ИП Веселов Н.Д.
Утверждено Директором приказ № 01-14.11.2025
Москва
Утверждено Директором приказ № 01-14.11.2025
Москва
Положение
Об обработке и защите персональных данных физических лиц
1. Общие положения
1.1. Настоящее Положение (далее- Положение) является локальным нормативным актом ИП Веселов Н.Д. ОГРНИП: 323774600063103, ИНН: 772875822678 (далее – Оператор), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
1.2. В Положении устанавливаются:
1.4. Положение вступает в силу с момента его утверждения и действует до его отмены руководителем Оператора.
1.5. Внесение изменений в Положение производится отмены приказом единоличного исполнительного органа Общества. Изменения вступают в силу с момента подписания соответствующего приказа.
1.6. Положение направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Оператор.
1.7. Положение распространяется на персональные данные, полученные как до, так и после его утверждения.
1.8. Ознакомление с Положением доступно для неограниченного круга лиц через запрос у Оператора или личное обращение в офисе Оператора.
1.1. Настоящее Положение (далее- Положение) является локальным нормативным актом ИП Веселов Н.Д. ОГРНИП: 323774600063103, ИНН: 772875822678 (далее – Оператор), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
1.2. В Положении устанавливаются:
- цель, порядок и условия обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
- положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.4. Положение вступает в силу с момента его утверждения и действует до его отмены руководителем Оператора.
1.5. Внесение изменений в Положение производится отмены приказом единоличного исполнительного органа Общества. Изменения вступают в силу с момента подписания соответствующего приказа.
1.6. Положение направлено на защиту прав и свобод физических лиц, персональные данные которых обрабатывает Оператор.
1.7. Положение распространяется на персональные данные, полученные как до, так и после его утверждения.
1.8. Ознакомление с Положением доступно для неограниченного круга лиц через запрос у Оператора или личное обращение в офисе Оператора.
2. Цели обработки персональных данных, категории (перечни)
обрабатываемых персональных данных, категории субъектов персональных данных, перечень действий, осуществляемых с обрабатываемыми персональными данными
2.1. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового законодательства, кадрового и должностного учета, выполнения Оператором функций, возложенных на него Федеральным Законом.
2.2. В соответствии с целями, указанными в п. 2.1 Положения, Оператором обрабатываются следующие персональные данные лиц, указанных в п. 2.4:
2.4. К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
Оператор обрабатывает персональные данные в целях соблюдения норм законодательства РФ, в том числе, но не ограничиваясь, следующими целями: деятельность по организации отдыха и развлечений прочая.
2.7. В соответствии с целями, указанными в п. 2.6 Положения, Оператором обрабатываются следующие персональные данные лиц, указанных в п. 2.9:
2.9. К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
обрабатываемых персональных данных, категории субъектов персональных данных, перечень действий, осуществляемых с обрабатываемыми персональными данными
2.1. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового законодательства, кадрового и должностного учета, выполнения Оператором функций, возложенных на него Федеральным Законом.
2.2. В соответствии с целями, указанными в п. 2.1 Положения, Оператором обрабатываются следующие персональные данные лиц, указанных в п. 2.4:
- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
- пол;
- дата (число, месяц, год) и место рождения;
- фотографическое изображение;
- сведения о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
- сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья (для отдельных категорий работников);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 2.1 Положения;
- иные персональные данные, которые физическое лицо пожелало сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 2.1 Положения.
2.4. К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
- кандидаты для приема на работу у Оператора;
- работники Оператора;
- бывшие работники Оператора;
- члены семей работников Оператора - в случаях, когда согласно законодательству сведения о них предоставляются работником;
- иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
- распространение.
Оператор обрабатывает персональные данные в целях соблюдения норм законодательства РФ, в том числе, но не ограничиваясь, следующими целями: деятельность по организации отдыха и развлечений прочая.
2.7. В соответствии с целями, указанными в п. 2.6 Положения, Оператором обрабатываются следующие персональные данные лиц, указанных в п. 2.9:
- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
- пол;
- дата (число, месяц, год) и место рождения;
- фотографическое изображение;
- сведения о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
- сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья (для отдельных категорий работников);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 2.6 Положения;
- иные персональные данные, которые физическое лицо пожелало сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 2.6 Положения.
2.9. К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:
- контрагенты Оператора;
- клиенты Оператора;
- посетители сайта Оператора;
- выгодоприобретатели по договорам с Оператором;
- представители или законные представители указанных выше лиц, бенефициары;
- иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
- распространение.
3. Порядок и условия обработки персональных данных
3.1. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
3.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», Гражданский Кодекс Российской Федерации. В случае если приведенные нормативные акты содержат отсылочные нормы на иные нормативные акты, эти акты таже являются правовым основание обработки персональных данных.
3.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
3.4. Обработка персональных данных Оператором выполняется следующими способами:
3.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
3.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
3.6. Оператор не осуществляет трансграничную передачу персональных данных, если это прямо не вытекает из договора с субъектом персональных данные и из его согласия на передачу данных.
3.7. Обработка персональных данных осуществляется путем сбора; записи; систематизации; накопления; хранения; уточнения (обновление, изменение); извлечения; использования; передачи (предоставление, доступ); обезличивания; блокирования; удаления; уничтожения; распространения;
3.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством:
3.1. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
3.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», Гражданский Кодекс Российской Федерации. В случае если приведенные нормативные акты содержат отсылочные нормы на иные нормативные акты, эти акты таже являются правовым основание обработки персональных данных.
3.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
3.4. Обработка персональных данных Оператором выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
3.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
3.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
3.6. Оператор не осуществляет трансграничную передачу персональных данных, если это прямо не вытекает из договора с субъектом персональных данные и из его согласия на передачу данных.
3.7. Обработка персональных данных осуществляется путем сбора; записи; систематизации; накопления; хранения; уточнения (обновление, изменение); извлечения; использования; передачи (предоставление, доступ); обезличивания; блокирования; удаления; уничтожения; распространения;
3.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Оператором осуществляются посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- создания документов, содержащих персональные данные, на бумажных и электронных носителях;
- внесения персональных данных в информационные системы персональных данных;
- Иными способами, если это прямо предусмотрено договором с субъектом персональных данных.
- корпоративная электронная почта;
- система электронного документооборота;
- система поддержки рабочего места пользователя;
- система нормативно-справочной информации;
- система управления персоналом;
- система контроля за удаленным доступом;
- информационный портал;
- система ЭВМ.
- 3.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
4. Сроки обработки и хранения персональных данных
4.1. Обработка персональных данных Оператором прекращается в следующих случаях:
4.3. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
4.1. Обработка персональных данных Оператором прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки (за некоторыми исключениями);
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
4.3. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
- 4.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5. Порядок блокирования и уничтожения персональных данных
5.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
5.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
5.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
5.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
5.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
5.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.8.2. Персональные данные на бумажных носителях уничтожаются путем разрывания носителей на маленькие части, не допускающие получения из них информации. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
5.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
5.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
5.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
5.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
5.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
5.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
5.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.8.2. Персональные данные на бумажных носителях уничтожаются путем разрывания носителей на маленькие части, не допускающие получения из них информации. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
5.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
- 5.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.
6. Защита персональных данных. Процедуры,
направленные на предотвращение и выявление нарушений
законодательства, устранение последствий таких нарушений
6.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
6.2. С целью защиты персональных данных Оператор приказами генерального директора назначаются (утверждаются):
6.4. Помещения Оператора, в которых размещаются носители персональных данных оборудуются запирающими устройствами.
6.5. Оператором используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
6.6. Оператором проводятся внутренние расследования в следующих ситуациях:
6.7.1. Внутренние плановые проверки осуществляются единолично работником, ответственным за организацию обработки персональных данных. Внутренние плановые проверки проводятся не реже 1 раза в год.
6.7.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
6.7.3. По итогам внутренней проверки оформляется докладная записка на имя руководителя организации. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
6.8. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
6.8.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
6.8.2. В течение 72 часов Оператор обязан сделать следующее:
6.9. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
6.10. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
6.10.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.8 Положения.
направленные на предотвращение и выявление нарушений
законодательства, устранение последствий таких нарушений
6.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
6.2. С целью защиты персональных данных Оператор приказами генерального директора назначаются (утверждаются):
- работник, ответственный за организацию обработки персональных данных;
- иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
6.4. Помещения Оператора, в которых размещаются носители персональных данных оборудуются запирающими устройствами.
6.5. Оператором используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
6.6. Оператором проводятся внутренние расследования в следующих ситуациях:
- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
- соответствием указанных актов требованиям законодательства в области персональных данных.
6.7.1. Внутренние плановые проверки осуществляются единолично работником, ответственным за организацию обработки персональных данных. Внутренние плановые проверки проводятся не реже 1 раза в год.
6.7.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
6.7.3. По итогам внутренней проверки оформляется докладная записка на имя руководителя организации. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
6.8. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
6.8.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представители Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
6.8.2. В течение 72 часов Оператор обязан сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
6.9. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
6.10. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
6.10.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.8 Положения.
- 6.11. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
7. Порядок и условия допуска работников к работе с персональными данными третьих лиц
7.1. Работник допускается к работе с персональными данными третьих лиц только при условии подписания приказа о назначении ответственного за обработку персональных данных. Ответственный за обработку персональных данных осуществляет допуск к обработке персональных данных других сотрудников своими силами.
7.2. Работник, работающий с персональными данными обязан быть ознакомлен с настоящим положением и законодательством в области обработки персональных данных.
7.1. Работник допускается к работе с персональными данными третьих лиц только при условии подписания приказа о назначении ответственного за обработку персональных данных. Ответственный за обработку персональных данных осуществляет допуск к обработке персональных данных других сотрудников своими силами.
7.2. Работник, работающий с персональными данными обязан быть ознакомлен с настоящим положением и законодательством в области обработки персональных данных.
- 7.3. Фактический допуск работника осуществляет лицо, ответственное за организацию обработки персональных данных.
8. Ответственность за нарушение норм, регулирующих
обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
