Logo image

Положение об обработке и защите персональных данных работников и иных лиц Акционерного общества «БУКА»

  1. Общие положения
    1. Настоящее Положение об обработке и защите персональных данных работников и иных лиц Акционерного общества «БУКА» (далее – Положение) разработано в соответствии с требованиями гл. 14 Трудового кодекса Российской Федерации, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
    2. Настоящее Положение определяет:
      • цель, порядок и условия обработки персональных данных;
      • категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
      • положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
    3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
    4. Настоящее Положение распространяется на работников (далее – Работники) и контрагентов (физических лиц) Акционерного общества «БУКА» (далее – Организация), включая Работников обособленных структурных подразделений Организации.
    5. Положение вступает в силу с момента его утверждения Генеральным директором и действует до его отмены приказом Генерального директора или до введения нового Положения.
    6. Внесение изменений в Положение производится приказом Генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
  2. Термины и определения
    1. В настоящем Положении используются следующие термины и определения:

      персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

      оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

      ответственный за обеспечение безопасности персональных данных в информационных системах Организации - должностное лицо подразделения Организации, назначенное приказом, отвечающее за обеспечение безопасности персональных данных, обрабатываемых в информационной системе Организации;

      обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

      • сбор;
      • запись;
      • систематизацию;
      • накопление;
      • хранение;
      • уточнение (обновление, изменение);
      • извлечение;
      • использование;
      • передачу (распространение, предоставление, доступ);
      • обезличивание;
      • блокирование;
      • удаление;
      • уничтожение;

      автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

      неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника без использования средств вычислительной техники;

      материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;

      машинный носитель - материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние и внешние жесткие диски, флеш-накопители, CD/DVD и иные устройства);

      несъемный машинный носитель - машинный носитель, установленный в корпус средства вычислительной техники, используемый для хранения и обработки информации (внутренние жесткие диски и иные устройства);

      допуск к обработке персональных данных - процедура оформления права на доступ к персональным данным;

      доступ к персональным данным - возможность обработки персональных данных;

      распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

      предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

      специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

      блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

      уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

      обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

      информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

      безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;

      субъекты персональных данных - контрагенты, работники Оператора, их близкие родственники, кандидаты для приема на работу (соискатели), а также иные лица, чьи персональные данные стали известны Оператору при осуществлении своей деятельности, в том числе в силу предоставления им со стороны Оператора социальных льгот, гарантий и компенсаций;

      контрагент - российское или иностранное юридическое, или физическое лицо, с которым Оператор состоит в договорных отношениях или планирует вступить в договорные отношения, за исключением трудовых отношений;

      трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

      конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

      разглашение персональных данных - действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных;

  3. Категории субъектов персональных данных
    1. К субъектам, персональных данных, которые обрабатываются в Организации в соответствии с Положением, относятся:
      • кандидаты для приема на работу в Организацию;
      • работники Организации;
      • бывшие работники Организации;
      • члены семей работников Организации - в случаях, когда согласно законодательству сведения о них предоставляются работником;
      • иные лица, персональные данные которых Организация обязана обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права;
      • контрагенты (физические лица) Организации.
  4. Цели обработки персональных данных, категории (перечни)
    обрабатываемых персональных данных
    1. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового, гражданского, налогового, таможенного законодательств. В рамках трудовых и гражданско-правовых отношений, в том числе:
      • ведении кадрового, воинского и бухгалтерского учета;
      • содействии работникам в получении образования и продвижении по службе;
      • оформлении награждений и поощрений;
      • предоставлении со стороны Организации установленных законодательством условий труда, гарантий и компенсаций;
      • заполнении и передаче в уполномоченные органы требуемых форм отчетности;
      • обеспечении личной безопасности работников и сохранности имущества;
      • достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
      • в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
      • для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
      • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
      • осуществлении контроля за количеством и качеством выполняемой работы.
    2. В соответствии с целью, указанной в п. 3.1 Положения, в Организации обрабатываются следующие персональные данные:
      • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
      • пол;
      • дата (число, месяц, год) и место рождения;
      • фотографическое изображение;
      • сведения о гражданстве;
      • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
      • страховой номер индивидуального лицевого счета (СНИЛС);
      • идентификационный номер налогоплательщика (ИНН);
      • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
      • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
      • реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
      • сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
      • сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
      • информация о владении иностранными языками;
      • сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его, звание, состав, ВУС);
      • сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
      • сведения об инвалидности;
      • сведения об удержании алиментов;
      • сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
      • сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
      • сведения о доходах, обязательствах по исполнительным документам;
      • номера расчетного счета, банковской карты;
      • сведения о состоянии здоровья (для отдельных категорий работников);
      • иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
      • иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.
    3. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
  5. Порядок и условия обработки персональных данных
    1. До начала обработки персональных данных Организация обязана уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
    2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете".
    3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
    4. Обработка персональных данных в Организации выполняется следующими способами:
      • неавтоматизированная обработка персональных данных;
      • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
      • смешанная обработка персональных данных.
    5. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
      1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
    6. Организация не осуществляет трансграничную передачу персональных данных.
    7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
      1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Организации осуществляются посредством:
        • получения оригиналов документов либо их копий;
        • копирования оригиналов документов;
        • внесения сведений в учетные формы на бумажных и электронных носителях;
        • создания документов, содержащих персональные данные, на бумажных и электронных носителях;
        • внесения персональных данных в информационные системы персональных данных.
      2. В Организации используются следующие информационные системы:
        • корпоративная электронная почта;
        • система электронного документооборота;
        • система поддержки рабочего места пользователя;
        • система нормативно-справочной информации;
        • система управления персоналом;
        • система контроля за удаленным доступом;
        • информационный портал.
    8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.
    9. Оператор на основании договора может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
    10. При поручении Оператором обработки персональных данных другому лицу:
      • должны быть определены:
      • перечень персональных данных;
      • перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
      • цели обработки персональных данных.
    11. Обязанность такого лица соблюдать конфиденциальность персональных данных, а также требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона "О персональных данных".
    12. Если Организация поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед этой Организацией.
  6. Допуск и доступ к обработке персональных данных
    1. Основаниями для допуска работника к обработке персональных данных в Организации являются:
      • приказ о назначении ответственного за обработку персональных данных;
      • обязательство о неразглашении персональных данных, составленное по форме согласно (Приложению № 1 к настоящему Положению), подписанное работником и хранящееся в его личном деле или в деле в соответствии с утвержденной номенклатурой дел подразделения Организации.
      • Приказ об утверждении списка уполномоченных работников, имеющих доступ к персональным данным.
    2. До предоставления доступа к обработке персональных данных, ответственный за обработку персональных данных ознакамливает под роспись уполномоченных работников с законодательством Российской Федерации, нормативными документами Организации в области персональных данных и настоящим Положением.
    3. Уполномоченные работники до начала обработки персональных данных обязаны определить необходимость получения согласия субъекта персональных данных на обработку его персональных данных.
    4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия законных оснований для обработки персональных данных без согласия субъекта персональных данных на обработку его персональных данных возлагается на подразделение Организации, осуществляющее обработку персональных данных.
    5. Доступ к персональным данным разрешается только уполномоченным работникам, которым эти персональные данные необходимы для исполнения должностных обязанностей.
    6. При работе с персональными данными уполномоченным работникам запрещается:
      • обрабатывать персональные данные, не отвечающие целям их обработки;
      • работать под чужими учетными записями в информационных системах Организации, в которых обрабатываются персональные данные, и передавать кому-либо индивидуальные атрибуты доступа;
      • допускать несанкционированное использование своего автоматизированного рабочего места другими работниками Организации и посторонними лицами;
      • использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Организации;
      • разглашать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;
      • делать копии документов, содержащих персональные данные, не требующиеся для исполнения своих должностных обязанностей;
      • держать на рабочем месте материальные носители, содержащие персональные данные, дольше времени, необходимого для их обработки (включая хранение);
      • хранить материальные носители, содержащие персональные данные, на рабочих местах ненадлежащим образом;
      • выносить материальные носители, содержащие персональные данные, из рабочих помещений без служебной необходимости.
    7. При обработке персональных данных должна быть исключена возможность ознакомления с ними посторонних лиц, в том числе работников Организации, не уполномоченных на их обработку, путем принятия следующих мер:
      • экран монитора автоматизированного рабочего места, используемого для работы с персональными данными, а также бумажные носители, содержащие персональные данные, должны размещаться таким образом, чтобы исключить возможность просмотра информации посторонними лицами, включая других работников Организации;
      • для доступа к информационным системам Организации, в которых обрабатываются персональные данные, должны использоваться индивидуальные пароли, отвечающие установленным Организации требованиям;
      • автоматизированные рабочие места, используемые уполномоченными работниками для обработки персональных данных, во время перерывов в работе должны блокироваться с помощью защищенной паролем экранной заставки;
      • в информационных системах Организации, в которых обрабатываются персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке должны использоваться сертифицированные средства антивирусной защиты;
      • индивидуальные пароли доступа уполномоченного работника к информационным системам Организации, в которых обрабатываются персональные данные, в обязательном порядке должны меняться при его переходе на работу в другое подразделение Организации;
      • бумажные и съемные машинные носители, содержащие персональные данные, после окончания работы с ними или при оставлении уполномоченным работником своего рабочего места должны помещаться в запираемые ящики столов, шкафы (сейфы);
      • работа, связанная с обработкой персональных данных и хранением их носителей, должна осуществляться в находящихся в контролируемой зоне помещениях, включенных в утверждаемый руководителем подразделения Организации перечень помещений;
      • бумажные носители персональных данных субъектов персональных данных должны храниться в делах в соответствии с номенклатурой дел подразделения Организации;
      • испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними должны уничтожаться без возможности восстановления.
  7. Согласие субъекта персональных данных на обработку его персональных данных
    1. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.
    2. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
    3. В случаях, предусмотренных законодательством Российской Федерации в области персональных данных, когда обработка персональных данных субъекта персональных данных осуществляется только с его согласия, уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных, составленное по форме согласно (Приложению № 2 к настоящему Положению).
    4. Согласие на обработку персональных данных недееспособного либо несовершеннолетнего субъекта персональных данных дает законный представитель субъекта персональных данных.
    5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
    6. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются уполномоченным работником.
    7. Документы, подтверждающие согласие субъекта персональных данных на обработку его персональных данных, полученные в соответствии с настоящим Положением, должны храниться в личных делах работников Организации либо в отдельных делах, если оформление личных дел не предусмотрено нормативными документами Организации.
    8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется по форме согласно (Приложению № 3) отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
    9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных, составленному в произвольной форме. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
    10. Субъект персональных данных вправе отозвать согласие на обработку его персональных данных, направив в Организацию отзыв согласия на обработку персональных данных, составленный по форме согласно (Приложению № 3 к настоящему Положению), либо в произвольной форме. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных может быть продолжена без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закон о персональных данных.
  8. Сроки обработки и хранения персональных данных
    1. Обработка персональных данных в Организации прекращается в следующих случаях:
      • при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
      • при достижении целей их обработки (за некоторыми исключениями);
      • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
      • при обращении субъекта персональных данных к Организации с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных. Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
    2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
    3. Персональные данные на бумажных носителях хранятся в Организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
    4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
  9. Порядок блокирования и уничтожения персональных данных
    1. Подразделения Организации осуществляют систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, а также при наступлении иных законных оснований и в дальнейшем уничтожают персональные данные, обрабатываемые в информационных системах Организации, файлах, на автоматизированных рабочих местах или на материальных носителях.
    2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
    3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
    4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
    5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
      1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
    6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Организацией. Кроме того, персональные данные уничтожаются в указанный срок, если Организация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
    7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Организации, обрабатывающие персональные данные.
    8. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора.
      1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
      2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
      3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 9.4, 9.5, 9.6 Положения, согласно Требованиям, к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
        • актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
        • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями. Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора (Приложение № 4 к настоящему Положению).
      4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
      5. Уничтожение персональных данных, не указанных в п. 9.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.
  10. Защита персональных данных. Процедуры,
    направленные на предотвращение и выявление нарушений
    законодательства, устранение последствий таких нарушений
    1. Комплекс мер, обеспечивающих безопасность персональных данных, должен включать в себя в том числе:
      • организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;
      • определение угроз безопасности персональных данных при их обработке в информационных системах Организации;
      • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
      • проверку соответствия применяемых мер защиты информации законодательству Российской Федерации в области персональных данных и оценку их эффективности;
      • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер реагирования;
      • восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
      • установление правил доступа к персональным данным, обрабатываемым в информационных системах Организации;
      • разграничение доступа пользователей к информационным системам Организации;
      • размещение информационных систем Организации в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
      • хранение и использование документов, машинных носителей, информационных систем Организации, в которых обрабатываются персональные данные, исключающие их хищение, подмену, уничтожение, а также несанкционированный доступ к ним;
      • внутренний контроль за соблюдением подразделениями Организации при обработке персональных данных законодательства Российской Федерации и нормативных документов Организации в области персональных данных;
      • оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
    2. Меры обеспечения безопасности персональных данных при их автоматизированной обработке устанавливаются в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, требованиями к технической защите информации, определенными ФСТЭК России и ФСБ России, а также нормативными документами Организации в области обеспечения информационной безопасности.
    3. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.
    4. Для обработки персональных данных, цели обработки которых несовместимы между собой, используются отдельные материальные носители (бумажные или съемные машинные). Материальные носители, содержащие персональные данные, обрабатываемые в различных целях, должны храниться раздельно (в разных шкафах, на разных полках, в отдельных ящиках или папках и т.п.).
    5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе (если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных), уполномоченным работником должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
      • при необходимости обработки определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется их копирование;
      • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется весь материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.
    6. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными и уничтожением исходного материального носителя.
    7. Обезличивание персональных данных, обрабатываемых в информационных системах Организации, должно осуществляться в соответствии с требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными приказом Роскомнадзора от 5 сентября 2013 г. N 996.
    8. Обезличивание персональных данных, обрабатываемых на бумажных носителях, должно осуществляться путем вымарывания части персональных данных, без которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
    9. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются законодательством об архивном деле в Российской Федерации.
    10. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
  11. Проведение служебного расследования по факту нарушения режима
    защиты персональных данных
    1. Без письменного согласия субъекта персональных данных Организация не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
    2. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
    3. При выявлении в подразделении Организации нарушения режима защиты персональных данных (далее - нарушение) разбор (рассмотрение) его у руководителя подразделения Организации проводится в срок не более 10 рабочих дней. При этом должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по устранению условий, повлекших нарушение, и по минимизации ущерба. Подготовка материалов для разбора (рассмотрения) и принятие указанных мер осуществляются под контролем ответственного за организацию обработки персональных данных подразделения Организации
    4. По результатам разбора по факту выявления нарушения руководитель подразделения Организации принимает решение о проведении служебного расследования.
    5. Подразделение Организации в случае обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, либо в случае поступления такой информации от Роскомнадзора или от иного заинтересованного лица обязано незамедлительно уведомить Департамент управления информационной безопасностью о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом.
    6. В течение 48 часов с момента выявления нарушения по данному факту подразделением Организации проводится служебное расследование и предоставляется в Департамент управления информационной безопасностью информация о результатах служебного расследования, в том числе сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
    7. В случае выявления компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, подразделение Организации обязано незамедлительно направить в Департамент управления информационной безопасностью и Центр компетенций по информационной безопасности следующую информацию:
      • описание компьютерного инцидента: дата, время и место инцидента, Ф.И.О. работника Организации и способ выявления им инцидента;
      • сведения о лицах, действия которых стали причиной компьютерного инцидента (в случае наличия такой информации);
      • полное название автоматизированной информационной системы Организации, в которой выявлен компьютерный инцидент, и подразделение, выполняющее роль функционального заказчика (в случае наличия такой информации);
      • описание используемых уязвимостей (в случае наличия такой информации);
      • краткое описание последствий компьютерного инцидента;
      • принятые меры по устранению компьютерного инцидента;
      • иная информацию, связанная с компьютерным инцидентом.
    8. Для служебного расследования обстоятельств неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также других нарушений приказом руководителя подразделения Организации образуется комиссия по расследованию нарушения режима защиты персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в подразделении Организации. При необходимости в состав комиссии могут быть включены представители Департамента управления информационной безопасностью и иных подразделений Организации.
    9. При проведении служебного расследования:
      • определяется обоснованность отнесения переданной, разглашенной либо утраченной информации к персональным данным;
      • устанавливаются обстоятельства расследуемого нарушения и причастные к нему лица;
      • принимаются меры по определению местонахождения материальных носителей;
      • устанавливаются причины и условия, которые привели к нарушению;
      • оценивается причиненный или возможный вред субъекту персональных данных Организации вследствие нарушения.
    10. Члены комиссии имеют право:
      • опрашивать работников подразделений Организации, которые допустили нарушение, а также работников подразделений Организации, которые могут оказать содействие в установлении обстоятельств допущенного нарушения или в определении местонахождения утраченных материальных носителей, и требовать от них письменные объяснения;
      • запрашивать информацию и документы, имеющие отношение к проведению служебного расследования обстоятельств возникновения нарушения;
      • проводить осмотр помещений, в которых хранятся и обрабатываются персональные данные, рабочих мест уполномоченных работников, обследование средств вычислительной техники, используемых для обработки персональных данных, мест, где могут находиться утраченные материальные носители;
      • проверять наличие материальных носителей персональных данных, учетную документацию, отражающую их поступление и движение;
      • привлекать к работе комиссии с разрешения руководителя подразделения Организации, назначившего служебное расследование, работников (экспертов), обладающих специальными знаниями.
    11. По завершении работы комиссии составляется заключение о результатах проведенного служебного расследования, в котором содержатся выводы о причинах и условиях совершения нарушений, рекомендации по их устранению, результаты определения материального или иного вреда, причиненного субъекту персональных данных Организации вследствие нарушения режима защиты персональных данных, а также указаны лица, виновные в совершении нарушения.
    12. Заключение о результатах проведенного служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменной форме).
    13. По окончании служебного расследования руководителем подразделения Организации принимается решение:
      • о возможности привлечения виновных работников к дисциплинарной и (или) материальной ответственности;
      • об обращении в правоохранительные органы с заявлением о привлечении работников, допустивших нарушение, к административной или уголовной ответственности;
      • о принятии мер по устранению причин и условий, повлекших нарушение.
    14. Копия заключения о результатах проведенного служебного расследования, а также информация о мерах, принятых в отношении лиц, допустивших нарушение, направляются в течение 10 рабочих дней в Департамент управления информационной безопасностью.
    15. Служебное расследование по факту нарушения, в том числе по факту неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в подразделениях Организации может проводиться ответственным за обработку персональных данных в Организации либо иным лицом по поручению Генерального директора.
  12. Ответственность за нарушение норм, регулирующих
    обработку персональных данных
    1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
    2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.