Этот сайт использует файлы cookie. Продолжая использовать этот сайт, вы соглашаетесь на их использование.
Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашим Положением об обработке персональных данных.

ОАО ИскитимИзвесть
Телефон коммерческого отдела: +7 (383) 210-51-97

  1. Главная
  2. Положение об обработке персональных данных

1. Общие положения

1.1. Настоящее Положение акционерного общества «Искитимизвесть» (далее — Оператор) «Об обработке персональных данных» (далее — Положение) устанавливает единые требования к организации, порядку и условиям обработки персональных данных, а также к мерам по обеспечению их защиты в деятельности Оператора.

1.2. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой и защитой персональных данных.

1.3. Действие настоящего Положения распространяется на все процессы обработки персональных данных, осуществляемые Оператором (ОГРН 1055472006347, ИНН 5446004869, адрес: 633209, Новосибирская область, г. Искитим, ул. Береговая, 1), а также лицами, действующими по поручению и от имени Оператора.

1.4. Положение подлежит применению при обработке персональных данных работников, клиентов, контрагентов и иных субъектов персональных данных, с которыми Оператор вступает в гражданско-правовые, трудовые или иные правоотношения, предусматривающие необходимость обработки персональных данных, и действует в отношении всех персональных данных, обработка которых осуществляется Оператором, независимо от времени их получения и формы представления.

1.5. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.

1.6. Положение является локальным нормативным актом Оператора, обязательным для исполнения всеми работниками, допущенными к обработке персональных данных, и служит основой для разработки иных внутренних документов, регулирующих вопросы обработки и защиты персональных данных.

1.7. Обработка персональных данных у Оператора осуществляется в соответствии со следующими принципами: законности и добросовестности; ограничения обработки достижением конкретных, заранее определённых и законных целей; недопустимости обработки персональных данных, несовместимой с целями их сбора; недопущения объединения баз данных, обработка которых осуществляется в несовместимых целях; обеспечения точности, актуальности и достаточности персональных данных; хранения персональных данных в форме, позволяющей определить субъекта не дольше срока, необходимого для достижения целей обработки; уничтожения персональных данных после достижения целей их обработки или при утрате необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации.

1.8. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: www.iskitimlime.ru.

2. Термины и сокращения

Автоматизированная обработка персональных данных (ПДн) — обработка персональных данных с использованием средств вычислительной техники.

Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, позволяющие установить его личность и используемые Оператором для идентификации субъекта персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных, за исключением случаев, когда обработка необходима для их уточнения.

Информационная система персональных данных (ИСПДн) — совокупность баз данных, содержащих персональные данные, а также информационных технологий и технических средств, обеспечивающих их обработку.

Иные персональные данные — персональные данные, не относящиеся к специальным категориям или биометрическим данным.

Контролирующий орган — федеральный орган исполнительной власти, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (Роскомнадзор).

Конфиденциальность персональных данных — обязательное требование не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Материальный носитель персональных данных — бумажный, электронный или иной носитель, используемый для хранения, копирования и воспроизведения информации, содержащей персональные данные.

Обезличивание персональных данных — действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с применением или без применения средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных.

Неавтоматизированная обработка персональных данных — обработка персональных данных, осуществляемая непосредственно человеком без использования автоматизированных средств.

Оператор персональных данных (Оператор) — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и способы такой обработки.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешённые субъектом для распространения — персональные данные, доступ к которым субъект персональных данных предоставил неограниченному кругу лиц в порядке, предусмотренном законодательством.

Пользователь — физическое лицо, использующее сайт Общества, включая зарегистрированных пользователей, имеющих личный кабинет.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или ограниченному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Сайт Оператора— официальный интернет-ресурс Оператора www.iskitimlime.ru.

Специальные категории персональных данных — сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти, физическому или юридическому лицу иностранного государства.

Удаление персональных данных — действия, в результате которых персональные данные исключаются из информационных систем с возможностью их последующего восстановления.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановление содержания персональных данных и уничтожаются материальные носители, на которых они содержались.

 

 

  1. Правовые основания обработки персональных данных

 

3.1. Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Законом о персональных данных условий обработки персональных данных. Таковыми  являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
  • Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
  • Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
  • Гражданский процессуальный кодекс Российской Федерации от 14.11.2002 N 138-ФЗ;
  • Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 N 95-ФЗ;
  • Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;
  • Федеральный закон Российской Федерации от 26.12.1995 № 208-ФЗ "Об акционерных обществах";
  • Федеральный закон от 12.12.2023 N 565-ФЗ "О занятости населения в Российской Федерации";
  • Федеральный закон от 24.11.1995 N 181-ФЗ "О социальной защите инвалидов в Российской Федерации";
  • Федеральный закон от 25.07.2002 №115-ФЗ "О правовом положении иностранных граждан в Российской Федерации";
  • Федеральный закон № 400ФЗ от 28.12.2013 "О страховых пенсиях"
  • Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
  • Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
  • Федеральный закон от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
  • Федеральный закон от 10.12.1995 N 196-ФЗ "О безопасности дорожного движения";
  • Закон РФ от 31 05.1996 года № 61-ФЗ «Об обороне»;
  • Закон РФ от 26.02.1997 года № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
  • Закон РФ от 28.03.1998 года № 53-ФЗ «О воинской обязанности и военной службе»;
  • Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
  • Постановление Правительства РФ от 21.01.2015 № 29 "Об утверждении Правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной и муниципальной службы перечень которых устанавливается нормативными правовыми актами Российской Федерации";
  • Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • Устав Оператора, локальные нормативные акты Оператора
  • Договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору.
  • Согласие субъектов ПДн на обработку их ПДн.

 

  1. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы обработки, сроки обработки и хранения персональных данных, условия прекращения обработки персональных данных.

 

4.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.2. Цели обработки ПДн определены деятельностью Общества в соответствии с уставом Общества.

4.3. Полный перечень целей обработки ПДн указан в Приложении № 1 к настоящему  Положению.

4.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в Приложении № 1 к настоящему Положению. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

4.5. Для каждой цели обработки персональных данных Оператором определены:

  • соответствующие категории и перечень обрабатываемых персональных данных
  • категории субъектов персональных данных, персональные данные которых обрабатываются Оператором
  • способы и сроки обработки и хранения персональных данных, перечень действий по обработке персональных данных.

4.6.  Обработка специальных категорий персональных данных, касающихся состояния здоровья, судимости Оператором допускается в случаях, предусмотренных законодательством РФ. В частности, если:

  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
  • в соответствии с законодательством Российской Федерации об обязательных видах страхования и со страховым законодательством;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
  • для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия.

4.7. Оператор не осуществляет обработку биометрических ПДн.

4.8. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.

4.9.  Прекращение обработки и уничтожение персональных данных осуществляется:

-     по требованию субъекта прекратить обработку его персональных данных   в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

-     по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем персональных данных;

-     при выявлении неправомерной обработки персональных данных;

-     при отзыве согласия субъекта персональных данных   на обработку его персональных данных, за исключением случаев, предусмотренных Законом о персональных данных;

-     по требованию субъекта персональных данных прекратить обработку его ПДн, за исключением случаев, предусмотренных Законом о персональных данных;

-     при утрате необходимости в достижении целей обработки персональных данных;

-     по достижении целей обработки;

-     по истечении установленных сроков хранения персональных данных.

 

5. Порядок и условия обработки персональных данных: общие положения.

 

5.1. Обработка персональных данных осуществляется Оператором в целях, предусмотренных настоящим Положением и Приложением № 1 к нему.

5.2. В зависимости от конкретной цели обработки, персональные данные могут обрабатываться с использованием средств автоматизации или без их применения.

5.3. К действиям (операциям), совершаемым Оператором в отношении персональных данных, относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.4. Оператор вправе осуществлять обработку персональных данных посредством передачи информации по информационно-телекоммуникационным сетям, в том числе сети «Интернет», при соблюдении установленных законодательством Российской Федерации требований к обеспечению безопасности информации.

6. Сбор и получение персональных данных

6.1. Сбор персональных данных осуществляется непосредственно у субъекта персональных данных либо от его законного представителя, обладающего соответствующими полномочиями.

6.2. Обработка персональных данных допускается только при наличии предварительного согласия субъекта персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

6.3. Без согласия субъекта обработка персональных данных осуществляется в следующих случаях:

  • обработка необходима для достижения целей, установленных международным договором Российской Федерации или федеральным законом, для реализации возложенных на Оператора функций, полномочий и обязанностей;
  • обработка необходима для осуществления правосудия, исполнения судебного акта или акта иного органа, подлежащего исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в предоставлении государственных и муниципальных услуг в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
  • обработка необходима для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо для заключения договора по инициативе субъекта персональных данных;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно;
  • обработка персональных данных осуществляется в целях, предусмотренных федеральным законом, в том числе при обязательном раскрытии информации.

6.4. В случаях, когда получение персональных данных и (или) согласия на их обработку является обязательным в соответствии с законодательством Российской Федерации, Оператор информирует субъектов персональных данных о возможных правовых последствиях отказа предоставить персональные данные либо согласие на их обработку.

6.5. При необходимости получения персональных данных от третьих лиц Оператор предварительно уведомляет субъектов персональных данных и запрашивает их письменное согласие. В уведомлении указываются:

  • наименование и адрес третьего лица;
  • цели и правовое основание обработки;
  • перечень обрабатываемых персональных данных;
  • предполагаемые пользователи персональных данных;
  • права субъекта персональных данных;
  • источник получения персональных данных.

6.6. Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих его права и законные интересы, допускается на основании автоматизированной (в том числе смешанной) обработки персональных данных только при наличии письменного согласия субъекта персональных данных или в случаях, прямо установленных законодательством Российской Федерации.

6.7. Оператор вправе осуществлять обработку персональных данных в целях продвижения товаров, работ и услуг посредством прямых контактов с потенциальными потребителями, в том числе с использованием средств связи, при наличии согласия субъекта персональных данных.

7. Хранение и защита персональных данных

7.1. Хранение персональных данных осуществляется в информационных системах Оператора и (или) на бумажных носителях.

7.2. Документы, содержащие персональные данные, резервные копии и архивные носители размещаются в специально выделенных помещениях Оператора, доступ в которые предоставляется строго ограниченному кругу работников в соответствии с их должностными обязанностями.

7.3. Условия хранения персональных данных должны исключать возможность их утраты, искажения или неправомерного использования. Сроки хранения персональных данных в информационных системах соответствуют срокам хранения документов на бумажных носителях.

7.4. Все операции по обработке, оформлению и хранению персональных данных выполняются только сотрудниками, на которых возложены соответствующие обязанности в соответствии с их должностными регламентами.

7.5. Работник, имеющий доступ к персональным данным, обязан:

  • обеспечивать их сохранность и недопущение доступа к ним третьих лиц;
  • при временном отсутствии (отпуск, командировка и др.) передавать документы и носители, содержащие персональные данные, лицу, назначенному приказом Оператора для исполнения его обязанностей.

8. Передача персональных данных третьим лицам

8.1. Предоставление персональных данных государственным органам, органам местного самоуправления и иным уполномоченным организациям допускается только в случаях и на основаниях, установленных законодательством Российской Федерации.

8.2. Передача персональных данных между структурными подразделениями Оператора осуществляется исключительно между работниками, имеющими установленный доступ к персональным данным.

8.3. Персональные данные могут быть предоставлены представителю субъекта персональных данных при предъявлении документов, подтверждающих его полномочия и удостоверяющих личность.

8.4. Передача персональных данных третьим лицам осуществляется исключительно с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8.5. Передача персональных данных или поручение их обработки третьему лицу оформляется договором, предусматривающим обязательства по обеспечению конфиденциальности и безопасности персональных данных в соответствии с законодательством Российской Федерации.

8.6. При взаимодействии с третьими лицами, получающими доступ к персональным данным на основании договоров, Оператор передаёт только те сведения, которые необходимы для выполнения возложенных на таких лиц функций, работ или оказания услуг.

8.7. Трансграничная передача персональных данных Оператором не осуществляется.

9. Особенности обработки персональных данных на интернет-ресурсах Оператора

9.1. Оператор обеспечивает сбор, систематизацию, хранение и обновление персональных данных граждан Российской Федерации исключительно с использованием баз данных, расположенных на территории Российской Федерации.

9.2. На интернет-ресурсах Оператора могут использоваться файлы cookie и иные инструменты аналитики, внесённые в реестр российского программного обеспечения, для анализа использования сервисов и повышения качества обслуживания пользователей.

9.3. Файлы cookie представляют собой технические данные о действиях пользователей на сайте и содержат информацию, позволяющую адаптировать функционал сайта под предпочтения конкретного пользователя.

9.4. Цели использования файлов cookie включают:

  • предоставление доступа к персонализированным разделам сайта;
  • установление обратной связи с пользователем (включая уведомления, рассылку сообщений и обработку запросов);
  • обеспечение безопасности операций, предотвращение мошенничества;
  • подтверждение достоверности предоставленных пользователем данных;
  • информирование пользователя о статусе его заказов и обращений;
  • повышение эффективности технической поддержки;
  • направление уведомлений об обновлениях, новых продуктах и предложениях (при наличии согласия пользователя);
  • предоставление доступа к сервисам и функциям сайта;
  • проведение рекламных кампаний с согласия пользователя.

9.5. К информации, содержащейся в файлах cookie, относятся: идентификатор пользователя, IP-адрес, технические параметры устройства, тип и версия операционной системы, сведения о браузере, язык интерфейса, время доступа, геолокация, история посещений и иные обезличенные данные, не позволяющие установить личность пользователя.

9.6. Анализ и обработка данных, полученных посредством файлов cookie, осуществляются в анонимной форме с целью статистического анализа использования сервисов и улучшения их работы.

9.7. Пользователь вправе самостоятельно управлять параметрами использования файлов cookie в настройках своего браузера.

9.8. Файлы cookie подлежат уничтожению после достижения целей их обработки либо при утрате необходимости в их хранении.

9.9. Использование сайта Оператора и его сервисов означает согласие пользователя с настоящим Положением и предоставление персональных данных для обработки.

9.10. В случае несогласия с условиями обработки персональных данных пользователь обязан прекратить использование сайта.

9.11. Настоящее Положение распространяется только на официальные сайты Оператора. Оператор не несёт ответственности за обработку персональных данных на сторонних ресурсах, переход на которые осуществляется по внешним ссылкам.

9.12. На сайте Оператора используются системы веб-аналитики «Яндекс.Метрика» и «Calltouch» для анализа пользовательской активности и эффективности рекламных кампаний.

9.13. Обработка данных системами «Яндекс.Метрика» и «Calltouch» осуществляется в соответствии с их политиками конфиденциальности и условиями использования, опубликованными в сети «Интернет».

9.14. Системы веб-аналитики размещают файлы cookie в браузерах пользователей для идентификации повторных посещений сайта. Сведения, собранные с помощью этих файлов, передаются на серверы соответствующих сервисов для хранения и аналитической обработки.

10. Права и обязанности субъектов персональных данных и Оператора

10.1. Права субъектов персональных данных

10.1.1. Субъект персональных данных вправе свободно, по своей воле и в собственных интересах предоставлять Оператору согласие на обработку персональных данных в соответствии с требованиями законодательства Российской Федерации к форме и содержанию такого согласия.

10.1.2. Субъект персональных данных имеет право при личном обращении либо при направлении письменного запроса получить от Оператора информацию, касающуюся обработки его персональных данных, включая: подтверждение факта обработки персональных данных; правовые основания и цели обработки; применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), имеющих доступ к персональным данным или которым они могут быть раскрыты на основании договора либо федерального закона; перечень персональных данных, обрабатываемых в отношении соответствующего субъекта, и источник их получения (если иное не предусмотрено федеральным законом); сроки обработки персональных данных, включая сроки их хранения; порядок реализации субъектом персональных данных своих прав, установленных законодательством Российской Федерации; информацию о совершённой или планируемой трансграничной передаче персональных данных; наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена либо планируется к поручению.

Сведения, указанные выше, предоставляются субъекту персональных данных в доступной форме и не должны содержать информацию о других субъектах персональных данных, если только иное не предусмотрено федеральным законом.

Информация предоставляется уполномоченным должностным лицом Оператора в течение 10 (десяти) рабочих дней со дня получения запроса. В исключительных случаях срок может быть продлён не более чем на 5 (пять) рабочих дней при направлении субъекту персональных данных письменного уведомления с указанием причин продления.

10.1.3. Субъект персональных данных имеет право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными либо не соответствуют заявленным целям обработки.

10.1.4. Субъект персональных данных вправе в любое время отозвать ранее данное согласие на обработку персональных данных, включая согласие на получение информационных и (или) рекламных материалов.

10.1.5. Субъект персональных данных реализует и иные права, предусмотренные законодательством Российской Федерации в области защиты персональных данных.

10.2. Обязанности субъектов персональных данных

10.2.1. Субъекты персональных данных обязаны: предоставлять достоверную и актуальную информацию о себе, включая корректные контактные данные; своевременно уведомлять Оператора о необходимости внесения изменений, дополнений или уточнений в ранее предоставленные персональные данные; знакомиться с действующими редакциями локальных нормативных актов Оператора, регулирующих обработку и защиту персональных данных, включая настоящее Положение и иные внутренние документы, размещённые на официальных ресурсах Оператора.

10.3. Обязанности Оператора персональных данных

10.3.1. Оператор обязан: при сборе персональных данных, в том числе с использованием информационно-телекоммуникационных сетей, обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством Российской Федерации; при сборе персональных данных через сеть «Интернет» размещать на официальных ресурсах документ, определяющий политику Оператора в отношении обработки персональных данных, а также сведения о реализуемых мерах по их защите, обеспечивая свободный доступ к указанным сведениям; в случае обязательного предоставления персональных данных и (или) согласия на их обработку информировать субъектов персональных данных о юридических последствиях отказа предоставить персональные данные и (или) согласие; при получении персональных данных не от субъекта персональных данных до начала их обработки предоставить субъекту информацию, предусмотренную Федеральным законом «О персональных данных», за исключением случаев, установленных законодательством; обеспечивать рассмотрение запросов и обращений субъектов персональных данных, их представителей и контролирующих органов в установленные законодательством сроки; принимать необходимые правовые, организационные и технические меры, направленные на обеспечение выполнения требований законодательства Российской Федерации в области персональных данных; обеспечивать безопасность персональных данных при их обработке и предотвращение несанкционированного доступа; устранять выявленные нарушения законодательства Российской Федерации при обработке персональных данных, а также осуществлять уточнение, блокирование или уничтожение персональных данных в предусмотренных законом случаях; прекращать обработку персональных данных и (или) уничтожать их при отзыве субъектом персональных данных своего согласия, если дальнейшая обработка не допускается законом; взаимодействовать с уполномоченными государственными органами по вопросам, связанным с обработкой и защитой персональных данных.

10.4. Права Оператора персональных данных

10.4.1. Оператор вправе: осуществлять обработку персональных данных без получения согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации; передавать персональные данные субъектов персональных данных третьим лицам, государственным и муниципальным органам, государственным учреждениям, внебюджетным фондам и иным организациям при наличии соответствующих правовых оснований и соблюдении требований законодательства; отказывать субъекту персональных данных в предоставлении сведений о его персональных данных в случаях, прямо установленных Федеральным законом «О персональных данных»; самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации; устанавливать перечень правовых, организационных и технических мер по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения и иных неправомерных действий, исходя из результатов оценки актуальных угроз безопасности персональных данных; проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и при необходимости их корректировать; реализовывать иные права, предусмотренные законодательством Российской Федерации.

11. Порядок рассмотрения обращений субъектов персональных данных и корректировки (удаления, уничтожения) персональных данных

11.1. В соответствии со статьёй 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор по обращению субъекта персональных данных или его законного представителя предоставляет на безвозмездной основе сведения о наличии персональных данных, относящихся к соответствующему субъекту, а также обеспечивает возможность ознакомления с ними.

Порядок и сроки предоставления ответов на обращения субъектов персональных данных определяются в соответствии со статьёй 14 указанного Федерального закона.

 Оператор вправе отказать в предоставлении информации о персональных данных при наличии оснований, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ или иным федеральным законом. При этом субъекту персональных данных направляется мотивированный письменный ответ с указанием правового основания отказа.

11.2. Корректировка и уточнение персональных данных

11.2.1. В случае выявления неточных или неполных персональных данных при обращении субъекта персональных данных, его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование соответствующих данных на период проверки.

11.2.2. Если блокирование персональных данных может повлечь нарушение прав и законных интересов субъекта или третьих лиц, Оператор вправе принять иные меры по обеспечению защиты прав субъекта персональных данных.

11.2.3. При подтверждении факта неточности персональных данных Оператор, на основании предоставленных субъектом или уполномоченным органом сведений и документов, обязан уточнить персональные данные либо обеспечить их уточнение (если обработка осуществляется иным лицом по поручению Оператора) в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений, и снять блокировку данных.

11.3. Действия при выявлении неправомерной обработки персональных данных

11.3.1. В случае выявления неправомерной обработки персональных данных по обращению субъекта, его представителя или уполномоченного органа Оператор незамедлительно блокирует такие данные на период проверки.

11.3.2. Если устранение нарушений невозможно, Оператор обязан уничтожить неправомерно обрабатываемые персональные данные либо обеспечить их уничтожение в срок, не превышающий 10 (десяти) рабочих дней с момента выявления нарушения.

11.3.3. О факте устранения нарушений или уничтожения персональных данных Оператор уведомляет субъекта персональных данных, его представителя и, при необходимости, уполномоченный орган по защите прав субъектов персональных данных.

11.4. Действия при инцидентах, связанных с нарушением безопасности персональных данных

11.4.1. При выявлении факта неправомерной или случайной передачи (предоставления, распространения) персональных данных, повлекшего нарушение прав субъектов персональных данных, Оператор:

— в течение 24 часов уведомляет уполномоченный орган по защите прав субъектов персональных данных о происшествии, предполагаемых причинах, последствиях и предпринятых мерах, а также сообщает сведения о лице, уполномоченном на взаимодействие с указанным органом;

— в течение 72 часов направляет в уполномоченный орган сведения о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента (при наличии).

11.5. Прекращение обработки и уничтожение персональных данных

11.5.1. В случае обращения субъекта персональных данных с требованием прекратить обработку его данных в целях продвижения товаров, работ и услуг посредством прямых контактов, Оператор незамедлительно прекращает такую обработку.

11.5.2. В случае отзыва субъектом персональных данных согласия на обработку его данных Оператор прекращает обработку и уничтожает данные в срок, не превышающий 30 (тридцати) дней с даты получения отзыва, если иное не предусмотрено законодательством Российской Федерации, требованиями архивного хранения или условиями договора, стороной которого является субъект.

11.5.3. В случае обращения субъекта персональных данных с требованием о прекращении обработки его данных Оператор прекращает их обработку в срок, не превышающий 10 (десяти) рабочих дней, за исключением случаев, прямо предусмотренных законодательством.

11.5.4. При утрате необходимости в достижении целей обработки персональных данных Оператор уничтожает обрабатываемые данные в срок, не превышающий 30 (тридцати) дней, если иное не установлено законодательством.

11.5.5. По достижении целей обработки, по истечении сроков хранения персональных данных либо по окончании установленных сроков хранения документов, содержащих персональные данные, Оператор уничтожает соответствующие сведения в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

12. Обеспечение конфиденциальности и безопасности персональных данных. Обезличивание персональных данных.

12.1. Оператор обеспечивает защиту и сохранность персональных данных субъектов персональных данных (далее — Субъекты) при их обработке, предотвращая неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные неправомерные действия в отношении них.

12.2. Обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», нормативных правовых актов Российской Федерации, регулирующих вопросы обеспечения безопасности информации, а также внутренними локальными актами Оператора.

12.3. При обработке персональных данных Оператор принимает все необходимые правовые, организационные и технические меры, а также обеспечивает их реализацию и контроль, включая случаи, когда обработка осуществляется третьими лицами по поручению Оператора.

12.4. Основные меры обеспечения безопасности персональных данных

В целях защиты персональных данных, обрабатываемых в информационных системах персональных данных (далее — ИСПДн), Оператор осуществляет следующие мероприятия:

— определяет актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяет организационные и технические меры, соответствующие установленным уровням защищённости;

— применяет сертифицированные средства защиты информации, прошедшие процедуру оценки соответствия установленным требованиям безопасности информации;

— проводит оценку эффективности принимаемых и реализуемых мер по обеспечению безопасности персональных данных, в том числе до ввода ИСПДн в эксплуатацию;

— обеспечивает пропускной и внутриобъектовый режимы, управление доступом к персональным данным, техническим средствам их обработки и средствам защиты информации;

— ведёт учёт и регистрацию всех действий, совершаемых с персональными данными в ИСПДн, с фиксацией идентификаторов пользователей, времени и характера действий;

— осуществляет учёт технических средств и машинных носителей, используемых при обработке персональных данных;

— формирует и регулярно актуализирует перечень работников, допущенных к обработке персональных данных, в зависимости от выполняемых ими должностных обязанностей;

— реализует комплекс мер по предупреждению, обнаружению и устранению последствий несанкционированного доступа к персональным данным, включая противодействие компьютерным атакам и реагирование на инциденты информационной безопасности;

— обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие инцидентов безопасности;

— использует только разрешённое и лицензионное программное обеспечение, контролирует его установку, настройку и обновление;

— проводит постоянный мониторинг состояния защищённости ИСПДн и контроль эффективности принятых мер защиты.

12.5. Организационные и правовые меры обеспечения безопасности

 Оператор:

— утверждает локальные нормативные акты, регламентирующие порядок обработки и защиты персональных данных, порядок допуска работников, требования к паролям, резервному копированию и ведению журналов учёта;

— назначает ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;

— проводит внутренние проверки соблюдения требований законодательства и внутренних процедур, связанных с защитой персональных данных;

— организует обучение работников, допущенных к обработке персональных данных, по вопросам законодательства о защите персональных данных и обеспечения информационной безопасности;

— обеспечивает взаимодействие с уполномоченными государственными органами в случае инцидентов или нарушений в сфере персональных данных.

12.6. Оценка вреда и соразмерности мер защиты

12.6.1. При выборе и реализации мер по обеспечению безопасности персональных данных Оператор проводит оценку возможного вреда, который может быть причинён субъектам персональных данных в случае нарушения требований законодательства, а также соотношение между потенциальным вредом и применяемыми мерами защиты.

12.6.2. Принятые меры должны обеспечивать необходимый и достаточный уровень защиты персональных данных, соответствующий характеру и объёму обрабатываемых данных, целям их обработки и уровню актуальных угроз безопасности.

12.7. Обезличивание персональных данных

12.7.1. В целях обеспечения безопасности и защиты прав субъектов персональных данных Оператор осуществляет обезличивание персональных данных, то есть действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

12.7.2. Обезличивание персональных данных проводится в следующих случаях:

  • при обработке персональных данных для статистических, аналитических, исследовательских и иных целей, не требующих идентификации субъекта;
  • при передаче или предоставлении персональных данных третьим лицам, если достижение целей обработки возможно без идентификации субъекта;
  • при хранении персональных данных по истечении сроков, необходимых для достижения целей их обработки, если сохранение обезличенной информации требуется Оператору;
  • в иных случаях, установленных законодательством Российской Федерации.

12.7.3. При выполнении операций по обезличиванию персональных данных Оператор применяет правовые, организационные и технические меры, исключающие возможность восстановления личности субъекта персональных данных без использования специально сохранённой дополнительной информации (ключа обезличивания).

12.7.4. Информация, позволяющая восстановить персональные данные субъекта (ключ обезличивания), хранится отдельно от обезличенных данных, доступ к ней предоставляется только уполномоченным лицам Оператора при условии соблюдения ими требований конфиденциальности и режима безопасности информации.

12.7.5. Порядок обезличивания персональных данных, правила хранения и уничтожения ключей обезличивания, а также меры контроля за их использованием устанавливаются внутренними нормативными актами Оператора в области защиты персональных данных.

12.7.6. Оператор не допускает распространение или передачу обезличенных персональных данных, если в результате их последующей обработки может быть восстановлена личность субъекта персональных данных.

13. Внутренний контроль и ответственность за соблюдение требований законодательства в области персональных данных

13.1. Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации о защите персональных данных, настоящего Положения, Политики Оператора и иных локальных нормативных актов, регулирующих порядок обработки и защиты персональных данных.

13.2. Внутренний контроль осуществляется с целью:

  • проверки соблюдения установленных принципов и условий обработки персональных данных;
  • оценки эффективности применяемых мер по обеспечению безопасности персональных данных;
  • выявления и предотвращения нарушений законодательства и локальных актов Оператора;
  • своевременного принятия корректирующих мер и совершенствования системы защиты персональных данных.

13.3. Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, в порядке, установленном внутренними нормативными актами Оператора.

13.4. В рамках внутреннего контроля ответственное лицо:

  • проводит плановые и внеплановые проверки соблюдения установленных требований в структурных подразделениях Оператора;
  • обеспечивает документирование результатов проверок, подготовку отчетов и представление предложений руководству;
  • взаимодействует с уполномоченными государственными органами при проведении внешних проверок и расследований;
  • контролирует исполнение предписаний и корректирующих мер, выданных по результатам внутренних и внешних проверок.

13.5. При выявлении нарушений, связанных с обработкой персональных данных, Оператор обязан принять меры по их устранению в кратчайшие сроки и документально подтвердить их выполнение.

13.6. Ответственность за нарушение требований законодательства

13.6.1. Лица, допустившие нарушения требований законодательства Российской Федерации, настоящего Положения и иных локальных актов Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.

13.6.2. Меры ответственности применяются исходя из характера и степени тяжести совершённого нарушения, последствий для субъектов персональных данных и возможного ущерба, причинённого Оператору.

14. Заключительные положения

14.1.  Настоящее Положение вступает в силу с момента утверждения его Генеральным директором Оператора и действует бессрочно до принятия новой редакции или замены иным документом.

14.2. Оператор проводит пересмотр и актуализацию настоящего Положения по мере необходимости, в том числе:

  • при изменении порядка обработки персональных данных;
  • по результатам проверок уполномоченных органов, выявивших несоответствия требованиям законодательства Российской Федерации;
  • при изменении нормативных требований к обработке и защите персональных данных;
  • при выявлении существенных нарушений по результатам внутреннего контроля или аудита системы защиты персональных данных.

14.3. Субъекты персональных данных считаются ознакомленными и согласными с положениями действующей редакции настоящего Положения с момента начала или продолжения взаимодействия с Оператором.

14.4. Актуальная версия Положения размещается на официальных ресурсах Оператора или иным образом доводится до сведения всех заинтересованных лиц.

Приложение 1. Цели обработки персональных данных

ОАО ИскитимИзвесть