Политика в отношении обработки персональных данных ЧОУ ДПО «ЮИКО»

1. Общие положения

1.1. Политика в отношении обработки персональных данных (далее - Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых Частное образовательное учреждение дополнительного профессионального образования «Южный институт кадрового обеспечения» (далее — Оператор, ЧОУ ДПО «ЮИКО»).

1.2. Политика разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.3. Основные права и обязанности Оператора и субъектов персональных данных.

1.3.1. Права и обязанности субъектов персональных данных

Субъекты, персональные данные которых обрабатываются Оператором, имеют право:

1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

2) на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

- информацию об отсутствии трансграничной передачи данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператором, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные законодательством Российской Федерации;

3) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

6) на отзыв данного им согласия на обработку персональных данных;

7) на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Субъекты, персональные данные которых обрабатываются Оператором, обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;

- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.3.2. Права и обязанности работников Оператора, обрабатывающих персональные данные субъектов персональных данных.

Работники Оператора, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в разделе 2 настоящей Политики, вправе:

- получать документы, содержащие персональные данные;

- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

Работники Оператора, обрабатывающие персональные данные субъектов персональных данных, обязаны:

- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;

- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);

- предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Оператором;

- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;

- организовывать оперативное и архивное хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.

1.4. Политика содержит сведения, подлежащие раскрытию в соответствии с ч.1 ст.14 ФЗ «О персональных данных», и является общедоступным документом.

1.5. Основные понятия, используемые в настоящем документе:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Сведения об операторе

2.1. Оператор ведет свою деятельность по адресу: 350072, г. Краснодар, ул. Зиповская, дом 4/3.

2.2. Лицо, ответственное за обработку персональных данных, назначается приказом ректора Оператора.

2.3. База данных информации, содержащей персональные данные граждан Российской Федерации и ее резервные копии, располагается в DATA-центрах находящихся по адресам:

г. Краснодар ул. Зиповская д. 4/3

г. Мытищи, ул. Силикатная 19;

г. Владимир, мкр. Энергетик, ул. Поисковая 1 к. 2;

г. Сасово, ул. Пушкина 21;

г. Калуга, 1-й Автомобильный пр-д 8.

3. Сведения об обработке персональных данных

3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.

3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

3.4. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

3.5. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

3.6. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

3.7. Обработка персональных данных осуществляется путем:

- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

- предоставления субъектами персональных данных оригиналов необходимых документов;

- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;

- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- получения персональных данных из общедоступных источников;

- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Оператором деятельности.

3.8. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, составленного по форме прилагаемой к настоящему Положению (Приложение № 5), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

3.9. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных.

3.10. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.11. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на

территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

3.12. Хранение персональных данных у Оператора осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.

3.13. Сроки хранения персональных данных у Оператора определяются в соответствии с законодательством Российской Федерации и нормативными актами Оператора в области документооборота.

4. Обработка персональных данных работников и соискателей

4.1. Оператор обрабатывает персональные данные работников Оператора в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001г. № 197-ФЗ (далее — ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.

4.2. Оператор обрабатывает персональные данные работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также с целью:

вести кадровый учёт;

вести бухгалтерский учёт;

осуществлять функции, полномочия и обязанности, возложенные законодательством РФ на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

соблюдать нормы и требования по охране труда и обеспечения личной безопасности работников ЧОУ ДПО «ЮИКО», сохранности имущества;

контролировать количество и качество выполняемой работы;

предоставлять льготы и компенсации, предусмотренные законодательством РФ;

открывать личные банковские счета работников ЧОУ ДПО «ЮИКО» для перечисления заработной платы;

организовывать обучение работников ЧОУ ДПО «ЮИКО»;

публиковать на сайте, во внутренних справочниках, адресных книгах организации

организации и оформления награждений и поощрений работников;

предоставления работникам отпусков и направления их в командировки.

4.3. Оператор не принимает решения, затрагивающие интересы работников, основываясь на их персональных данных, полученных электронным образом или исключительно в результате автоматизированной обработки.

4.4. Оператор защищает персональные данные работников за счет собственных средств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.

4.5. Оператор знакомит работников и их представителей под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

4.6. Оператор разрешает доступ к персональным данным работников только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций.

4.7. Оператор получает все персональные данные работников у них самих. Если данные работника возможно получить только у третьей стороны, Оператор заранее уведомляет об этом работника и получает его письменное согласие. Оператор сообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

4.8. Оператор обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора.

4.9. Оператор обрабатывает персональные данные работников в течение срока действия трудового договора. Оператор обрабатывает персональные данные уволенных работников в течение срока, установленного пп.5 п.3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998г.

№ 146-ФЗ (далее по тексту- НК РФ), ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее по тексту – Закон «о бухгалтерском учете) и иными нормативными правовыми актами.

4.10. Оператор может обрабатывать специальные категории персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2,3 ч. 2 ст. 10 ФЗ «О персональных данных».

4.11. Оператор может обрабатывать биометрические персональные данные работников.

4.12. Оператор не получает данные о членстве работников в общественных объединениях или их профсоюзной деятельности, за исключением: случаев, предусмотренных ТК РФ или иными федеральными законами.

4.13. Оператор обрабатывает следующие персональные данные работников:

Фамилия, имя, отчество;

Тип, серия и номер документа, удостоверяющего личность;

Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;

Адрес регистрации по месту жительства, адрес регистрации по месту пребывания;

Дата рождения;

Место рождения;

Изображение (фото и видеоматериалы);

Номер контактного телефона;

Идентификационный номер налогоплательщика;

Номер страхового свидетельства государственного пенсионного страхования;

Семейное положение;

Образование;

Доходы;

Налоговые вычеты;

Должность;

Табельный номер;

Трудовой стаж;

Учёная степень, звание;

Сведения о воинском учёте;

Данные о социальных льготах;

Адрес электронной почты;

Страховые взносы на ОПС;

Временная нетрудоспособность;

Профессия;

Страховые взносы на ОМС;

Выход на пенсию.

Оператор обрабатывает следующие персональные данные в отношении соискателей на должности у Оператора:

Фамилия, имя, отчество;

Тип, серия и номер документа, удостоверяющего личность;

Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;

Место жительства и пребывания

Адрес регистрации по месту жительств, адрес регистрации по месту пребывания;

Дата рождения;

Место рождения;

Изображение (фото);

Номер контактного телефона;

Идентификационный номер налогоплательщика;

Номер страхового свидетельства государственного пенсионного страхования;

Семейное положение;

Образование;

Доходы;

Налоговые вычеты;

Должность;

Трудовой стаж;

Учёная степень, звание;

Сведения о воинском учёте;

Данные о социальных льготах;

Адрес электронной почты;

Профессия.

4.14. Оператор не сообщает третьей стороне персональные данные работника без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ, ФЗ «О персональных данных» или иными федеральными законами.

4.15. Оператор не сообщает персональные данные работника в коммерческих целях без его письменного согласия.

4.16. Оператор передаёт персональные данные работников их представителям в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами, и ограничивает эту информацию только теми данными, которые необходимы для выполнения представителями их функций.

4.17. Оператор предупреждает лиц, получающих персональные данные работника, что эти данные могут быть использованы только в целях, для которых они сообщены, требует от этих лиц подтверждения, что это правило соблюдено.

4.18. В порядке, установленном законодательством, и в соответствии со ст. 7 ФЗ «О персональных данных» для достижения целей обработки персональных данных и с согласия работников Оператор предоставляет персональные данные работников или поручает их обработку следующим лицам:

Государственные органы (ПФР, ФНС, ФСС и др.);

Банк (в рамках зарплатного проекта);

Компании пассажирских грузоперевозок и гостиницы (в рамках организации командировок).

4.19. Работник может получить свободный бесплатный доступ к информации о его персональных данных и об обработке этих данных. Работник может получить копию любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.

4.20. Работник может получить доступ к медицинской документации, отражающей состояние его здоровья.

4.21. Работник может определить представителя для защиты его персональных данных.

4.22. Работник может требовать исключить или исправить свои неверные или неполные персональные данные, а также данные, обработанные с нарушением требований ТК РФ, ФЗ «О персональных данных» или иного федерального закона. При отказе Оператора исключить или исправить персональные данные работника он может заявить в письменной форме о своем несогласии и обосновать такое несогласие. Работник может дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения.

4.23. Работник может требовать известить всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

4.24. Работник может обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его п ерсональных данных.

5. Обработка персональных данных сотрудников по договорам гражданско-правового характера

5.1. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее – ГК РФ).

5.2. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в целях соблюдения норм законодательства РФ, а также:

регистрации участников мероприятий Оператора и органов государственной власти;

рассылки информационных и иных материалов по направлениям деятельности Оператора;

подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора.

5.3. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.

5.4. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные сотрудников по договорам гражданско-правового характера после окончания сроков действия заключенных с ними договоров в течение срока, установленного пп.5 п.3 ст.24 части первой НК РФ, ч.1 ст.29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

5.5. Оператор       обрабатывает специальные   категории       персональных данных

несовершеннолетних сотрудников по договорам гражданско-правового характера с письменного согласия их законных представителей на основании ч.1 ст.9, п.1 ч.2 ст.10 ФЗ «О персональных данных».

5.6. Оператор обрабатывает следующие персональные данные сотрудников по договорам гражданско- правового характера:

Фамилия, имя, отчество;

Тип, серия и номер документа, удостоверяющего личность;

Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;

Дата рождения;

Адрес регистрации по месту жительства, по месту пребывания;

Идентификационный номер налогоплательщика;

Номер страхового свидетельства государственного пенсионного страхования;

Место рождения;

Номер контактного телефона;

Адрес электронной почты;

Семейное положение;

Образование;

Профессия;

Доходы;

Страховые взносы на ОПС;

Страховые взносы на ОМС;

Налоговые вычеты;

Выход на пенсию;

Временная нетрудоспособность;

Трудовой стаж;

Учёная степень, звание;

Сведения о воинском учёте.

6. Обработка персональных данных контрагентов

6.1. Оператор обрабатывает персональные данные контрагентов в рамках правоотношений с Оператором, урегулированных частью второй ГК РФ, (далее — клиентов).

6.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью заключать и выполнять обязательства по договорам с клиентами.

6.3. Оператор обрабатывает персональные данные клиентов с их согласия, а в случаях, предусмотренных ФЗ «О персональных данных» - также без их согласия. В силу п.11 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" не требуется согласие контрагентов, являющихся обучающимися ЧОУ ДПО «ЮИКО» на опубликование в Федеральной информационной системе "Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении" их персональных данных, перечень которых определен в Постановлении Правительства РФ от 26.08.2013 N 729 "О федеральной информационной системе "Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении".

В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий в частности проставляя галочку о согласии с Политикой на сайте Оператора клиент тем самым дает свое согласие на обработку его персональных данных, указанных в Политике.

6.4. Оператор обрабатывает персональные данные контрагентов в течение сроков хранения, установленных локальными нормативными актами Оператора в области документооборота. Оператор может обрабатывать персональные данные после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 Закона «О бухгалтерском учёте» и иными нормативными правовыми актами.

6.5. Оператор обрабатывает специальные категории персональных данных несовершеннолетних клиентов с письменного согласия их законных представителей на основании ч.1 ст.9, п.1 ч.2 ст.10 ФЗ «О персональных данных».

6.6. Оператор обрабатывает следующие персональные данные клиентов:

Фамилия, имя, отчество;

Тип, серия и номер документа, удостоверяющего личность;

Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;

Адрес места жительства;

Номер контактного телефона;

Адрес электронной почты;

Год рождения;

Месяц рождения;

Дата рождения;

Место рождения;

Идентификационный номер налогоплательщика;

Номер страхового свидетельства государственного пенсионного страхования;

Семейное положение;

Место работы;

Гражданство;

Образование;

Ученая степень

Профессия;

Доходы.

7. Сведения об обеспечении безопасности персональных данных

7.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор назначает должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах.

7.2. Оператор применяет комплекс правовых, организационных и технических мер по Обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных

данных и их защиты от неправомерных действий:

обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также на сайте Оператора;

во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;

производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;

осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;

производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;

применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора;

организует обучение и проведение методической работы с работниками, осуществляющими обработку персональных данных;

создает необходимые условия для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

организует хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

осуществляет обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

обеспечивает раздельное хранение материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

8. Ответы на запросы субъектов на доступ к персональным данным. Актуализация, исправление, блокировка, уничтожение персональных данных

8.1. Сведения, указанные в части 7 статьи 14 Закона "О персональных данных", предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.2. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона "О персональных данных" все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.3. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

8.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона "О персональных данных" в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.5. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные.

8.6. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

8.8. Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях 1 - 4 к настоящей Политике.

8.9. Блокирование информации, содержащей персональные данные субъекта персональных данных, производится в случаях:

- если персональные данные являются неполными, устаревшими, недостоверными;

- отзыва субъектом персональных данных согласия на обработку его персональных данных;

- если сведения являются незаконно полученными или не являются необходимыми для заявленной оператором персональных данных цели обработки.

8.10. В случае подтверждения факта недостоверности персональных данных уполномоченное Оператором лицо на основании документов, представленных субъектом персональных данных, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязано уточнить персональные данные и снять их блокирование.

8.11. В случае выявления неправомерных действий с персональными данными уполномоченное Оператором лицо обязано устранить (организовать устранение) допущенные нарушения. В случае невозможности устранения допущенных нарушений необходимо в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожить персональные данные.

8.12. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченное Оператором лицо обязано уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.13. Уполномоченное Оператором лицо обязано уничтожить персональные данные субъекта персональных данных в случаях:

- достижения цели обработки персональных данных оператор;

- отзыва субъектом согласия на обработку своих персональных данных.

8.14. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

В согласии субъекта персональных данных на обработку его персональных данных могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных. Уполномоченное Оператором лицо должно направить уведомление о факте уничтожения персональных данных субъекту персональных данных.

В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О персональных данных".

8.15. Сроки хранения бумажных носителей, содержащих персональные данные, регулируются в соответствии с утвержденной номенклатурой дел.

8.16. Документы на бумажных носителях должны находиться в закрываемых шкафах или сейфах. Исключение составляют документы, обрабатываемые в настоящий момент на рабочем месте.

8.17. По окончании срока хранения документы уничтожаются путём измельчения на мелкие части (или иным способом), исключающие возможность последующего восстановления информации или сжигаются.

8.18. Уничтожение бумажных носителей, содержащих персональные данные, осуществляет специальная Комиссия, создаваемая приказом руководителя Оператора. Комиссию возглавляет

руководитель Оператора (или иное уполномоченное лицо). В состав Комиссии должен входить сотрудник ответственный за организацию обработки персональных данных.

8.19. В ходе процедуры уничтожения персональных данных бумажных носителей необходимо присутствие членов Комиссии, осуществляющей уничтожение персональных данных и иной конфиденциальной информации.

8.20. Комиссия составляет и подписывает Акт (2экземпляра) об уничтожении бумажных носителей. В течение трёх дней после составления акты об уничтожении направляются на утверждение руководителю Оператора. После утверждения один экземпляр Акта хранится в сейфе у руководителя соответствующего подразделения Оператора, второй экземпляр Акта хранится у ответственного за организацию обработки персональных данных.

8.21. Факт уничтожения бумажного носителя с персональными данными фиксируется в Акте об уничтожении.

Порядок уничтожения персональных данных, хранимых в электронном виде («файлах») жестком диске компьютера и машинных носителях: компакт дисках (далее – CD-R/RW, DVD-R/RW в зависимости от формата), дискетах 3,5“ 1.4Mb (далее – FDD), FLASH-накопителях регулируется отдельным локальным актом.