Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «РТ-Комплектимпекс»

1. Общие положения

1.1.Настоящее положение (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской федерации» и другими нормативными правовыми актами Российской Федерации и правовыми актами Государственной корпорации «Ростех» (далее -Корпорация).

1.2. Правовым основанием обработки ПДн являются: Конституция Российской Федерации, Трудовой кодекс Российской Федерации,. Гражданский кодекс Российской Федерации, договоры, заключаемые между Обществом с ограниченной ответственностью «РТ -Комплектимпекс» (далее - Общество) и субъектами Пдн, согласие на обработку ПДн и иные правовые акты Общества, определяющие случаи и особенности обработки ПДн.

1.3. Настоящее Положение определяет политику Общества в отношении обработки персональных данных (далее - ПДн), порядок и условия хранения и использования ПДн: устанавливает порядок сбора, учета, обработки ПДн, накопления и хранения документов, содержащих ПДн, процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн, устранение последствий таких нарушений, а также особенности обработки ПДн в информационных системах Общества.

1.4. Настоящее Положение распространяется на всех работников Общества, на лиц, которые рассматриваются к трудоустройству на вакантные должности в Обществе, физических лиц, с которыми Обществом заключен и/или планируется заключение гражданско-правового договора, членов семьи и родственников работников Общества, физических лиц, с которыми Обществом заключаются договоры на обучение, а также на иных лиц, ПДн которых Общество обрабатывает в соответствии с нормативно-правовыми актами Российской Федерации.

1.5. Все вопросы, связанные с обработкой и защитой ПДн, не урегулированные настоящим Положением, разрешаются в соответствии с законодательством Российской Федерации и иными правовыми актами Общества.

1.6. Действие настоящего Положения не распространяется на отношения, предусмотренные пунктом 2 статьи 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1. 7. Общество обрабатывает ПДн исключительно в следующих целях: обеспечение соблюдения законов и иных нормативных правовых актов, организация работы в связи с трудовыми отношениями, содействие субъектам ПДн в трудоустройстве в Общество, в рамках обучения и развития, получение образования, должностной рост, обеспечение участия субъектов ПДН В корпоративных социальных программах, учет результатов исполнения должностных обязанностей, поощрение и стимулирование труда. Конкретные цели обработки ПДн по перечню ПДн, указанных в п.1.10. настоящего Положения.

1.8. Обработка ПДн в Обществе осуществляется на основе следующих принципов:

1.8.1. Обработка ПДн должна осуществляться на законной и справедливой основе.

1.8.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, не совместимая с целями сбора ПДн.

1.8.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

1.8.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

1.8.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки Пдн, в соответствии с п.1.7. настоящего Положения. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

1.8.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

1.8.7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

1.9. Способы обработки ПДн:

- с использованием средств автоматизации;

- без использования средств автоматизации;

- смешанная обработка ПДн.

1.10. Перечень обрабатываемых Оператором ПДн в целях, предусмотренных п.1.7. настоящего Положения:

  • фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
  • число, месяц, год рождения;
  • место рождения;
  • информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
  • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
  • адрес места жительства (адрес регистрации, фактического проживания);
  • номер контактного телефона или сведения о других способах связи;
  • реквизиты страхового свидетельства государственного пенсионного страхования;
  • идентификационный номер налогоплательщика;
  • реквизиты страхового медицинского полиса обязательного медицинского страхования;
  • реквизиты свидетельства государственной регистрации актов гражданского состояния;
  • семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
  • сведения о трудовой деятельности;
  • сведения о воинском учете и реквизиты документов воинского учета;
  • сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
  • сведения об ученой степени;
  • информация о владении иностранными языками, степень владения;
  • сведения о прохождении государственной гражданской или муниципальной службы.
  • сведения о пребывании за границей;
  • информация о наличии или отсутствии судимости;
  • информация об оформленных допусках к государственной тайне;
  • государственные награды, иные награды и знаки отличия;
  • сведения о профессиональной переподготовке и (или) повышении квалификации;
  • информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
  • сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
  • сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», на которых граждане, претендующие к трудоустройству на вакантные должности в Обществе, размещали общедоступную информацию, а также данные, позволяющие их идентифицировать;
  • номер расчетного счета;
  • информация о заработной плате, доплатах, надбавках, премиях и других выплатах;
  • иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают целям обработки ПДн.

1.11. Работники Общества Работники Общества, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, правовыми актами Общества по вопросам обработки ПДн, данным Положением и изменениями к нему.

1.12. Ознакомление с Положением Все работники Общества должны быть ознакомлены с настоящим Положением под подпись.

2. Термины и определения

В Положении используются следующие термины и определения:

2.1. Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.

2.2. Биометрические ПДн — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

2.3. Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

2.4. Информационная система ПДн (далее — ИСПД) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Конфиденциальность ПДн — обязанность операторов и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.

2.6. Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

2.7. Обработка ПДн — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.8. Общедоступные источники ПДн — источники ПДн с доступом неограниченного круга лиц, которые предоставлены с письменного согласия субъекта ПДн (справочники, адресные книги и т.п.).

2.9. Оператор — Общество, самостоятельно или совместно с другими лицами, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

2.10. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

2.11. Персональные данные (ПДн), разрешенные субъектом ПДн для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2.12. Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

2.13. Работник Общества — лицо, заключившее трудовой договор с Обществом.

2.14. Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц.

2.15. Субъект ПДн — работник Общества или иное физическое лицо, которое прямо или косвенно определено, или определяемо с помощью ПДн. К субъектам ПДн, ПДн которых обрабатываются в Обществе, относятся лица, указанные в п. 1.4 настоящего Положения.

2.16. Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.17. Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Разграничение ответственности структурных подразделений Общества за организацию обработки ПДн

3.1. Обработка ПДн осуществляется в структурных подразделениях Общества согласно приложению № 1 к настоящему Положению.

3.2. Работники бухгалтерии обеспечивают:

  • доведение до сведения работников Общества требований нормативных правовых актов Российской Федерации и правовых актов Общества по вопросам обработки ПДн;
  • организацию сбора и обработки ПДн субъектов ПДн;
  • совместно с отделом по информационной безопасности организацию обучения работников Общества работе с ПДн;
  • доступ неограниченного круга лиц к настоящему Положению;
  • работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам обработки и защиты ПДн субъектов ПДн, которые обрабатываются в Обществе, в части своей компетенции.

3.3. Отдел информационной безопасности (далее — ОИБ) обеспечивает:

  • контроль установления классов и уровней защищенности ПДн для ИСПДн Общества;
  • обнаружение фактов несанкционированного доступа к ПДн в ИСПДн и доведение этой информации до ответственного за организацию обработки ПДн;
  • мониторинг и контроль за принимаемыми мерами по обеспечению безопасности ПДн при их обработке в ИСПДн;
  • учет выдаваемых съемных машинных носителей ПДн;
  • проведение служебных расследований по фактам выявленных нарушений при автоматизированной обработке ПДн;
  • работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам соблюдения требований по обеспечению безопасности ПДн при их обработке в ИСПДн Общества.

3.4. IT-отдел обеспечивает организацию работы по обеспечению функционирования автоматизированных систем (программного обеспечения), содержащих ПДн.

3.5. Управление организации обучения и аналитики обеспечивает:

  • организацию сбора и обработки ПДн обучающегося;
  • получение согласия на обработку ПДн обучающегося согласно приложению № 3 к настоящему Положению;
  • работу с федеральной информационной системой «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении» (далее — ФИС ФРДО).

3.6. Правовое управление обеспечивает:

  • оформление, регистрацию, учет и выдачу доверенностей третьим лицам, действующим от имени и в интересах Общества.

4. Условия обработки ПДн

4.1. Обработка ПДн необходима для достижения целей, предусмотренных настоящим Положением или Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон о ПДн), для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

4.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

4.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 4.7 и 4.9.3–4.9.7 настоящего Положения.

4.4. Источником информации обо всех ПДн субъекта ПДн является непосредственно субъект ПДн. Если по независящим от субъекта ПДн и оператора причинам ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть заранее в письменной форме уведомлён об этом, и от него должно быть получено письменное согласие.

4.5. Обработка ПДн осуществляется с согласия субъекта ПДн.

4.6. Письменные согласия субъектов ПДн на обработку своих ПДн содержат сведения, указанные в ч. 4 ст. 9 Федерального закона о ПДн.

4.7. Обработка ПДн без согласия субъекта ПДн допускается в следующих случаях:

  • 4.7.1. Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, а также в арбитражных судах.
  • 4.7.2. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.
  • 4.7.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно.
  • 4.7.4. Обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн.
  • 4.7.5. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.8. Оператор не имеет права обрабатывать специальные категории ПДн субъекта ПДн, касающиеся его расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и иной информации, указанной в ч. 1 ст. 10 Федерального закона о ПДн, за исключением случаев, указанных в п. 4.9 настоящего Положения.

4.9. Обработка указанных в п. 4.8 специальных категорий ПДн допускается в случаях, если:

  • 4.9.1. Субъект ПДн дал согласие в письменной форме на обработку своих ПДн. Согласие на обработку таких ПДн оформляется отдельно от других согласий на обработку ПДн.
  • 4.9.2. Обработка ПДн, разрешённых субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона о ПДн.
  • 4.9.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта ПДн невозможно.
  • 4.9.4. Обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
  • 4.9.5. Обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а также в связи с осуществлением правосудия.
  • 4.9.6. Обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.
  • 4.9.7. Обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

4.10. Обработка специальных категорий ПДн, осуществлявшаяся в случаях, предусмотренных пунктами 4.9.1 – 4.9.7 и 4.11 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

4.11. Обработка ПДн о судимости может осуществляться оператором в пределах полномочий, предоставленных ему в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, определяемых федеральными законами.

4.12. Общество не осуществляет обработку биометрических ПДн субъектов ПДн.

4.13. Общество не осуществляет трансграничную передачу персональных данных.

4.14. Оператор на основании договора вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом о ПДн, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей по обработке ПДн по определённому перечню ПДн и действий (операций), совершаемых с ПДн.

  • 4.14.1. Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
  • 4.14.2. В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несёт оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несёт ответственность перед оператором.

4.15. Автоматизированная обработка ПДн разрешается в ИСПДн Общества согласно приложению № 4 к настоящему Положению.

4.15.1. Работнику Общества, имеющему право осуществлять автоматизированную обработку ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей ИСПДн.

4.16. При заключении гражданско-правового договора с физическим лицом структурное подразделение, инициирующее оформление соответствующего договора, обеспечивает подписание физическим лицом — исполнителем по гражданско-правовому договору согласия на обработку ПДн (приложение № 2 к настоящему Положению).

4.17. При заключении договоров на обучение ответственное лицо, инициирующее оформление договора, обеспечивает получение письменного согласия на обработку ПДн лица, которому предстоит обучение в Обществе.

5. Доступ к ПДн, хранение и защита ПДн

5.1. Работники, допущенные к обработке ПДн субъектов ПДн, обязаны не раскрывать ПДн, которые стали им известны в связи с выполнением ими трудовых обязанностей.

5.2. Субъект ПДн обязан представлять достоверные сведения о себе. Оператор проверяет достоверность сведений.

5.3. При принятии решений, затрагивающих интересы субъекта ПДн, оператор не имеет права основываться на ПДн, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.

5.4. ПДн субъектов ПДн хранятся на бумажных и машинных носителях информации:

  • 5.4.1. Личные папки работников, содержащие ПДн работников Общества, сформированные в соответствии с утверждённой в Обществе сводной номенклатурой несекретных дел, хранятся в закрытых металлических шкафах (сейфах) с ограниченным правом доступа.
  • 5.4.2. Дела, сформированные в соответствии с утверждённой в Обществе сводной номенклатурой несекретных дел, с документами, содержащими ПДн субъектов ПДн, хранятся в закрытых помещениях структурных подразделений, осуществляющих обработку и хранение, с ограниченным правом доступа.
  • 5.4.3. Документы, содержащие ПДн субъектов ПДн, до формирования по ним дел в соответствии с утверждённой в Обществе сводной номенклатурой несекретных дел, хранятся в кабинетах структурных подразделений, осуществляющих обработку ПДн. Нахождение в указанных кабинетах работников, у которых в соответствии с настоящим Положением нет права доступа к ПДн и их обработке, допускается строго под контролем работника этого кабинета, осуществляющего взаимодействие с ними.

5.5. Ответственными за организацию и осуществление доступа к ПДн и хранения ПДн субъектов ПДн в части, касающейся, являются:

  • заместитель генерального директора по безопасности;
  • главный бухгалтер;
  • начальник отдела информационной безопасности;
  • руководители иных структурных подразделений Общества, работники которых имеют доступ и принимают участие в обработке ПДн работников Общества согласно приложению № 1 к настоящему Положению.

5.6. ОИБ осуществляет контроль за хранением ПДн в структурных подразделениях Общества.

5.7. Обеспечение безопасности ПДн, обрабатываемых в ИСПД оператора, достигается путём исключения несанкционированного, в том числе случайного доступа к ПДн, а также принятием следующих мер:

  • 5.7.1. Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн.
  • 5.7.2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн оператора, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивают установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 уровни защищённости ПДн.
  • 5.7.3. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
  • 5.7.4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
  • 5.7.5. Учёт машинных носителей ПДн.
  • 5.7.6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
  • 5.7.7. Восстановление ПДн, модифицированных, удалённых или уничтоженных вследствие несанкционированного доступа к ним.
  • 5.7.8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн оператора, а также обеспечение регистрации и учёта всех действий, совершаемых с ПДн в ИСПДн оператора.
  • 5.7.9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищённости ИСПДн.

5.8. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо).

5.9. Передача ПДн при их обработке в ИСПДн оператора должна осуществляться по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и применения программных и технических средств.

5.10. Доступ работников оператора к ПДн, находящимся в ИСПДн оператора, предусматривает обязательное прохождение ими процедуры идентификации и аутентификации.

5.11. В случае выявления нарушений порядка обработки и защиты ПДн оператора уполномоченными должностными лицами Общества незамедлительно принимаются меры по установлению причин нарушений и их устранению. Взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, осуществляется в соответствии с приказом ФСБ России от 13.02.2023 № 77.

5.12. Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.

5.13. Уничтожение ПДн по окончании срока их обработки на электронных носителях производится путём механического нарушения их целостности, не позволяющего произвести считывание и восстановление ПДн, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5.14. Подтверждение уничтожения ПДн в случаях, предусмотренных статьёй 21 Федерального закона о ПДн, осуществляется в соответствии с требованиями, установленными приказом Роскомнадзора от 28.10.2022 № 179.

6. Передача ПДн

6.1 Основные правила передачи:

6.1.1. Не передавать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, указанных в п. 4.7 и п. 4.9.3-4.9.7 настоящего Положения.

6.1.2. Предупреждать лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности.

6.1.3. Передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном Трудовым кодексом Российской Федерации - в отношении работников и иными нормативными правовыми актами Российской Федерации, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции.

6.1.4. Запрещается передавать ПДн субъекта ПДн с использованием, принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин.

6.2 Обязанности работника:

6.2. Работник обязан своевременно в срок, не превышающий 7 рабочих дней с даты совершения события, повлекшего изменение ПДн, сообщать работодателю об изменении своих ПДн в письменной форме.

7. Права субъекта ПДн

7.1 Право на получение информации о ПДн:

7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в соответствии с гл. 3 Федерального закона о ПДн, в том числе содержащей: подтверждение факта обработки ПДн Оператором; правовые основания и цели обработки ПДн; применяемые Оператором способы обработки ПДн; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн; обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения; сроки обработки ПДн и сроки их хранения; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.

7.2 Ограничение доступа к ПДн:

7.2. Право субъекта ПДн на доступ к его ПДн может быть ограничено если: обработка ПДн, включая ПДн, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн; обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

7.3 Уточнение, блокирование и уничтожение ПДн:

7.3. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4. Сведения, указанные в п. 7.1 настоящего Положения, должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн, в течение 10 рабочих дней с момента обращения.

7.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Обязанности Оператора

8.1. Оператор обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную п. 7.1 настоящего Положения.

8.2. Если в соответствии с настоящим Положением предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

8.3. Оператор обязан принимать меры, необходимые и достаточные (определяются Оператором самостоятельно) для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации и принятыми в соответствии с ним правовыми актами Общества.

8.4. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

8.5. Оператор при обработке ПДн оценивает вред, который может быть причинен субъектам ПДн в случае нарушения настоящего Положения и Федерального закона о ПДн. Оценка вреда осуществляется ответственным за организацию обработки ПДн либо комиссией, образуемой Оператором в соответствии с Требованиями к оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона о ПДн.

8.6. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту ПДн в случае нарушения настоящего Положения и Федерального закона о ПДн:

8.6.1. Высокую в случаях: обработки специальных категорий ПДн в соответствии с п. 4.8 настоящего Положения, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий ПДн.

8.6.2. Среднюю в случаях: распространения ПДн на официальном сайте в информационно-телекоммуникационной сети "Интернет" Оператора, а равно предоставления ПДн неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающих цели, порядок и условия такой обработки ПДн; обработки ПДн в дополнительных целях, отличных от первоначальной цели; получения согласия на обработку ПДн посредством функционала официального сайта, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн; осуществления деятельности по обработке ПДн, предполагающей получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

8.6.3. Низкую в случаях: ведения общедоступных источников ПДн, сформированных в соответствии с п. 2.8 настоящего Положения и ст. 8 Федерального закона о ПДн; назначения в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником Оператора.

8.7. Результаты оценки вреда оформляются актом оценки вреда в соответствии с приказом Роскомнадзора от 27.10.2022 №178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона о ПДн".

8.8. В случае если по итогам проведенной оценки вреда установлено, что субъекту ПДн могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

8.9. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.

8.10. Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн в соответствии со ст. 22 Федерального закона о ПДн.

8.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн в соответствии с приказом Роскомнадзора от 14.11.2022 N 187.

9. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн

9.1. Должностные лица и работники Общества (согласно приложению No 1 к настоящему Положению), виновные в нарушении порядка обращения с ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

9.2. Должностные лица и работники Общества (согласно приложению No 1 к настоящему Положению), а также руководители структурных подразделений Общества несут персональную ответственность за нарушение или неисполнение требований настоящего Положения.


Приложения 2 , 3 - Формы согласия на обработку персональных данных
Войти в личный кабинет
Забыли пароль?
Введите e-mail, который вы использовали при регистрации
Контрольная строка для смены пароля выслана на Ваш e-mail
Подписаться на рассылку
Вы являетесь
Вы подписаны на рассылку
Подтвердите e-mail, перейдя по ссылке в письме о подписке на рассылку РТ-Комплектимпекс