удаление,
уничтожение.
2) Обработка П Д осуществляется путем:
а) получения персональных данных в устной и письменной форме непосредственно от Субъектов П Д;
б) получения ПД из общедоступных источников;
в) внесения ПД в журналы, реестры и информационные системы Оператора;
г) использования иных способов обработки ПД.
3) Обработка П Д осуществляется:
а) с согласия Субъекта П Д на обработку его ПД;
б) в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерация функций, полномочий и обязанностей;
в) в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен Субъектом П Д либо по его просьбе (далее — ПД, сделанные о субъекте персональных данных).
4) Цели обработки ПД:
а) осуществление трудовых отношений;
б) осуществление гражданско-правовых отношений.
5) Категории субъектов ПД:
а) физические лица, состояние в трудовых взаимоотношениях с Оператором;
б) близкие родственники лиц, состоящие в трудовых взаимоотношениях с Оператором;
в) физические лица — потребители и их законные представители;
г) физические лица, претенденты на замещение вакантной должности;
д) физические лица — практиканты/стажеры.
6) ПД, обрабатываемое Оператором:
а) данные, полученные при осуществлении трудовых отношений;
б) данные, полученные для осуществления отбора кандидатов на работу;
в) данные, полученные при осуществлении гражданско-правовых отношений.
7) Обработка персональных данных ведется:
а) с использованием средств автоматизации;
б) без использования средств автоматизации с передачей по внутренней сети юридического лица;
в) без передачи по сети Интернет.
8) Обработка П Д производится Оператором с использованием баз данных на территории Российской Федерации.
3.3. Хранение П Д:
1) П Д Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
2) ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.
3) П Д Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
4) Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
5) Хранение П Д в форме, позволяющей определить Субъекта П Д, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки и в случае утраты необходимости в их достижения.
Хранение ПД осуществляется до наступления следующих случаев:
1. До момента их уничтожения Оператором:
а) в случае поступления от Субъекта П Д заявления на отзыв согласия на обработку ПД или требования об уничтожении ПД;
б) в случае получение от Субъекта П Д требования об уничтожении ПД.
2. До окончания срока хранения ПД в соответствии с договоренностями Оператора и Субъекта П Д.
3. До момента истечения срока действия согласия или достижения целей обработки ПД.
3.4. Уничтожение П Д:
1) Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
2) ЦД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3) Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанных членами комиссии.
3.5. Передача П Д:
1) Общество поручает обработку третьим лицам в следующих случаях:
а) Субъект П Д выразил свое согласие на такие действия;
б) передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
2) Перечень лиц, которым передаются ПД.
Третьи лица, которым передаются ПД:
а) Пенсионный фонд Российской Федерации — для учета (на законных основаниях).
б) Налоговые органы Российской Федерации (на законных основаниях).
в) Банки — для начисления заработной платы (на основании договора).
г) Бюро кредитных историй (с согласия Субъекта).
д) Юридические и коллекторские фирмы, работающие в рамках законодательства Российской Федерации, при неисполнении обязательств по договору займа (с согласия Субъекта ПД).
3) В остальных случаях не допускается раскрытие третьим лицам и распространение ПД без согласия Субъекта П Д, если иное не предусмотрено федеральным законом. Согласие на обработку ПД, разрешенных ПД для распространения, оформляется отдельно от иных согласий Субъекта ПД
на обработку его ПД.
4) Трансграничную передачу П Д Оператор не осуществляет, но может.
При необходимости трансграничной передачи П Д Оператор до начала осуществления трансграничной передачи ПД, обязан:
а) убедиться в том, что иностранным государством, на территории которого осуществляется передача ПД, обеспечивается адекватная защита прав Субъектов П Д (наличие государства в утвержденном Уполномоченным органом по защите прав субъектов персональных данных перечне).
б) до подачи уведомления, предусмотренного ч. 3 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПД, сведения перечисленные в ч. 5 ст. 12 Федерального закона от 27.07.2006 г.
№ 152-ФЗ «О персональных данных».
в) уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу ПД. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПД, предусмотренного ст. 22
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Уведомление о намерении осуществлять трансграничную передачу ПД, предусмотренное ч. 3 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом и должно содержать сведения предусмотренные ч. 4 ст. 12 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Трансграничная передача ПД осуществляется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и международными договорами Российской Федерации.
Трансграничная передача ПД на территории иностранных государств, утвержденных Уполномоченным органом по защите прав субъектов персональных данных в перечне иностранных государств, обеспечивающих адекватную защиту прав Субъектов П Д, куда включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПД при их обработке, осуществляется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов.
Трансграничная передача ПД в страны, не обеспечивающие адекватной защиты прав Субъектов П Д, осуществляется:
1) при наличии согласия Субъекта П Д на трансграничную передачу его ПД;
2) для исполнения договора, стороной которого является Субъект П Д;
3) для защиты жизни, здоровья, иных жизненно важных интересов Субъекта П Д или других лиц при невозможности получения согласия Субъекта П Д;
4) в случаях, предусмотренных международными соглашениями Российской Федерации, федеральными законами (если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов
незаконного вмешательства).
4. Защита персональных данных.
4.1. В соответствии с требованиями нормативных документов в организации Оператора создана система защиты персональных данных (далее — СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Основными мерами защиты ПД, используемыми Оператором, являются:
1) назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД;
2) определение актуальных угроз безопасности ПД при их обработке в ИСПДн, и разработка мер и мероприятий по защите ПД;
3) разработка локальных нормативных актов в отношении обработки персональных данных;
4) установление правил доступа к ПД, обрабатываемом в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПДн;
5) установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
6) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
7) сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
8) сертификационное программное средство защиты информации от несанкционированного доступа;
9) сертифицированные межсетевой экран и средство обнаружения вторжения;
10) соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ;
11) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
12) обучение работников Оператора, непосредственно осуществляющих обработку ПД, в рамках требований законодательства Российской Федерации в части защиты ПД, в том числе документам, определяющими Политику Оператора в отношении обработки ПД, локальным нормативным актам по вопросам обработки ПД;
13) осуществление внутреннего контроля и аудита.
4.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав Субъектов П Д, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав Субъектов П Д или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.
4.7. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) ПД, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав Субъектов П Д, передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.
4.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав Субъектов П Д, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов П Д, и предполагаемом вреде, нанесенном правам Субъектов П Д, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.9. В случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
4.10. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.11. В случае выявления неправомерной обработки персональных данных при обращении Субъекта П Д или его представителя либо по запросу Субъекта П Д или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому Субъекту П Д, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении Субъекта П Д или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов П Д Оператор обязан осуществить блокирование ПД, относящихся к этому Субъекту П Д, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы Субъекта П Д или третьих лиц.
4.12. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом П Д или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПД.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Основными мерами защиты ПД, используемыми Оператором, являются:
1) назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД;
2) определение актуальных угроз безопасности ПД при их обработке в ИСПДн, и разработка мер и мероприятий по защите ПД;
3) разработка локальных нормативных актов в отношении обработки персональных данных;
4) установление правил доступа к ПД, обрабатываемом в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПДн;
5) установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
6) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
7) сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
8) сертификационное программное средство защиты информации от несанкционированного доступа;
9) сертифицированные межсетевой экран и средство обнаружения вторжения;
10) соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ;
11) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
12) обучение работников Оператора, непосредственно осуществляющих обработку ПД, в рамках требований законодательства Российской Федерации в части защиты ПД, в том числе документам, определяющими Политику Оператора в отношении обработки ПД, локальным нормативным актам по вопросам обработки ПД;
13) осуществление внутреннего контроля и аудита.
4.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав Субъектов П Д, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав Субъектов П Д или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.
4.7. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) ПД, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав Субъектов П Д, передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.
4.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав Субъектов П Д, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов П Д, и предполагаемом вреде, нанесенном правам Субъектов П Д, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.9. В случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
4.10. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.11. В случае выявления неправомерной обработки персональных данных при обращении Субъекта П Д или его представителя либо по запросу Субъекта П Д или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому Субъекту П Д, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении Субъекта П Д или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов П Д Оператор обязан осуществить блокирование ПД, относящихся к этому Субъекту П Д, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы Субъекта П Д или третьих лиц.
4.12. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом П Д или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПД.
5. Основные права субъекта персональных данных и обязанности оператора.
5.1. Основные права Субъекта П Д:
1) Субъект П Д имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2) Субъект П Д имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
а) подтверждение факта обработки ПД оператором;
б) правовые основания и цели обработки персональных данных;
в) цели и применяемые оператором способы обработки ПД;
г) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
д) обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
е) сроки обработки ПД, в том числе сроки их хранения;
ж) порядок осуществления Субъектом П Д данных прав, предусмотренных настоящим федеральным законом;
з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
и) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;
к) иные сведения, предусмотренные настоящим Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
л) обращения к оператору и направлению ему запросов;
м) обжалование действий или бездействия оператора. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту
персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
5.2. Обязанности оператора (оператор обязан):
1) при сборе ПД предоставить Субъекту П Д по его просьбе, в соответствии с ч. 3 ст. 14 Федерального закона «О персональных данных», информацию предусмотренную в ч. 7 ст. 14 Федерального закона «О персональных данных»;
2) в случаях, если ПД были получены не от Субъекта П Д Оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
а) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
б) цель обработки персональных данных и ее правовое основание;
в) перечень персональных данных;
г) предполагаемые пользователи персональных данных;
д) установленные настоящим Федеральным законом права субъекта персональных данных;
е) источник получения персональных данных.
3) в случае отказа Субъекта П Д в представлении ПД субъекту разъясняются юридические последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
6) давать ответы на запросы и обращения Субъектов П Д, их представителей и уполномоченного органа по защите прав Субъектов П Д;
7) осуществлять обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации только при условии наличия предварительного согласия Субъекта П Д. В случае несоблюдения указанного условия Оператор обязан немедленно прекратить по требованию Субъекта П Д обработку его ПД по данной цели.
8) при сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Оператор освобождается от обязанности предоставить Субъекту П Д сведения, предусмотренные ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в случаях, если:
1) Субъект П Д уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) ПД получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) обработка ПД, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
4) Оператор осуществляет обработку ПД для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление Субъекту П Д сведений, предусмотренных ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», нарушает права и законные интересы третьих лиц.
1) Субъект П Д имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2) Субъект П Д имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
а) подтверждение факта обработки ПД оператором;
б) правовые основания и цели обработки персональных данных;
в) цели и применяемые оператором способы обработки ПД;
г) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
д) обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
е) сроки обработки ПД, в том числе сроки их хранения;
ж) порядок осуществления Субъектом П Д данных прав, предусмотренных настоящим федеральным законом;
з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
и) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;
к) иные сведения, предусмотренные настоящим Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
л) обращения к оператору и направлению ему запросов;
м) обжалование действий или бездействия оператора. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту
персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
5.2. Обязанности оператора (оператор обязан):
1) при сборе ПД предоставить Субъекту П Д по его просьбе, в соответствии с ч. 3 ст. 14 Федерального закона «О персональных данных», информацию предусмотренную в ч. 7 ст. 14 Федерального закона «О персональных данных»;
2) в случаях, если ПД были получены не от Субъекта П Д Оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
а) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
б) цель обработки персональных данных и ее правовое основание;
в) перечень персональных данных;
г) предполагаемые пользователи персональных данных;
д) установленные настоящим Федеральным законом права субъекта персональных данных;
е) источник получения персональных данных.
3) в случае отказа Субъекта П Д в представлении ПД субъекту разъясняются юридические последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
6) давать ответы на запросы и обращения Субъектов П Д, их представителей и уполномоченного органа по защите прав Субъектов П Д;
7) осуществлять обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации только при условии наличия предварительного согласия Субъекта П Д. В случае несоблюдения указанного условия Оператор обязан немедленно прекратить по требованию Субъекта П Д обработку его ПД по данной цели.
8) при сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Оператор освобождается от обязанности предоставить Субъекту П Д сведения, предусмотренные ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в случаях, если:
1) Субъект П Д уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) ПД получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) обработка ПД, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
4) Оператор осуществляет обработку ПД для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление Субъекту П Д сведений, предусмотренных ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», нарушает права и законные интересы третьих лиц.
6. Изменение Политики
6.1. Настоящая Политика утверждается, признается утратившим силу и изменяется в организации Оператора решением Директора организации Оператора и вводится в действие приказом Оператора.
6.2. Оператор оставляет за собой право вносить изменения в Политику.
6.3. Изменения в Политику вносятся в случаях:
1) изменения законодательства российской Федерации в области обработки персональных данных;
2) изменения организационной структуры или полномочий руководителя Оператора;
3) иные изменения в области сферы деятельности Оператора. Новая редакция Политики вступает в силу с момента ее утверждения и размещения, во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в свободном доступе
в информационно-телекоммуникационной сети Интернет на сайте Оператора и в бумажном носителе внутри организации Оператора по адресу: 450 071, РБ, г. Уфа, ул. Клавдии Абрамовой, д. 5, литер В, офис 14−15.
6.2. Оператор оставляет за собой право вносить изменения в Политику.
6.3. Изменения в Политику вносятся в случаях:
1) изменения законодательства российской Федерации в области обработки персональных данных;
2) изменения организационной структуры или полномочий руководителя Оператора;
3) иные изменения в области сферы деятельности Оператора. Новая редакция Политики вступает в силу с момента ее утверждения и размещения, во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в свободном доступе
в информационно-телекоммуникационной сети Интернет на сайте Оператора и в бумажном носителе внутри организации Оператора по адресу: 450 071, РБ, г. Уфа, ул. Клавдии Абрамовой, д. 5, литер В, офис 14−15.
7. Сведения об операторе.
Наименование: Общество с ограниченной ответственностью Научно-производственное предприятие «Стилэкопром».
ИНН: 274 164 508.
ОГРН: 1 120 280 011 785.
Адрес: 450 071, Республика Башкортостан, г. Уфа, ул. Клавдии Абрамовой, д. 5, литер В, офис 14−15.
Контакты: +7 (347) 200-81-05, +7 (347) 246-04-48.
ИНН: 274 164 508.
ОГРН: 1 120 280 011 785.
Адрес: 450 071, Республика Башкортостан, г. Уфа, ул. Клавдии Абрамовой, д. 5, литер В, офис 14−15.
Контакты: +7 (347) 200-81-05, +7 (347) 246-04-48.