Главная — Политика обработки персональных данных в группе компаний "Стройпарк"

Политика обработки персональных данных в группе компаний "Стройпарк"

Общие положения

1.1. Термины, определения, сокращения.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и распространения без согласия субъекта персональных данных или наличия иного законного основания.

Материальный носитель персональных данных (далее материальный носитель) – материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ (бумажный носитель), диск, дискета, флэш-карта (электронные носители).

Мобильное приложение – программное обеспечение, предназначенное для работы на смартфонах, планшетах и др. мобильных устройствах, разработанное для конкретной платформы (IOS, Android и др.), принадлежащее Обществу и предназначенное для поиска, выбора и заказа товаров и услуг в Интернет-магазине.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сайт — это интерактивный набор страниц, расположенный на доменном имени https://stroyparkdiy.ru.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

Персональные данные (ПДн)– любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Работник – физическое лицо, вступившее в трудовые отношения с Компанией на основании трудового договора (срочного или бессрочного).

Регистратор – юридическое лицо, осуществляющее деятельность по ведению реестра владельцев ценных бумаг как исключительную на рынке ценных бумаг на основании договора с эмитентом и имеющее лицензию на осуществление данного вида деятельности в соответствии с законодательством Российской Федерации.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу государственной власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Цель обработки персональных данных – конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований законодательства и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.

1.2. Введение

Положение о порядке обработки персональных данных в группе компаний «Стройпарк» (далее – Положение) разработано в целях обеспечения требований законодательства РФ в области персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых группой компаний «Строй Парк».

Под группой компаний понимаются ООО «Строй Парк» и юридические лица, управляемые ООО «Строй Парк» - ООО «СП-Центр», ООО «Строй Парк-Р» (далее – Группа компаний, Компания, Оператор).

Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.3. Основными принципами настоящего Положения являются:

Обработка организована Оператором на принципах:

законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.4. Цели

Целями разработки настоящего Положения является:

обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
организация обработки персональных данных в соответствии с требованиями действующего законодательства.
продвижение, продажа товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

1.5. Задачи

Для достижения цели необходимо решение следующих задач:

Определение субъектов персональных данных, состав персональных данных, цели обработки персональных данных;
Определение прав и обязанностей Группы компаний при обработке персональных данных;
Определение прав субъектов персональных данных;
Определение порядка сбора персональных данных;
Определение порядка передачи персональных данных;
Определение порядка доступа к персональным данным;
Определение порядка хранения и уничтожения материальных носителей персональных данных;
Определение порядка взаимодействия с регулирующими органами;
Установление ответственности.

1.6. Область действия

Действие настоящего Положения распространяется на все структурные подразделения Группы компаний.

1.7. Исполнение принципов настоящего Положения обязательно для следующих должностных лиц Группы компаний: положение обязательно для исполнения всеми работниками Группы компаний.

1.7.1. Контроль исполнения принципов настоящего Положения возложен на следующих должностных лиц Компании:

генеральный директор;
директора магазинов;
начальник распределительного центра;
директора департаментов;
работники Департамента безопасности.

1.7.2. Потребителями результатов, которые создаются в ходе исполнения принципов настоящего Положения, являются следующие лица: субъекты персональных данных.

1.8. Способы обработки персональных данных:

с использованием средств автоматизации;
без использования средств автоматизации.

2. Основные приниципы

2.1. Субъекты персональных данных, состав персональных данных, цели обработки персональных данных.

К субъектам персональных данных, обрабатываемых в Компании, относятся:

Работники.
Кандидаты на трудоустройство.
Контрагенты - физические лица, индивидуальные предприниматели, с которыми ведутся переговоры о заключении гражданско-правовых договоров, выступающие сторонами по заключенным договорам, а также с которыми имеются иные гражданско-правовые отношения, либо чья деятельность затрагивает права и законные интересы Группы компаний.
Физические лица, выступающие поручителями и (или) залогодателями по договорам, заключаемым в обеспечение исполнения обязательств контрагентов;
Представители контрагентов, поручителей, залогодателей, потребителей, лица, чьи права и законные интересы затронуты в результате осуществления деятельности Группой компаний - физические лица, действующие от имени контрагентов-юридических лиц без доверенности (директора, генеральные директора, председатели, управляющие и иные лица действующие в соответствии с полномочиями, предоставленными учредительными документами), а также лица, действующие от имени представляемых лиц в силу полномочий, основанных на доверенностях, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.
Потребители, посетители сайта в сети Интернет и мобильного приложения – физические лица, имеющее намерение заказать или приобрести либо заказывающие, приобретающие или использующие товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности (покупатели, заказчики работ (услуг)).
Физические лица, чьи права и законные интересы затронуты в результате осуществления деятельности Группой компаний и их представители.
Посетители помещений, территории.
Пользователи – Заказчики и Исполнители (мастера), использующие информационный сервис «Биржа мастеров Стройпарка», расположенный в информационно-телекоммуникационной сети «Интернет».

Состав персональных данных и цели обработки.

Субъекты ПДн	Состав ПДн	Цель обработки
Работники	- фамилия, имя, отчество; - пол и возраст; - число, месяц, год рождения; - место рождения; - гражданство; - сведения об образование, данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации; - сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; - семейное положение, сведения о составе семьи; - сведения о документе, удостоверяющем личность; - адрес места регистрации и адрес фактического места жительства; - номер телефона (домашний, мобильный. рабочий); - сведения о воинском учете; - свидетельство ИНН; - страховое свидетельство государственного пенсионного страхования; - информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности; - сведения о доходах; - сведения о деловых и иных личных качествах, носящих оценочный характер; - фотография; - видеоизображение; - состояние здоровья; - сведения о привлечении к уголовной ответственности.	Кадровый учет, заключения и исполнения обязательств по трудовым договорам, начисление и расчет заработной платы, исчисление и уплата предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, составление и представление работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в СФР, сведений подоходного налога в ФНС России, , отражение информации в кадровых документах и ведение кадрового делопроизводства, предоставление сведений в кредитную организацию для оформления банковской карты и перечисление на нее заработной платы, предоставление налоговых вычетов, содействие в трудоустройстве, обучение и продвижение по службе, повышение профессиональной репутации работников, поощрение работников путем размещения информации о них на стендах (билбордах, плакатах, вывесках, проспектах, календарях и иных полиграфических материалах) в занимаемых помещениях, на фасадах занимаемых строений, а также вне указанных помещений и строений, размещение информации о работнике (увлечениях, участиях в мероприятиях, проводимых работодателем, профессиональных достижениях) в корпоративной газете, размещения изображения работников в видео и фотоматериалах, размещаемых в любых средствах массовой информации и на сайтах в сети-Интернет, путем размещения информации в занимаемых помещениях, на фасадах занимаемых строений, а также вне указанных помещений и строений, на стендах (билбордах, плакатах, вывесках, проспектах, календарях и иных полиграфических материалах) в рекламных и информационных целях для предоставления информации о товарах, работах и услугах, условиях их приобретения, проводимых мероприятиях и акциях, для привлечения новых работников, информирование об условиях трудоустройства, социальных гарантиях, проводимых конкурсах, условиях обучения и иных условиях замещения вакантных должностей, , обеспечение личной безопасности работника, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя, пользования различного вида льготами в соответствии с действующим законодательством Российской Федерации, а также внутренними нормативными документами работодателя
Кандидаты на трудоустройство	- Фамилия, имя, отчество; - прежние фамилия, имя, отчество; - год смены фамилии, имени, отчества - число, месяц, год рождения; - место рождения; - адрес регистрации и места жительства; - ИНН; - адрес электронной почты; - сведения о документах, удостоверяющих личность (номер и серия паспорта, дата выдачи паспорта, орган выдавший паспорт); - сведения о военной обязанности; - сведения об образовании и повышении квалификации; - трудовой стаж - сведения о прежних местах работы; - сведения о семейном положении; - сведения о членах семьи кандидата - номер телефона; - сведения о привлечении к уголовной ответственности; - сведения о наличии и категории права управления транспортными средствами; - сведения об увлечениях (хобби); - дополнительная информация, предоставленная кандидатом; - фотография.	Проведение проверки кандидата для целей трудоустройства, сбор и анализ резюме (анкеты).
Контрагенты	Сведения о контрагентах-физических лицах: - Фамилия, имя, отчество; - адрес места жительства (регистрации); - адрес доставки товара; - адрес места нахождения товара; - число, месяц, год рождения; - место рождения; - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия); - идентификационный номер налогоплательщика; - банковские реквизиты; - контактный телефон.	Бухгалтерский, налоговый учет, заключение и исполнение гражданско-правовых договоров, в том числе продажи товаров и/или оказания услуг, включая, но не ограничиваясь информированием о заказе, ведением претензионной работы, анализом качества предоставляемого сервиса и улучшением качества обслуживания, оказанием услуг по доставке, установке и ремонту товара, реализацией возможности возврата товара, оказанием услуги по проверке качества товара/экспертизы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке,
Поручители, залогодатели	Сведения о физических лицах: - Фамилия, имя, отчество; - адрес места жительства (регистрации); - число, месяц, год рождения; - место рождения; - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия); - идентификационный номер налогоплательщика; - банковские реквизиты; - контактный телефон - номер СНИЛС.	Бухгалтерский, налоговый учет, заключение и исполнение гражданско-правовых договоров, претензионная работа, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке.
Потребители	Сведения о физических лицах: - Фамилия, имя, отчество; - адрес места жительства (регистрации); - число, месяц, год, рождения - место рождения; - адрес электронной почты; - адрес доставки товара; - адрес места нахождения товара; - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия); - идентификационный номер налогоплательщика; - контактный телефон; - Реквизиты банковского счета; - пользовательские данные: IP-адрес, файлы cookie, информация об аппаратном и программном обеспечении (при заказе товара либо написания обращения на сайте Компании).	Соблюдение прав и законных интересов потребителей, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, в том числе продажи товаров и/или оказания услуг, включая, но не ограничиваясь информированием о заказе, ведением претензионной работы, анализом качества предоставляемого сервиса и улучшением качества обслуживания, оказанием услуг по доставке, установке и ремонту товара, реализацией возможности возврата товара, оказанием услуги по проверке качества товара/экспертизы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке, а также в целях проведения маркетинговых и иных исследований, оказания услуг агентов и сервисных услуг
Посетители/пользователи сайта в сети Интернет и мобильного приложения	- Фамилия, имя, отчество; - число, месяц, год, рождения; - адрес доставки товара; - контактный телефон; - адрес электронной почты; - пользовательские данные: IP-адрес, файлы cookie, информация об аппаратном и программном обеспечении (при посещении сайта, заказе товара либо написании обращения на сайте Компании); - данные аналитических систем, полученные посредствам метрической программы «Яндекс Метрика».	Соблюдение прав и законных интересов посетителей сайта и мобильного приложения, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, в том числе продажи товаров и/или оказания услуг, включая, но не ограничиваясь информированием о заказе, ведением претензионной работы, анализом качества предоставляемого сервиса и улучшением качества обслуживания, оказанием услуг по доставке, установке и ремонту товара, реализацией возможности возврата товара, оказанием услуги по проверке качества товара/экспертизы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке, а также в целях проведения маркетинговых и иных исследований, оказания услуг агентов и сервисных услуг
Лица, чьи права и законные интересы затронуты в результате осуществления деятельности	Сведения о физических лицах: - фамилия, имя, отчество; - число, месяц, год рождения; - место рождения; - адрес места жительства (регистрации); - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия); - идентификационный номер налогоплательщика; - контактный телефон; - Реквизиты банковского счета.	Соблюдение прав и законных интересов лиц, которые нарушены или могут быть нарушены в результате осуществления группой компаний «Строй Парк» деятельности, ведение претензионной работы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке
Представители контрагентов, поручителей, залогодателей, потребителей, лица, чьи права и законные интересы затронуты в результате осуществления деятельности	Сведения о физических лицах: - Фамилия, имя, отчество; - место работы (наименование организации); - место работы и должность; - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия) -адрес электронной почты; -номер телефона.	Исполнение гражданско-правовых договоров, Соблюдение прав и законных интересов потребителей, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, претензионная работа, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке.
Посетители помещений (территории)	Сведения о физических лицах: - Фамилия, имя, отчество; - число, месяц, год рождения - место рождения; - адрес регистрации; - место работы и должность; - сведения о документе, удостоверяющем личность (наименование, серия и номер, кем выдан (с указанием кода подразделения (если имеется)), дата выдачи, срок действия);	Оформление пропуска на территорию и в помещения группы компаний «Строй Парк»
Пользователи Биржи мастров	Сведения о физических лицах: -Фамилия, имя, отчество; -адрес электронной почты; -номер телефона; - фотография; - пользовательские данные (IP-адрес, файлы cookie, информация об аппаратном и программном обеспечении).	регистрации и использование информационного сервиса «Биржа мастеров Стройпарка» расположенного в информационно-телекоммуникационной сети Интернет, исполнителей и заказчиков для выполнения работ и оказания услуг путем размещения соответствующих объявлений, предоставления консультационной поддержки в связи с использованием Сервиса, исполнения соглашений с Пользователями, разрешение споров, сбор отзывов и выявления неисправностей, анализ и совершенствования работы сервиса, информирования Пользователей о товарах, работах и услугах, целевом маркетинге, проверки Объявлений на предмет соответствия Пользовательскому соглашению, доставки сообщений другим Пользователям, получения статистических и аналитических данных для улучшения функционирования Сервиса, расширения возможностей Сервиса, получения информационных сообщений Сервиса или третьих лиц, предупреждения или пресечения незаконных и/или несанкционированных действий Пользователей или третьих лиц, сравнения персональных данных для подтверждения их точности и проверки их третьими сторонами в случаях, предусмотренных законодательством, обеспечения соблюдения требований действующего законодательства Российской Федерации, защита прав и законных интересов в судебном и во внесудебном порядке, а также в целях проведения маркетинговых и иных исследований.

При определении объема и характера обрабатываемых персональных данных Компания руководствуется указанными выше целями обработки персональных данных.

2.2. Права и обязанности Группы компаний при обработке персональных данных.

Права Группы компаний.

Компания как оператор персональных данных, вправе:

1) Защищать свои права и законные интересы в суде.

2) Предоставлять персональные данные субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

3) Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.

4) Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

Обязанности Группы компаний

Компания как оператор персональных данных, обязана:

1) Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, связанных с обработкой персональных данных, предусмотренных законодательством Российской Федерации. К таким мерам, принимаемым Компанией, относятся:

2) Назначение в Компании ответственного за организацию обработки персональных данных.

3) Издание документов, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4) Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.

5) Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

6) Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых в Компании мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательства Российской Федерации.

7) Ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

8) Разрабатывать, утверждать и обеспечивать неограниченный доступ к документу (опубликовать в информационно-телекоммуникационной сети), определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.

9) Представить документы и локальные акты, разработанные в соответствии с п. 5.2.1, по запросу уполномоченного органа по защите прав субъектов персональных данных.

10) Осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных законодательством РФ, а именно обрабатывать ПДн в следующих случаях:

обработка ПДн осуществляется с согласия субъекта ПДн;
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

11) Признавать равнозначным содержащему собственноручную подпись письменному согласию субъекта ПДн на бумажном носителе, согласие в форме электронного документа, подписанного электронной подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи.

12) Получать письменное согласие субъекта ПДн (работника Компании) на включение в общедоступные источники персональных данных (в том числе справочники, адресные книги) сведений о субъекте персональных данных: фамилии, имени, отчества, года рождения, сведений о профессии и иных персональных данных, представленных субъектом (Ю19 «Согласие на внесение персональных данных в общедоступные источники»).

13) Получать письменное согласие субъекта ПДн (работника Компании) на обработку персональных данных, разрешенных субъектом персональных данных для распространения. (Ю20 «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

14) Сообщить субъекту ПДн или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн и предоставить возможность ознакомления с ними в течение 30 дней с даты поступления письменного запроса от субъекта ПДн. Ю22 «Образец ответа субъекту об обрабатываемых персональных данных»

15) Безвозмездно предоставить субъекту ПДн или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту ПДн.

16) В случае отказа в предоставлении субъекту ПДн информации о наличии ПДн о соответствующем субъекте ПДн, дать в письменной форме мотивированный ответ в течение 30 дней со дня получения письменного запроса.

17) Внести изменения, уничтожить или блокировать в срок, не превышающий 7 дней, соответствующие персональные данные при предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными. О внесенных изменениях и предпринятых мерах необходимо уведомить субъекта ПДн и третьих лиц, которым персональные данные этого субъекта были переданы. (Ю21 «Образец уведомления об уничтожении или исправлении неверных ПДн данных, обрабатываемых с нарушением требований законодательства»).

18) В случае достижения цели обработки персональных данных субъектов ПДн прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней, если иное не предусмотрено федеральными законами.

19) В случае отзыва субъектом согласия на обработку своих персональных данных прекратить обработку и уничтожить персональные данные в срок, не превышающий 3-х рабочих дней с даты поступления отзыва, если иное не предусмотрено федеральными законами.

20) Исключить из общедоступных источников в рамках Компании персональные данные по требованию субъекта.

21) Сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.

2.3. Права субъекта персональных данных.

Субъект ПДн вправе:

1) Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законодательством;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законодательством.

2) Направлять запрос в Компанию на предоставление информации об обработке в Компании своих персональных данных.

Запрос может быть составлен в простой письменной форме, с указанием фамилии, имени, отчества субъекта, номера основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Субъект вправе направить повторный запрос в целях получения информации касающейся обработки его персональных данных не ранее чем через тридцать дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

3) Отозвать согласие на обработку ПДн.

4) Обжаловать в суде любые неправомерные действия или бездействие Компании при обработке и защите его персональных данных.

2.4. Порядок сбора персональных данных.

2.4.1 Порядок сбора персональных данных работников.

При заключении трудового договора работник предоставляет в соответствии со ст. 65 Трудового кодекса РФ следующие сведения о себе:

паспорт или иной документ, удостоверяющий личность;
трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

В отдельных случаях Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих ПДн.

Группа компаний получает письменные согласия на обработку персональных данных работника (Ю18 «Согласие на обработку персональных данных»), в том числе в случаях передачи персональных данных третьим лицам, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ.

Группа компаний имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами, а также иными доступными способами.

2.4.2. Порядок сбора персональных данных кандидатов на трудоустройство.

Персональные данные кандидатов на трудоустройство получаются путем предоставления кандидатами анкет по установленной форме и (или) резюме и с обязательным оформлением Ю103 Согласие на обработку персональных данных.

Группа компаний получает письменные согласия на обработку персональных данных кандидатов на трудоустройство, в том числе в случаях передачи персональных данных третьим лицам, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством РФ

2.4.3. Порядок сбора персональных данных контрагентов и их представителей.

Условия получения персональных данных контрагентов, их представителей определены в соответствующих Договорах.

Получение персональных данных контрагентов осуществляется руководителями структурных подразделений Компании, инициирующих/курирующих заключение договоров.

Условия получения персональных данных субъектов в целях заключения, исполнения гражданско-правовых договоров определены действующим законодательством РФ.

Согласие контрагентов на обработку персональных данных не требуется для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц.

Условия получения ПДн, необходимых для заключения договоров определяется от 27.07.2006 г. № 152-ФЗ «О персональных данных» а также внутренними документами Компании, регламентирующих порядок предоставления услуг.

2.4.4. Порядок сбора персональных данных физических лиц, выступающих поручителями и (или) залогодержателями по договорам, заключаемым в обеспечение исполнения обязательств контрагентов и их представителей.

Условия получения персональных данных поручителями и (или) залогодержателями определены в соответствующих Договорах.

Согласие поручителя и (или) залогодателя на обработку персональных данных не требуется для исполнения договора, стороной по которому он является, а также для заключения договора по инициативе субъекта персональных данных, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц.

2.4.5. Порядок сбора персональных данных потребителей и их представителей, посетителей сайта в сети Интернет и мобильном приложении.

Условия получения персональных данных потребителей и их представителей в целях заключения, исполнения гражданско-правовых договоров определены действующим законодательством РФ.

Персональные данные потребителей и/или их представителей получаются при заполнении утвержденных в Группе компаний бланков претензий, заявлений, заказов с обязательным оформлением Ю102 Согласие на обработку персональных данных, в том числе путем заполнения форм на сайте интернет-магазина Компании в сети Интернет ДБ113 Согласие на обработку персональных данных для сайта, при этом условия получения ПДн, определяется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и размещены на сайте Компании.

Согласие Покупателей/Потребителей дается путем проставления отметки («галочки») в чекбоксе веб-формы при регистрации на сайте или в мобильном приложении, при присоединении к программам лояльности Компании, при заполнении форм заявок на доставку, на выполнение работ и/или оказание услуг, при оформлении заказа товаров и/или услуг на сайте Компании, а также в форме конклюдентных действий при обращении в Компанию любым способом и предоставлении персональных данных, необходимых для рассмотрения обращения.

Согласие Посетителя на обработку персональных данных дается в форме конклюдентных действий, а именно – предоставления персональных данных, запрашиваемых при посещении сайта Компании.

Согласие Пользователей сайта и мобильного приложения на обработку их персональных данных дается путем простановки соответствующей отметки в чекбоксе веб-формы на сайте/в мобильном приложении, предусматривающей ввод персональных данных, или при акцепте оферты, предусматривающей обработку персональных данных, а также при указании персональных данных в запросах, направляемых в Компанию через сайт/мобильное приложение т.п.

Согласие Посетителей сайта на обработку их персональных данных о программном обеспечении и аппаратном оборудовании Пользователя, IP-адресе, просмотре страниц сайта, содержащихся в файлах cookie, получаемых Компанией, дается путем простановки соответствующей отметки («галочки») в чекбоксе на Сайте или закрытия всплывающего баннера с информацией об использовании файлов cookie.

Согласие на обработку персональных данных не требуется для исполнения договора, стороной по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

2.4.5.1. Обработка файлов «Cookie» и использование метрической программы «Яндекс Метрика»

Данные, которые автоматически передаются Компании в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация, в том числе содержат персональные данные пользователя и используется Компанией в целях идентификации пользователя.

Файлы cookie, передаваемые Компанией оборудованию пользователя и оборудованием пользователя Компании, могут использоваться Компанией в статистических и исследовательских целях, а также для улучшения внешнего вида и функциональности Сайта.

Пользователь сайта может настроить используемый им браузер таким образом, чтобы отклонять все файлы cookie или оповещать об их отправке, а также удалить ранее полученные файлы cookie. При отказе от получения файлов cookie некоторые функции Сайта могут работать некорректно.

Структура файла cookie, его содержание и технические параметры определяются Компанией и могут изменяться без предварительного уведомления пользователя.

На Сайте используются программные средства сбора метрических данных – Яндекс Метрика для сбора сведений о пользователе и о предмете его использования Сайта. Метрическая программа размещает постоянный Cookie-файл в клиентском веб-браузере для идентификации Пользователя в качестве уникального пользователя при следующем посещении данного сайта. Этот Cookie-файл не может использоваться никем, кроме Метрической системы.

Возможности разработчиков Метрической системы по использованию и передаче третьим лицам сведений, собранных посредством Метрической программы о посещениях пользователей данного сайта, ограничиваются Политикой конфиденциальности соответствующей Метрической системы Яндекс Метрика - https://yandex.ru/legal/metrica_termsofuse.

Счетчики, размещенные Компанией на Сайте, могут использоваться для анализа файлов cookie пользователя, для сбора и обработки статистической информации об использовании Сайта, а также для обеспечения работоспособности Сайта в целом или его отдельных функций. Технические параметры работы счетчиков определяются Компанией и могут изменяться без предварительного уведомления пользователя.

2.4.6. Порядок сбора персональных данных посетителей помещений, территории.

Получение персональных данных посетителей осуществляется руководителями структурных подразделений Группы компаний, инициирующих/курирующих исполнение договоров.

Контрагенты, направляющие представителей в Компанию, предоставляют персональные данные субъектов (списки работников с указанием ФИО, место работы) в целях проведения мероприятий по оформлению заявок на пропуск указанных лиц в помещения и на территорию Компании.

Порядок сбора персональных данных лиц, чьи права и законные интересы затронуты в результате осуществления деятельности Компании и их представителей.

Согласие на обработку персональных данных не требуется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

2.4.7. Порядок сбора персональных данных пользователей (заказчиков, исполнителей (мастеров)).

Персональные данные Пользователей получаются при регистрации на сервисе «Биржа мастеров Стройпарка» в сети «Интернет» путем заполнения форм на сайте в сети Интернет, при этом условия получения ПДн, определяется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и размещены на сайте.

При регистрации Пользователь дает согласие на обработку персональных данных и указывает, что он ознакомлен с условиями обработки путем совершения действий установленных алгоритмами действий сайта.

2.5. Передача персональных данных.

2.5.1 Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей ПДн в соответствии с действующим законодательством Российской Федерации, ПДн передаются в пределах, необходимых для выполнения ими своих полномочий при мотивированном запросе.

2.5.2. Передача персональных данных третьим лицам (юридическим и/или физическим лицам) может осуществляться только с письменного согласия субъекта ПДн. В письменном согласии субъекта ПДн должна быть указано третье лицо (юридическое лицо и/или физическое лицо), которому передаются ПДн, а также цель передачи и обработки ПДн.

2.5.3. В случае если Группа компаний на основании договора поручает обработку персональных данных другому лицу, одним из условий договора является обязанность обеспечения указанным лицом конфиденциальности данных и безопасности персональных данных при их обработке.

2.5.4. Документы, содержащие персональные данные, передаются через организации, специализирующиеся на почтовых рассылках, организацию федеральной почтовой связи (Федеральное государственное унитарное предприятие («Почта России»)), а также лично работникам сторонних организаций под роспись.

2.5.6. Электронные документы, содержащие ПДн, передаются на учтенных носителях информации и/или по телекоммуникационным каналам связи при использовании средств криптографической защиты информации.

2.6. Доступ к персональным данным.

2.6.1. Доступ к персональным данным ограничивается в соответствии с федеральными законами РФ, настоящим Положением.

2.6.2. Работники Компании и третьи лица не вправе разглашать полученные ими в результате своей профессиональной деятельности сведения о субъектах ПДн.

2.6.3. Предоставление доступа к персональным данным работникам Группы компаний.

2.6.4. В Группе компаний утвержден «Перечень должностей, замещение которых предполагает обработку ПДн».

2.6.5. Работникам, которым необходим доступ к ПДн для исполнения своих должностных обязанностей, предоставляется доступ в соответствии с «Порядком доступа в помещения, в которых ведется обработка ПДн» и «Инструкцией по предоставлению доступа к информационной системе персональных данных (далее –ИСПДн)».

2.6.6. Работники имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей, и использовать их лишь в целях, для которых они получены.

2.6.7. Работники, получившие доступ к ПДн, принимают обязательства о соблюдении режима конфиденциальности персональных данных, которые определены:

настоящим Положением;
должностными инструкциями в части обеспечения безопасности ПДн,
а также иными локальными актами Компании.

2.6.8. Допуск работника к ПДн может быть прекращен в следующих случаях:

расторжение договора (независимо от причин расторжения);
однократное нарушение взятых на себя обязательств, связанных с неразглашением и защитой ПДн;
по инициативе Компании.

2.6.9. ПДн и принимать меры по обоснованному ограничению количества лиц, имеющих доступ к соответствующим документам и ИСПДн.

2.6.10. Доступ работников к материальным (бумажным) носителям ПДн и местам их хранения определяется в соответствии с «Перечнем мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации», утверждаемым приказом по Компании.

2.6.11. Доступ к ПДн органам государственной власти предоставляется в случаях, предусмотренных Федеральными законами, в том числе:

в целях предупреждения угрозы жизни и здоровья субъекта ПДн;
в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».

2.6.12. Доступ к ПДн на основании и во исполнение Федеральных законов, предоставляется:

Государственной инспекции труда, федеральным органам исполнительной власти, осуществляющим функции по контролю и надзору в установленной сфере деятельности и их территориальным органам;

Федеральной налоговой службе, ее территориальным органам, структурным подразделениям;
Федеральной службе государственной статистики и её территориальным органам;
Федеральному фонду обязательного медицинского страхования и его территориальным органам;
Военным комиссариатам;
- Социальный Фонд России;
- иным лицам в порядке, предусмотренном действующим законодательством.

2.6.13. В соответствии с Федеральным законом от 27.12.1991 № 2124-1 «О средствах массовой информации» средства массовой информации (далее - СМИ) имеют право обращаться с запросами, в ответ на которые организация обязана предоставить необходимые СМИ сведения, если они не составляют коммерческую тайну или иную специально охраняемую законом тайну.

2.6.14. Группа компаний может предоставлять средствам массовой информации только общедоступные персональные данные.

2.6.15. При получении Компанией запроса от СМИ в отношении сведений, составляющих ПДн, проводится экспертная оценка запрашиваемых сведений в соответствии с требованиями принятой в Компании информационной политике.

2.6.16. Группа компаний готовит мотивированное заключение об отказе или предоставлении информации, касающейся ПДн в трехдневный срок со дня получения запроса.

2.6.17. Третьи лица для получения доступа к персональным данным обязаны предоставить в Группу компаний в письменной форме запрос.

2.6.18. Персональные данные субъекта могут быть представлены третьим лицам только с письменного согласия субъекта. В письменном согласии субъекта ПДн должно быть указано третье лицо (юридическое лицо и/или физическое лицо), которому передаются ПДн, а также цель передачи и обработки ПДн.

2.6.19. В случае принятия решения о предоставлении доступа к ПДн субъекта организации и/или третьему лицу Компания направляет ответ о предоставлении информации в письменной форме.

2.6.20. Обращения (запросы) на предоставление доступа к обрабатываемым персональным данным с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов ПДн (Ю25 «Журнал учета обращений субъектов персональных данных»). Журналы учета обращений субъектов ПДн ведутся в каждой организации, входящей в Группу компаний.

2.6.21. Предоставление доступа к ПДн субъектов организациям, физическим лицам, которые на основании договоров осуществляют обработку ПДн, в порядке, установленном законодательством РФ, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

2.7. Порядок хранения и уничтожения материальных носителей персональных данных.

2.7.1. Хранение ПДн осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

2.7.2. Учет, хранение, обращение материальных носителей ПДн, осуществляется в соответствии с правилами, установленными внутренними организационно-распорядительными документами Компании и действующим законодательством.

2.7.3. Хранение материальных носителей ПДн осуществляется:

в специально оборудованных помещениях, обеспеченных противопожарной сигнализацией, огнетушителем;
в электронных хранилищах (базах данных) информации (серверы, персональные компьютеры, ноутбуки, твердотельные устройства памяти, переносные жесткие диски и т. п.) с применением информационных технологий.

2.7.4. С момента заведения и до передачи в архив Компании материальные носители ПДн хранятся в соответствии с «Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации».

2.7.5. При необходимости распространения персональные данные могут помещаться на электронные носители информации. Регистрация и учет электронных носителей персональных данных ведется работниками структурных подразделения в соответствии с «Регламентом учета, использования и уничтожения МНИ».

2.7.6. За сохранность конкретного носителя ПДн отвечает работник, получивший данный носитель в пользование, под роспись в Журнале учета МНИ.

2.7.7. О фактах утраты материальных носителей ПДн либо разглашения содержащихся в них сведений немедленно ставятся в известность непосредственный руководитель и руководитель подразделения ИБ.

2.7.8. Запрещается хранить материальные носители ПДн в не запираемых ящиках рабочих столов и других, неприспособленных для этого местах.

2.7.9. Группа компаний осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

2.7.10. Персональные данные, материальные носители ПДн должны быть уничтожены после достижения целей их обработки и/или по истечении срока хранения ПДн.

2.7.11. Отбор (выделение) и уничтожение материалов, содержащих персональные данные, производится Комиссией. Комиссия и ее состав назначаются приказом руководителя Компании. Деятельность комиссии регулируется отдельными локальными нормативными актами Компании.

2.7.12. Отобранные к уничтожению материальные носители ПДн:

измельчаются механическим способом на специальном оборудовании до степени, исключающей возможность прочтения текста;
ПДн, хранящиеся на магнитных носителях, подлежат обязательному удалению путем полного форматирования носителя или уничтожения носителя на специальном оборудовании, о чем делается отметка в Журнале учета, в котором был зарегистрирован носитель.
при необходимости обезличивания части персональных данных, если это допускается материальным носителем, производится удаление (вымарывание) данных, исключающее дальнейшую обработку этих персональных данных.

2.7.13. Субъект ПДн должен быть уведомлен об уничтожении его ПДн (Ю21 «Образец уведомления об уничтожении или исправлении неверных ПДн данных, обрабатываемых с нарушением требований законодательства»

2.8. Взаимодействие с регулирующими органами.

2.8.1. Государственный контроль и надзор за соответствием требованиям законодательства в области персональных данных осуществляется Федеральной службой в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

2.8.2. Отношения в области организации и осуществления государственного контроля и надзора регулируются Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который является обязательным для всех без исключения органов государственного контроля (надзора), и устанавливает порядок проведения проверок, а так же административными регламентами надзорных органов, которые разрабатываются на основании и в соответствии с этим законом.

2.8.3. Повторное уведомление осуществляется в случае изменения сведений, указанных в предыдущем уведомлении об обработке персональных данных (в соответствии со статьей 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»):

наименование, адрес;
цели обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки;
перечень действий с персональными данными, общее описание используемых Компанией способов обработки персональных данных;
описание мер по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
срок или условие прекращения обработки персональных данных;
сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки, Компания обязана уведомить об этом уполномоченный орган по защите субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

2.9. Ответственность.

Статья 24 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» определяет ответственность за нарушение Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной, предусмотренной законодательством Российской Федерации, ответственности.

Административная ответственность за нарушение Федерального закона наступает за:

неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ).
нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - (ст. 13.11 КоАП РФ);
Нарушение правил защиты информации (ст. 13.12 КоАП РФ);
разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП РФ);
непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Ответственность за выполнение обязанностей по обеспечению безопасности ПДн, возложенных на структурные подразделения Компании, обрабатывающие ПДн, несут руководители соответствующих подразделений и работники данных подразделений.

В случае нарушения порядка обработки и обеспечения безопасности ПДн работники Компании несут ответственность, предусмотренную ст. 90 ТК РФ, а также гражданско-правовую, административную, уголовную ответственность, предусмотренную действующим законодательством РФ.

3. Порядок утверждения и актуализации

Положение считается утвержденным и введенным в действие с даты его утверждения Генеральным директором.

Внесение изменений в настоящее Положение производится посредством актуализации документа и/или его приложений владельцем бизнес-процесса в случае:

окончания срока действия документа;
изменения процесса, описываемого в данном документе;
изменения действующего законодательства.

4. Нормативные ссылки

№ п/п	Тип документа	Номер и наименование документа
1		Конституция Российской Федерации
2	Федеральный закон	Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ
3	Федеральный закон	Гражданский кодекс Российской Федерации (часть вторая" от 26.01.1996 N 14-ФЗ
4	Федеральный закон	Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ
5	Федеральный закон	от 27.07.2006 г. № 152-ФЗ «О персональных данных».
6	Федеральный закон	от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
7	Постановление Правительства Российской Федерации	от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
8	Постановление Правительства Российской Федерации	от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
9	Приказ ФСТЭК России	от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».