Бесплатный монтаж станций ChargerOne, Pandora, Orbis, Город ЭЗС
Сравнить
0
Избранное
0
Корзина

Политика конфиденциальности

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

  1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) разработано во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее – Закон о персональных данных), а также других нормативных правовых актов, определяющих порядок работы с персональными данными и требования к обеспечению их безопасности.

1.2. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную
и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации в области персональных данных.

1.3. Положение действует в отношении всех персональных данных, которые обрабатывает
ИП Смирнова Анастасия Константиновна, ОГРНИП 322784700146580, ИНН 780502485743, 198302, г. Санкт-Петербург, ул. Маршала Казакова, д. 5, к. 155. (далее – Оператор).

  1. Основные понятия, используемые в Положении

Субъект персональных данных – работник, клиент (контрагент) и (или) иное лицо, к которому относятся соответствующие персональные данные;

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (Оператор) – ИП Смирнова Анастасия Константиновна, ОГРНИП 322784700146580, ИНН 780502485743, 198302, г. Санкт-Петербург, ул. Маршала Казакова, д. 5, к. 155, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных
(за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Носители персональных данных – как электронные (дискеты, компакт-диски, ленты,
флэш — накопители и др.), так и неэлектронные (бумажные) носители персональных данных.

  1. Цели обработки персональных данных
  • Цели обработки персональных данных, категории субъектов персональных данных и перечень обрабатываемых персональных данных конкретизированы в приложении к настоящему Положению.
  • Также на Сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики Яндекс Метрики.
  • Персональные данные собираются автоматически, когда Пользователь просматривает или использует Сайт, например с помощью cookie-файлов. Cookieфайлы — небольшой фрагмент текста, отправленный сервером и хранимый на компьютере Пользователя. Cookie выполняют множество функций, например, сохраняют настройки, сделанные Пользователем, позволяют перемещаться между страницами после авторизации и в целом упрощают работу с Сайтом.
  • Администрация использует cookieфайлы для:
    • Идентификации — файлы cookieпозволяют распознать устройство и Аккаунт Пользователя, если он ввел логин и пароль и не запрашивать их каждый раз при переходе на другую страницу;
    • Статистики — файлы cookieпозволяют собирать данные о просмотре тех или иных страниц.
    • Пользователь может запретить браузеру принимать cookie, но это существенно ограничит его возможности по использованию Сайта.
  1. Порядок и условия обработки персональных данных

4.1. При обработке персональных данных Оператор придерживается следующих принципов:

  • законности и справедливости;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
  • прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
  • осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4.2. Оператор получает персональные данные от субъектов персональных данных. В некоторых случаях, связанных с оказанием услуг клиентам и контрагентам Оператор может получать персональные данные
и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Оператор выполняет обязанности, предусмотренные Законом о персональных данных, Трудовым кодексом Российской Федерации, иными нормативными актами, при сборе персональных данных.

4.3. Обработка персональных данных происходит смешанным (автоматизированным
и неавтоматизированным) способом.

4.3.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется
в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.

4.3.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:

  • Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
  • Оператор производит резервное копирование данных с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных;
  • используются лицензионные программные продукты, предотвращающие несанкционированный доступ третьих лиц к персональным данным.

4.4. Персональные данные хранятся в бумажном и электронном виде.

4.4.1. В бумажном виде персональные данные хранятся в специально оборудованных шкафах либо в иных запирающихся местах, которые устанавливаются приказом Оператора.

4.4.2. В электронном виде персональные данные хранятся в информационных базах, локальной компьютерной сети Оператора, а также в архивных (резервных) копиях. При хранении персональных данных соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним.

4.5. Если иное не установлено в Положении срок обработки и хранения персональных данных субъектов составляет десять лет с даты их получения Оператором (предоставления Оператору).

Срок обработки и хранения персональных данных работников (бывших работников) Оператора установлен в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, утвержденном приказом Росархива от 20.12.2019 № 236.

4.6. Для целей обработки данных Оператор может передавать персональные данные:

  • своим работникам;
  • третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению Оператора, где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных;
  • по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно.

4.7. При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи Оператор обязан принимать все необходимые меры по защите передаваемой информации в соответствии
с требованиями действующего законодательства Российской Федерации в порядке, регламентированным локальными актами.

4.8. Оператор вправе поручить обработку персональных данных третьим лицам, на основании заключаемых с этими лицами договоров. В договоре с лицами, которым будет поручена обработка персональных данных в обязательном порядке отражаются условия, требующиеся в соответствии с законодательством Российской Федерации. Третьи лица, которым поручена обработка персональных данных обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные Законом
о персональных данных, иными законами и подзаконными актами. При этом ответственность перед субъектом персональных данных за действия указанного лица несет Оператор.

4.9. Оператором не осуществляется сбор и обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.10. Оператором не осуществляется трансграничная передача полученных персональных данных.

4.11. При сборе персональных данных граждан Российской Федерации Оператор обеспечивает их обработку с использованием баз данных, находящихся на территории Российской Федерации.

4.12. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.13. Оператор прекращает обработку персональных данных в следующих случаях:

  • выявлен факт их неправомерной обработки;
  • достигнута цель их обработки;
  • истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия;
  • прекращение деятельности Оператора.

4.14. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем,
    по которому является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных;
  • в случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное
    не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем
    по которому является субъект персональных данных, иным соглашением между Оператором
    и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
  1. Правовые основания обработки персональных данных

5.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании
    в Российской Федерации»;
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

5.2. Правовым основанием обработки персональных данных также являются:

  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных;
  • законный интерес Оператора в повышении качества оказываемых услуг в соответствии
    с пунктом 7 части 1 статьи 6 Закона о персональных данных.
  1. Права субъекта персональных данных

6.1. Субъект персональных данных имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
  • отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

6.2. Для получения необходимой информации субъекту персональных данных необходимо направить Оператору обращение в письменной форме и подписанное собственноручно — по адресу: 198302, г. Санкт-Петербург, ул. Маршала Казакова, д. 5, к. 155, либо на адрес электронной почты: NASTIASMIR@MAIL.RU.  Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.3. Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

6.4. Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлено соответствующее обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.5. Для отзыва согласия на обработку персональных данных и удаления персональных данных, обрабатываемых Оператором, субъекту необходимо направить заявление в письменной форме
и подписанное собственноручно — по адресу: 198302, г. Санкт-Петербург, ул. Маршала Казакова, д. 5, к. 155, либо на адрес электронной почты: NASTIASMIR@MAIL.RU.

6.6. Согласие может быть отозвано при условии уведомления не менее чем за тридцать дней до предполагаемой даты прекращения обработки данных Оператором. Оператор удаляет персональные данные и прекращает их обработку в сроки, установленные в статье 21 Закона о персональных данных.

  1. Сведения о реализуемых мерах к защите персональных данных

7.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры
для защиты информации, предоставляемой субъектами персональных данных, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней третьих лиц. К таким мерам, в том числе, относятся:

7.1.1. Правовые меры:

  • разработка локальных актов, устанавливающих требования и порядок обработки персональных данных;
  • отказ от любых способов обработки персональных данных, не соответствующих требованиям законодательства Российской Федерации.

7.1.2. Организационные меры:

  • назначение ответственного за организацию обработки персональных данных;
  • установление индивидуальных паролей доступа работников Оператора к информационным базам, локальной компьютерной сети Оператора;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных
    и локальных актов Оператора по вопросам обработки персональных данных;
  • регламентация процессов обработки персональных данных;
  • организация учета материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
  • ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения
  • в помещениях, в которых ведется работа с персональными данными, и размещаются технические средства их обработки, без контроля со стороны Оператора;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике
    в отношении обработки персональных данных и локальным актам Оператора.

7.1.3. Технические меры:

  • использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
  • применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • выявление вредоносного программного обеспечения (применение антивирусных программ);
  • оценка вреда, который может быть причинен субъекту в случае нарушения законодательства Российской Федерации о персональных данных, соотношение указанного вреда и принимаемых Оператором мер;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  1. Допуск работников к обработке персональных данных

8.1. К обработке персональных данных допускаются только работники, прошедшие определенную процедуру допуска, к которой относятся:

  • ознакомление работников Оператора под подпись с локальными нормативными актами, регламентирующими порядок работы с персональными данными;
  • получение от работников Оператора письменного обязательства о неразглашении персональных данных при работе с ними;
  • получение работником Оператора и использование в работе индивидуальных атрибутов доступа
    к информационным системам, содержащим в себе персональные данные. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права
    на доступ в информационные системы персональных данных.

8.2. Работники Оператора, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.

8.3. Допуск работников к обработке персональных данных подразделяется на полный и частичный.

8.4. Полный допуск к обработке персональных данных работников, клиентов и контрагентов имеет
Оператора, а также работники Оператора, поименованные в соответствующем приказе Оператора.

8.5. Частичный допуск к обработке персональных данных работников, клиентов и контрагентов имеют работники Оператора, поименованные в соответствующем приказе Оператора.

8.6. Допуск к обработке персональных данных работников прекращается:

  • при увольнении работника, имеющего допуск к обработке персональных данных;
  • при переводе работника, имеющего допуск к обработке персональных данных, на должность, выполнение работ по которой уже не требует допуска к обработке персональных данных.

8.7. Допуск к обработке персональных данных у лиц, указанных в пункте 8.1 Положения, может быть прекращен по решению Оператора.

  1. Порядок уничтожения персональных данных

9.1. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:

  • быть конфиденциальным, исключая возможность последующего восстановления;
  • оформляться актом об уничтожении персональных данных и/или выгрузкой из журнала регистрации событий в информационной системе, используемой Оператором;
  • уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости
    в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

9.2. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются
в специально отведенном для этих целей помещении комиссией по уничтожению персональных данных, состав которой утверждается приказом Оператора.

9.3. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются комиссией по уничтожению персональных данных в срок, не превышающий одного месяца с даты достижения целей обработки персональных данных либо утраты необходимости в их достижении, а также в случае, если истек срок их хранения, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

9.4. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

9.5. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

  • уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов);
  • уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  • подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  • подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные в специальных программах и приложениях, используемых Оператором, удаляются средствами данных систем (программ, приложений), исключающего возможность их использования, а также восстановления данных;
  • в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

9.6. Если обработка персональных данных осуществлялась без использования средств автоматизации,
об уничтожении носителей, содержащих персональные данные, комиссия по уничтожению персональных данных составляет и подписывает акт об уничтожении персональных данных. Если обработка персональных данных осуществлялась с использованием средств автоматизации, об уничтожении носителей, содержащих персональные данные, комиссия по уничтожению персональных данных составляет и подписывает акт об уничтожении персональных данных, а также осуществляет выгрузку из журнала регистрации событий в  информационной системе персональных данных (специальной программе/приложении). Если обработка персональных данных осуществлялась одновременно
с использованием средств автоматизации и без использования средств автоматизации, об уничтожении носителей, содержащих персональные данные, комиссия по уничтожению персональных данных составляет и подписывает акт об уничтожении персональных данных, а также осуществляет выгрузку из журнала регистрации событий в информационной системе персональных данных, специальных программах и приложениях.

9.7. Акт об уничтожении персональных данных может быть составлен как в бумажной, так и электронной форме. В акте указываются:

  • дата, место составления акта;
  • фамилия, имя, отчество субъектов персональных данных, информация о которых была уничтожена;
  • фамилия, имя, отчество, должности сотрудников Оператора, уничтоживших персональные данные, а также их подписи;
  • перечень категорий уничтоженных персональных данных;
  • наименование уничтоженных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя – в случае обработки персональных данных без использования средств автоматизации;
  • наименование информационной системы персональных данных, из которой были уничтожены персональные данные – в случае обработки персональных данных с использованием средств автоматизации;
  • способ, причина, дата уничтожения персональных данных.
  1. Внутренний контроль соответствия обработки персональных данных

10.1. Внутренний контроль соответствия обработки персональных данных (далее – внутренний контроль) проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации
в области персональных данных.

10.2. Внутренний контроль подразделяется на текущий, плановый и внеплановый.

10.3. Текущий контроль осуществляется на постоянной основе ответственным за организацию обработку персональных данных, назначенным приказом Оператора. При выявлении нарушений в рамках текущего контроля составляется протокол, в котором делается запись о мероприятиях по устранению нарушений
и сроках их устранения.

10.4. Плановый контроль проводится не реже одного раза в год на основании плана, утвержденного приказом Оператора. Срок проведения планового внутреннего контроля составляет не более десяти рабочих дней.

10.5. Внеплановый контроль осуществляется на основании поступившего письменного заявления о нарушениях правил обработки персональных данных. Внеплановый комиссионный контроль организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах. Внеплановый контроль должен быть завершен не позднее двадцати дней со дня принятия соответствующего заявления. Результаты внепланового контроля оформляются в виде протокола. При выявлении нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках их устранения. О результатах внепланового контроля информируется заинтересованное лицо.

10.6. При проведении внутреннего контроля должно быть полностью, объективно
и всесторонне установлено соответствие по следующим положениям:

  • наличие, учет, порядок хранения и обезличивания персональных данных;
  • порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
  • порядок и условия применения средств защиты информации;
  • эффективность принимаемых мер по обеспечению безопасности персональных данных;
  • состояние учета машинных носителей персональных данных;
  • соблюдение правил доступа к персональным данным;
  • наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
  • мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • осуществление мероприятий по обеспечению целостности персональных данных.

10.7. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

10.8. Протоколы, составленные по результатам внутреннего контроля хранятся у Оператора в течение текущего года. Уничтожение протоколов проводится Оператором в январе года, следующего за годом,
в котором была проведен контроль.

10.9. В случаях, когда Оператор не может объективно оценить соответствие обработки персональных данных требованиям законодательства Российской Федерации, может быть проведен аудит соответствия обработки персональных данных.

10.10. Аудит соответствия обработки персональных данных проводит организация, которая в соответствии со своими учредительными документами занимается оценкой рисков в обработке персональных данных и возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных. Указанная организация действует на основании договора
с Оператором.

10.11. Аудит соответствия обработки персональных данных проводится на основании приказа Оператора.

10.12. По результатам аудита соответствия обработки персональных данных организация, указанная
в пункте 10.10 Положения, составляет акт, который хранится у Оператора.

  1. Действия при выявлении неправомерной или случайной передачи (предоставления,

распространения, доступа) персональных данных

11.1. Лицо, допущенное к работе с персональными данными, иной работник Оператора обязан незамедлительно уведомить Оператора о ставшем ему известном готовящемся или свершившемся инциденте в отношении персональных данных.

11.2. Уведомление о свершившемся инциденте в отношении персональных данных должно содержать следующую информацию:

  • источник получения информации;
  • дату и время инцидента с персональными данными;
  • информацию о категориях персональных данных и информационной системе персональных данных, в отношении которых произошел инцидент;
  • иные известные обстоятельства.

11.3. Оператор незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных ему, и в случае, если факт инцидента подтвержден, незамедлительно:

  • инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений (лиц) Оператора;
  • выявляет предполагаемые причины инцидента;
  • проводит оценку предполагаемого вреда, нанесенного правам субъектов персональных данных.

11.4. В срок не позднее 24 часов с момента выявления инцидента Оператор уведомляет Роскомнадзор
о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных,
о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

11.5. По завершению внутреннего расследования Оператор незамедлительно, но не позднее 72 часов
с момента выявления инцидента уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

  1. Заключительные положения

12.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящем Положении, регулируются нормами законодательства Российской Федерации.

12.2. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

Приложение

к Положению об обработке и защите персональных данных

Цели обработки персональных данных, категории субъектов персональных данных и перечень обрабатываемых персональных данных

Цель обработки
персональных данных		Категории субъектов
персональных данных		Перечень
персональных данных
Осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в том числе:· обеспечение соблюдения трудового законодательства;· ведение кадрового и бухгалтерского учета;· обеспечение соблюдения налогового законодательства;· обеспечение соблюдения пенсионного законодательства.· работники;· родственники работников;· бывшие работники;· соискатели на замещение вакантных должностей;· иные субъекты персональных данных, каким-либо образом взаимодействующие с Оператором в рамках заявленной цели.· фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);· пол;· число, месяц, год рождения;· место рождения;· информация о гражданстве;· данные документа, удостоверяющего личность;· адрес места жительства (адрес регистрации, фактического проживания);· номер телефона;· адрес электронной почты;· СНИЛС;· ИНН;· семейное положение;· данные свидетельства о рождении детей;· данные свидетельства о заключении брака;· сведения о доходах;· сведения о трудовой деятельности, в частности сведения о профессии и должности;· сведения о воинском учете и реквизиты документов воинского учета;· сведения об образовании, о профессиональной переподготовке и (или) повышении квалификации;· банковские реквизиты.· адрес электронной почты
Подготовка, исполнение, заключение гражданско-правовых договоров.· клиенты (контрагенты) Оператора;· стороны, выгодоприобретатели или поручители по договору;· представители контрагентов, государственных органов, субъектов персональных данных и третьих лиц;· иные субъекты персональных данных, каким-либо образом взаимодействующиес Оператором в рамках заявленной цели.· фамилия, имя, отчество;· дата и место рождения;· должность;· данные документа, удостоверяющего личность;· ИНН;· номер телефона;· адрес электронной почты;· адрес места жительства (адрес регистрации, фактического проживания);· банковские реквизиты.
Подбор персонала (соискателей) на вакантные должности оператора· Соискатели· Фамилия, имя, отчество;· Месяц, дата, год рождения;· Место рождения· Семейное положение;· Пол;· Адрес электронной почты;· Адрес регистрации;· Номер телефона;· Профессия;· Должность;· Сведения о трудовой деятельности ( в том числе стаж работы, данные трудовой занятости на текущее время с указанием наименования и расчетного счета организации);· Сведения об образовании;· Фото-видео изображения лица.
Продвижение товаров, работ, услуг на рынке· Клиенты, Посетители сайта· Фамилия, имя, отчество;· Имущественное положение;· Адрес электронной почты;· Номер телефона;· Данные голоса человека.
Разработка и продвижение сайтов webseed.ru