ПОЛОЖЕНИЕ
о персональных данных и политике их обработки
в Обществе с ограниченной ответственностью «К1 Медицина»
ИНН 9703108861
Раздел 1. Общие положения
Статья 1. Предисловие
1.1. Положение о персональных данных и политике их обработки (далее — Положение) определяет перечень субъектов персональных данных и состав обрабатываемых в Обществе с ограниченной ответственностью «К1 Медицина» (далее — Общество) персональных данных, основные принципы, цели, способы и порядок обработки персональных данных, права и обязанности субъектов персональных данных, требования к защите персональных данных в информационной системе персональных данных с целью предотвращения нанесения ущерба субъектам персональных данных вследствие неправомерного использования конфиденциальной информации (ее утраты, хищения, разглашения или фальсификации).
1.2. Настоящее Положение является локальным нормативным актом Общества и разработано в соответствии со следующими нормативно-правовыми актами:
1.2.1. Трудовой кодекс РФ;
1.2.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
1.2.3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
1.2.4. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
1.2.5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
1.2.6. Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;
1.2.7. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
1.2.8. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»;
1.2.9. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»;
1.2.10. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
1.2.11. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»».
1.3. Настоящее Положение является документом, определяющим политику Общества в отношении обработки персональных данных.
Статья 2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
2.1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.1.5. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
2.1.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.9. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи.
2.1.10. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.11. Использование персональных данных — действия с персональными данными, совершаемые лицами, имеющими доступ к персональным данным, в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и свободы.
2.1.12. Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
2.1.13. Конфиденциальность персональных данных – обязательное требование к лицу, имеющему доступ к персональным данным, не допускать их распространения без согласия субъекта персональных данных.
Статья 3. Категории субъектов персональных данных
3.1. К субъектам, персональные данные которых обрабатываются в Обществе, относятся:
3.1.1. работники Общества и члены их семьи;
3.1.2. соискатели вакантных должностей в Обществе;
3.1.3. уволенные работники Общества;
3.1.4. лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых Обществом (контрагенты Общества и их сотрудники);
3.1.5. лица, проходящие производственную практику в Обществе на основании заключенных с образовательной организацией договоров;
3.1.6. члены органов управления Общества;
3.1.7. посетители и пользователи официального сайта Общества в информационно-телекоммуникационной сети «Интернет».
Статья 4. Права и обязанности Общества
4.1. При обработке персональных данных Общество обязано:
4.1.1. обеспечить при сборе персональных данных, в том числе посредством сети «Интернет», запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
4.1.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и/или дать согласие на их обработку, если предоставление персональных данных и/или получение оператором согласия на обработку персональных данных являются обязательными;
4.1.3. предоставить субъекту персональных данных до начала обработки его персональных данных, полученных от третьих лиц, информацию об операторе, цели, правовом основании обработки и перечне полученных персональных данных, предполагаемых пользователях персональными данными, а также источнике получения оператором персональных данных;
4.1.4. предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, а также возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
4.1.5. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
4.1.6. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
4.1.7. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных нормативно-правовыми актами и настоящим Положением;
4.1.8. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством РФ;
4.1.9. осуществить блокирование неправомерно обрабатываемых персональных данных субъекта в случае выявления неправомерной обработки персональных данных на период проведения проверки по данному нарушению;
4.1.10. выполнять иные обязанности, предусмотренные законодательством РФ в сфере персональных данных.
4.2. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта.
Статья 5. Права и обязанности субъекта персональных данных
5.1. Субъект персональных данных обязан:
5.1.1. предоставлять Обществу достоверную информацию, содержащую его персональные данные;
5.1.2. уведомлять Общество об изменении/обновлении своих персональных данных;
5.2. Работники Общества обязаны не допускать несанкционированного разглашения ставших известными им персональных данных иных субъектов персональных данных (форма обязательства работника Общества о неразглашении персональных данных утверждена Приложением № 3 к настоящему Положению).
5.3. При обработке персональных данных субъект персональных данных имеет право:
5.3.1. получать информацию, касающуюся обработки его персональных данных, в том числе содержащую подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, сведения об операторе, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора и иные сведения, предусмотренные действующим законодательством в сфере защиты персональных данных;
5.3.2. требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
5.3.3. обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы;
5.3.4. отозвать ранее данное Обществу согласие на обработку своих персональных данных по форме, утвержденной Приложением № 4 к настоящему Положению;
5.3.5. осуществлять иные права, предусмотренные законодательством Российской Федерации в сфере персональных данных.
Раздел 2. Состав обрабатываемых персональных данных, правовые основания и цели их обработки
Статья 6. Цели обработки персональных данных
6.1. Персональные данные работников обрабатываются Обществом с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе для:
6.1.1. оформления трудоустройства и ведения кадрового и бухгалтерского учета;
6.1.2. обеспечения установленных законодательством РФ условий труда и предоставления социального пакета, гарантий и компенсаций;
6.1.3. содействия работникам Общества в обучении, получении образования и профессиональном росте;
6.1.4. учета результатов трудовой деятельности и оформления награждений и поощрений, наложения дисциплинарных взысканий;
6.1.5. заполнения и передачи в уполномоченные государственные органы требуемых форм отчетности;
6.1.6. обеспечения личной безопасности работников, в том числе путем организации пропускного режима на территории зданий и офиса Общества, информационной безопасности Общества, а также сохранности имущества Общества и его работников.
6.2. Персональные данные членов семей работников обрабатываются Обществом в объеме, предусмотренном законодательством Российской Федерации, в следующих целях, предусмотренных законодательством Российской Федерации:
6.2.1. оформление работнику налогового вычета и социальных выплат;
6.2.2. оформление работнику отпусков по уходу за ребенком до полутора и трех лет;
6.2.3. для установления принадлежности Работнику документов, выданных до заключения брака, в случае изменения фамилии после заключения брака.
6.3. Персональные данные соискателей вакантных должностей обрабатываются Обществом с целью исполнения требований законодательства РФ, в том числе для:
6.3.1. рассмотрения откликов и резюме соискателей, проведения собеседований, отбора кандидатов на работу;
6.3.2. формирования и ведения кадрового резерва Общества;
6.3.3. организации пропускного режима на территорию здания и офиса Общества в случае проведения очного собеседования.
6.4. Персональные данные уволенных работников обрабатываются Обществом с целью применения и исполнения налогового, пенсионного законодательства, в том числе для:
6.4.1. заполнения и передачи в уполномоченные государственные органы требуемых форм налоговой отчетности и отчетности, связанной с трудовой деятельностью.
6.5. Персональные данные контрагентов и их сотрудников обрабатываются Обществом с целью применения и исполнения законодательства в рамках гражданско-правовых отношений, в том числе для:
6.5.1. заключения и исполнения обязательств по договорам, заключаемым между Обществом и контрагентом.
6.6. Персональные данные лиц, проходящих производственную практику в Обществе на основании заключенных с образовательной организацией договоров, обрабатываются Обществом с целью исполнения законодательства в рамках гражданско-правовых отношений, в том числе для:
6.6.1. обеспечения прохождения обучающимися лицами производственной практики и исполнения обязательств по договорам, заключаемым между Обществом и соответствующей образовательной организацией;
6.6.2. осуществления учета лиц, проходящих производственную практику в Обществе.
6.7. Персональные данные членов органов управления обрабатываются Обществом с целью применения и исполнения законодательства в сфере корпоративных правоотношений, в том числе для:
6.7.1. исполнения обязательств, предусмотренных уставом Общества;
6.7.2. организации очередных и внеочередных общих собраний участников Общества, хранения протоколов общих собраний участников Общества.
6.8. Персональные данные посетителей и пользователей официального сайта Общества в информационно-телекоммуникационной сети «Интернет» обрабатываются Обществом в целях исполнения требований законодательства РФ, в том числе для:
6.8.1. использования юридическими и физическими лицами веб-сайта и иных информационных ресурсов Общества в соответствии с правилами их пользования, лицензионными договорами (при наличии таковых);
6.8.2. регистрации, идентификации и персонализации пользователей сайта и иных информационных ресурсов Общества; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей с сайтом Общества;
6.8.3. осуществления связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера.
Статья 7. Правовые основания обработки персональных данных
7.1. Правовые основания обработки персональных данных субъектов персональных данных устанавливаются с учетом определенных законодательством в сфере персональных данных условий обработки персональных данных.
7.2. Правовыми основаниями обработки персональных данных, на основании которых осуществляется обработка персональных данных в Обществе, являются:
7.2.1. Трудовой кодекс РФ, Налоговый кодекс РФ, Гражданский кодекс РФ;
7.2.2. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
7.2.3. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
7.2.4. Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
7.2.5. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
7.2.6. иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
7.2.7. Правила внутреннего трудового распорядка Общества в части правил доступа работников на рабочие места и правил посещения офиса и\или бизнес центра;
7.2.8. договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по нему;
7.2.9. согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством РФ для соответствующей категории персональных данных;
7.2.10. устав Общества.
Статья 8. Состав обрабатываемых персональных данных
8.1. В целях, указанных в п. 6.1, 6.4 Положения, Обществом обрабатываются следующие персональные данные работников и уволенных работников:
8.1.1. личная информация: фамилия, имя, отчество, в том числе, прежние; пол; дата и место рождения; возраст; гражданство, в том числе прежнее и/или иное;
8.1.2. контактная информация: почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в сервисах коммуникаций; адреса регистрации и фактического проживания;
8.1.3. сведения о документах, удостоверяющих личность гражданина РФ: вид, серия и номер такого документа, наименование и код подразделения органа, выдавшего документ, удостоверяющий личность гражданина, дата выдачи;
8.1.4. сведения о документе, удостоверяющем личность гражданина РФ за пределами РФ: вид, серия и номер такого документа, наименование и код подразделения органа, выдавшего документ, удостоверяющий личность гражданина, дата выдачи;
8.1.5. сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования или документе, подтверждающем регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС);
8.1.6. идентификационный номер налогоплательщика (ИНН);
8.1.7. реквизиты свидетельства о государственной регистрации актов гражданского состояния;
8.1.8. сведения о семейном положении, составе семьи и о близких родственниках, в том числе бывших супругах;
8.1.9. сведения о состоянии здоровья и нетрудоспособности (те сведения, которые относятся к вопросу о возможности выполнения работником трудовой функции или предоставлении работнику дополнительных гарантий и компенсаций);
8.1.10. сведения о трудовой и профессиональной деятельности: место работы; должность; структурное подразделение; табельный номер; стаж; участие в юридических лицах; полномочия;
8.1.11. сведения об образовании: вид, серия и номер документа, подтверждающего полученное образование, наименование образовательной организации, год ее окончания, квалификация, специальность и/или направление подготовки, информация о владении иностранными языками, профессиональной переподготовке и повышении квалификации;
8.1.12. сведения о воинском и при необходимости миграционном учете: серия номер, дата выдачи документов воинского и/или миграционного учета, наименование органа, выдавшего их;
8.1.13. фотография, не используемая Обществом для установления личности субъекта персональных данных;
8.1.14. сведения о банковских реквизитах;
8.1.15. сведения о доходе с предыдущего места работы;
8.1.16. иные сведения, которые субъект персональных данных пожелал сообщить Обществу и которые отвечают целям обработки персональных данных.
8.2. В целях, указанных в п. 6.2 Положения, Обществом обрабатываются следующие персональные данные членов семей работников Общества:
8.2.1. фамилия, имя и отчество, а также дата рождения близкого родственника.
8.3. В целях, указанных в п. 6.3 Положения, Обществом обрабатываются следующие персональные данные соискателей вакантных должностей:
8.3.1. личная информация: фамилия, имя, отчество, в том числе, прежние; пол; дата и место рождения; возраст; гражданство, в том числе прежнее и/или иное;
8.3.2. контактная информация: почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в сервисах коммуникаций; адреса регистрации и фактического проживания;
8.3.3. сведения о трудовой и профессиональной деятельности: место работы; должность; структурное подразделение; стаж; ведение предпринимательской деятельности; полномочия;
8.3.4. сведения об образовании, квалификации, специальности и/или направлении подготовки, информация о владении иностранными языками, профессиональной переподготовке и повышении квалификации;
8.3.5. фотография, размещенная в резюме и не используемая Обществом для установления личности субъекта персональных данных;
8.3.6. иные сведения, которые субъект персональных данных пожелал сообщить Обществу и которые отвечают целям обработки персональных данных.
8.4. В целях, указанных в п. 6.5 Положения, Обществом обрабатываются следующие персональные данные контрагентов и их сотрудников:
8.4.1. личная информация: фамилия, имя, отчество, в том числе прежние; пол; дата и место рождения; возраст; гражданство, в том числе прежнее и/или иное;
8.4.2. контактная информация: почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в сервисах коммуникаций; адреса регистрации и фактического проживания;
8.4.3. сведения о документах, удостоверяющих личность гражданина РФ: вид, серия и номер такого документа, наименование и код подразделения органа, выдавшего документ, удостоверяющий личность гражданина, дата выдачи;
8.4.4. идентификационный номер налогоплательщика (ИНН);
8.4.5. сведения о статусе налогоплательщика налога на профессиональный доход;
8.4.6. сведения о банковских реквизитах;
8.4.7. иные сведения, которые субъект персональных данных пожелал сообщить Обществу и которые отвечают целям обработки персональных данных.
8.5. В целях, указанных в п. 6.6 Положения, Обществом обрабатываются следующие персональные данные лиц, проходящих производственную практику в Обществе:
8.5.1. личная информация: фамилия, имя, отчество; пол; возраст;
8.5.2. контактная информация: номера телефонов, адреса электронной почты;
8.5.3. сведения об образовании: наименование образовательной организации, квалификация, специальность и/или направление подготовки, курс обучения.
8.6. В целях, указанных в п. 6.7 Положения, Обществом обрабатываются следующие персональные данные членов органов управления Общества:
8.6.1. личная информация: фамилия, имя, отчество, в том числе, прежние; пол; дата и место рождения; возраст; гражданство, в том числе прежнее и/или иное;
8.6.2. контактная информация: почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в сервисах коммуникаций; адреса регистрации и фактического проживания;
8.6.3. сведения о документах, удостоверяющих личность гражданина РФ: вид, серия и номер, наименование и код подразделения выдавшего органа, дата выдачи;
8.6.4. иные сведения, которые субъект персональных данных пожелал сообщить Обществу и которые отвечают целям обработки персональных данных.
8.7. В целях, указанных в п. 6.8 Положения, Обществом обрабатываются следующие персональные данные посетителей и пользователей официального сайта Общества в информационно-телекоммуникационной сети «Интернет»:
8.7.1. личная информация: фамилия, имя, отчество, пол; дата рождения; возраст;
8.7.2. контактная информация: номера телефонов, адреса электронной почты;
8.7.3. электронные данные: идентификатор пользователя, присваиваемый сайтом; посещенные страницы и количество их посещений; информация о перемещении по страницам сайта (в т.ч. запись движения мыши, нажатий на ссылки и элементы сайта); длительность пользовательской сессии; точки входа и выхода (сторонние сайты, с которых пользователь по ссылке переходит на сайт или по которым переходит на сторонние сайты); страна и регион пользователя; часовой пояс на устройстве пользователя; провайдер и браузер пользователя; цифровой отпечаток браузера (canvas fingerprint); шрифты и установленные плагины браузера; ОС пользователя; информация об использовании средств автоматизации при доступе на сайт; дата и время посещения сайта; источник перехода (UTM метка); значение UTM меток от source до content; уникальный идентификатор, присваиваемый интернет-сторонним сервисом, обеспечивающий обработку статистических данных; файлы cookie (небольшие файлы данных, которые по запросу сайта сохраняет браузер пользователя, позволяющие сайту «запоминать» его действия или предпочтения. Сессионные cookie хранятся в течение сеанса посещения пользователем сайта и удаляются браузером при закрытии сайта, постоянные cookie не удаляются браузером при закрытии сайта. Отправку cookie пользователь может запретить самостоятельно, отключив в настройках используемого браузера. Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации);
8.7.4. иные сведения, которые субъект персональных данных пожелал сообщить Обществу и которые отвечают целям обработки персональных данных.
8.8. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. В Обществе не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
8.9. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые в Обществе персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Раздел 3. Порядок обработки персональных данных
Статья 9. Получение согласия субъекта на обработку его персональных данных
9.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
9.2. Обработка персональных данных осуществляется после получения Обществом письменного согласия субъекта персональных данных по форме, утвержденной Приложением № 1 к настоящему Положению (для работников) или Приложением № 5 к настоящему Положению (для соискателей вакантных должностей в Обществе).
9.3. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, позволяющих в соответствии с законодательством осуществлять обработку персональных данных Обществом без согласия субъекта персональных данных (например, обработка персональных данных членов семей работников в объеме и в целях, указанных в п. 6.2., 8.2 Положения).
9.4. Если обработка (в том числе предоставление, раскрытие) персональных данных предусмотрена законодательством РФ, согласие субъекта персональных данных на такую обработку не требуется (например, обработка персональных данных контрагентов Общества и их сотрудников на условиях, в объеме и порядке, предусмотренных договорами, обработка персональных данных членов управления Обществом для исполнения обязательств в сфере корпоративных правоотношений).
9.5. Общество в целях обработки персональных данных, установленных п. 6.7 Положения, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия пользователя и/или посетителя официального сайта Общества и совершения им каких-либо действий по отправке данных.
9.6. Посетителям и пользователям официального сайта Общества могут показываться всплывающие уведомления о сборе и обработке данных cookies и иных электронных данных со ссылкой на Политику обработки персональных данных и кнопками принятия условий обработки либо закрытия всплывающего уведомления. Принятие пользователем и/или посетителем сайта условий обработки cookies и иных электронных данных или закрытие всплывающего уведомления при условии продолжения использования сайта Общества расценивается как согласие на обработку электронных данных на официальном сайте Общества.
9.7. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, Общество не сможет осуществить необходимые действия для достижения соответствующих обработке целей.
Статья 10. Способы обработки персональных данных
10.1. Общество обрабатывает персональные данные субъектов следующими способами:
10.1.1. неавтоматизированная обработка персональных данных;
10.1.2. автоматизированная обработка персональных данных.
10.2. Общество вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
10.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
10.4. В Обществе осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
10.5. В Обществе используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:
10.5.1. корпоративная электронная почта;
10.5.2. система электронного документооборота;
10.5.3. группа программ для автоматизации бизнес-процессов и организации учета и хранения справочных данных в электронном виде (1С);
10.5.4. официальный сайт Общества в информационно-телекоммуникационной сети «Интернет».
Статья 11. Сроки обработки и хранения персональных данных
11.1. Обработка персональных данных в Обществе осуществляется до момента достижения целей обработки Обществом или до момента утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
11.2. Хранение персональных данных в Обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
11.3. По истечению указанных в п. 11.1 и п. 11.2 Положения сроков персональные данные подлежат уничтожению либо обезличиванию Обществом, если иное не предусмотрено соглашением, стороной которого является субъект персональных данных.
Статья 12. Передача персональных данных
12.1. Передача Обществом персональных данных субъекта третьим лицам осуществляется только при наличии письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации в области персональных данных.
12.2. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать режим конфиденциальности персональных данных, предусмотренный действующим законодательством РФ.
12.3. В случае поручения Обществом обработки персональных данных другому лицу с согласия субъекта персональных данных Обществом в соответствующем поручении указывается следующая информация:
12.3.1. перечень передаваемых для обработки персональных данных;
12.3.2. перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
12.3.3. цели обработки персональных данных;
12.3.4. обязанность лица, осуществляющего обработку персональных данных, соблюдать конфиденциальность персональных данных и принимать все необходимые меры для обеспечения безопасности персональных данных;
12.3.5. обязанность лица, осуществляющего обработку персональных данных, предоставлять Обществу по запросу документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Общества требований к обеспечению безопасности персональных данных, установленных действующим законодательством РФ;
12.3.6. требования к защите обрабатываемых персональных данных.
12.4. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством в сфере персональных данных, соблюдать конфиденциальность персональных данных, а также принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных действующим законодательством РФ в сфере персональных данных.
12.5. Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
12.6. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по указанному поручению, несет ответственность перед Обществом.
12.7. При передаче персональных данных работников Общество руководствуется ст. 88 ТК РФ.
12.8. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по внешним каналам связи (не корпоративным адресам электронной почты, телефонным номерам) не идентифицированным лицам.
Статья 13. Актуализация и исправление персональных данных
13.1. В случае выявления субъектом неточности, неполноты или устарелости его персональных данных субъект предоставляет Обществу сведения, подтверждающие, что персональные данные являются неполными, неточными или неактуальными, а Общество вносит в них необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления субъектом указанных сведений.
13.2. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Обществом на основании сведений, предоставленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, в срок, не превышающий семи рабочих дней со дня предоставления указанных сведений.
13.3. Общество обязано уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Статья 14. Хранение персональных данных
14.1. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных с обеспечением раздельного хранения различных категорий персональных данных, в том числе несовместимых между собой по целям обработки.
14.2. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
14.3. Персональные данные субъектов персональных данных хранятся в подразделениях Общества, которые отвечают за взаимодействие с субъектом, а также в электронном виде в информационных системах персональных данных и иных специализированных информационных системах, целью создания и использования которых не является обработка персональных данных.
14.4. Персональные данные, содержащиеся на бумажных носителях, хранятся в папках в сейфах или в шкафах, обеспечивающих защиту от несанкционированного доступа. Ключи от соответствующих шкафов или сейфов хранятся у руководителя соответствующего подразделения Общества под его личной ответственностью.
14.5. Доступ работников Общества к электронным базам данных, содержащим персональные данные, обеспечивается с использованием средств защиты от несанкционированного доступа и копирования.
Статья 15. Уничтожение персональных данных
15.1. Общество прекращает обработку персональных данных и уничтожает персональные данные в случае:
15.1.1. достижения цели обработки персональных данных;
15.1.2. отзыва субъектом персональных данных ранее данного согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных.
15.2. Во всех случаях, когда предусмотрено уничтожение персональных данных, это действие производится в течение тридцати дней, если законодательством или соглашением с субъектом персональных данных не установлено иного срока.
15.3. В случае отсутствия возможности уничтожения персональных данных либо их обезличивания в течение срока, установленного законодательством в сфере персональных данных, Общество обеспечивает их блокирование с последующим уничтожением персональных данных. Уничтожение персональных данных производится не позднее шести месяцев со дня их блокирования.
15.4. Бумажные носители персональных данных уничтожаются с помощью бумагорезательных машин, гарантирующих невозможность восстановления носителя.
15.5. Уничтожение машиночитаемых носителей персональных данных, пришедших в негодность или утративших практическую ценность, производится путем физического разрушения, исключающего возможность их использования, а также восстановления информации. Перед уничтожением электронного носителя информация с него должна быть стерта.
15.6. В случае если обработка персональных данных осуществляется Обществом без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных, в котором отражаются сведения, предусмотренные Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.
15.7. В случае если обработка персональных данных осуществляется Обществом с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных, соответствующие требованиям, установленным Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.
15.8. В случае если обработка персональных данных осуществляется Обществом одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала, соответствующие требованиям, установленным Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.
15.9. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению Обществом в течение трех лет с момента уничтожения персональных данных.
Статья 16. Реагирование на запросы и обращения субъектов персональных данных
16.1. Общество безвозмездно в течение десяти рабочих дней с даты получения соответствующего запроса субъекта персональных данных:
16.1.1. безвозмездно сообщает субъекту персональных данных информацию о наличии персональных данных, относящихся к этому субъекту;
16.1.2. предоставляет субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
16.2. В случае отказа субъекту персональных данных по его запросу в предоставлении сведений, указанных в п. 16.1 Положения, Общество обязано в срок, не превышающий десяти рабочих дней со дня получения соответствующего запроса и/или обращения, дать в письменной форме мотивированный ответ субъекту персональных данных. Указанный ответ должен содержать ссылку на норму действующего законодательства РФ в сфере персональных данных, являющуюся основанием для такого отказа.
16.3. В случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество обязано в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку, о чем направить в адрес субъекта персональных данных уведомление по форме, утвержденной Приложением № 2 к настоящему Положению.
16.4. В случае поступления от уполномоченного органа по защите прав субъектов персональных данных соответствующего запроса Общество сообщает указанному органу необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
16.5. Указанный в п. 16.1, 16.2, 16.3 Положения срок может быть продлен, но не более чем на пять рабочих дней в случае направления Общества в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Раздел 4. Защита персональных данных
Статья 17. Цели и стратегия защиты персональных данных в Обществе
17.1. Целью обеспечения защиты персональных данных в Обществе является недопущение несанкционированного доступа к указанным сведениям и их неправомерного распространения и/или разглашения.
17.2. Безопасность персональных данных в Обществе достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
17.3. Общая стратегия защиты персональных данных, а также принимаемые в Обществе для обеспечения безопасности персональных данных организационные и технические меры указаны в Политике информационной безопасности Общества.
Раздел 5. Ответственность за нарушение требований законодательства в сфере персональных данных
Статья 18. Ответственность за разглашение информации, содержащей персональные данные
18.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
18.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством РФ в сфере персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Раздел 6. Заключительные положения
Статья 19. Иные положения
19.1. Положение утверждается, изменяется, дополняется и вводится в действие приказом исполнительного директора Общества и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.
19.2. Настоящее Положение является общедоступным документом Общества.
19.3. Положение подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
19.4. Приложения к настоящему Положению, являющиеся его неотъемлемой частью:
Приложение № 1 — Форма бланка согласия на обработку персональных данных;
Приложение № 2 — Форма уведомления о прекращении обработки персональных данных;
Приложение № 3 — Форма обязательства о неразглашении персональных данных работников;
Приложение № 4 — Форма отзыва согласия на обработку персональных данных;
Приложение № 5.1. — Форма согласия соискателя вакантной должности на обработку персональных данных (для сайта);
Приложение № 5.2. — Форма согласия соискателя вакантной должности на обработку персональных данных.