Положение об обработке персональных данных

  1. Общие положения

1.1. Положение об обработке персональных данных (далее — Положение) издано и применяется в ООО «Студия Давыдова» далее — Общество) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Настоящее Положение определяет политику, порядок и условия Общества в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Целью обработки персональных данных является:

1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:

  1. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
  2. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Обработка организована Обществом на принципах:

1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.

1.6. Способы обработки персональных данных:

1.7. Категории персональных данных. В информационных системах Общества осуществляется обработка следующих категорий персональных данных:

  1. категория 1: персональные данные пользователей;

1.8. В соответствии с поставленными целями и задачами Общество до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или: заместителя руководителя Общества), именуемого далее «куратор ОПД».

1.8.1. Куратор ОПД получает указания непосредственно от исполнительного органа Общества и подотчетен ему.

1.8.2. Куратор вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.9. Настоящее Положение и изменения к нему утверждаются руководителем Общества и вводятся приказом Общества.

1.10. Сотрудники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Обществом графиками.

1.11. При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.12. Режим конфиденциальности персональных данных Общество обеспечивает в соответствии с Положением Общества о конфиденциальности.

1.13. Контроль за соблюдением сотрудниками Общества требований законодательства Российской Федерации и положений локальных актов Общества организован в соответствии с Положением о внутреннем контроле Общества при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

1.14. Аудит соблюдения Обществом требований законодательства Российской Федерации и положений локальных нормативных актов Общества организован в соответствии с Положением Общества об аудите при обработке персональных данных.

1.15. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Обществом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Обществом мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено в Положении о недопущении Обществом вреда при обработке персональных данных.

1.16. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Общество проводит в соответствии с Положением Общества о раскрытии информации.

1.17. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Общество до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

1.18. Общество обязано представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 (тридцати) дней.

1.19. Условия обработки персональных данных Обществом:

  1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общества функций, полномочий и обязанностей;
  3. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  4. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  5. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  6. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  7. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31.07.2020 N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
  8. обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  9. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  10. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
  11. обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в ст. ст. 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и Федеральным законом от 31.07.2020 N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
  12. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.20. Общество на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

1.21. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Общества.

1.22. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Обществом, осуществляется в рамках законодательства Российской Федерации.

2**. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ОБЩЕСТВА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ**

2.1. Обработку персональных данных организует Основное подразделение (название структурного подразделения) (далее — Служба ОПД).

2.2. Служба ОПД находится в непосредственном подчинении куратора ОПД.

2.3. Состав, уровень квалификации сотрудников, полномочия, функции, условия допуска сотрудников к персональным данным, порядок взаимодействия с другими структурными подразделениями Общества, ответственность Службы ОПД установлены в Положении о службе обработки персональных данных.

2.4. Служба ОПД под руководством куратора ОПД:

  1. доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  2. организует обработку персональных данных сотрудниками Общества;
  3. организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.5. Контроль за исполнением сотрудниками Общества требований законодательства Российской Федерации и положений локальных нормативных актов Общества при обработке персональных данных возложен на Основное подразделение (наименование структурного подразделения) (далее — Отдел внутреннего контроля).

2.6. Отдел внутреннего контроля:

  1. осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  2. контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.7. Обработка ПД также осуществляется:

автоматизированной системой управления персоналом (АСУП);

военно-учетным столом (ВУС);

подсистемой исполнения и контроля исполнения бюджета Общества в части ведения бухгалтерского учета и управления финансово-экономической деятельностью в модуле «Зарплата и Кадры»;

приложением «Автоматизированное рабочее место «Займы, кредиты, субсидии».

2.8. АСУП содержит ПД работников Общества и включает:

персональный идентификатор;

фамилию, имя, отчество субъекта персональных данных;

вид документа, удостоверяющего личность субъекта персональных данных;

серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;

адрес регистрации и адрес фактического проживания субъекта персональных данных;

почтовый адрес субъекта персональных данных;

контактный телефон, факс (при наличии) субъекта персональных данных;

адрес электронной почты субъекта персональных данных;

ИНН субъекта персональных данных;

номер страхового свидетельства обязательного пенсионного страхования.

2.9. Рабочее место с установленным ВУС (в целях учета и бронирования граждан, пребывающих в запасе) включает персональные данные гражданских служащих и работников центрального аппарата Общества, а также:

фамилию, имя, отчество;

вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;

дату и место рождения;

адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);

семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

сведения о трудовой деятельности;

телефон субъекта персональных данных;

сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

информацию о владении иностранными языками, степень владения;

сведения о предыдущих местах работы;

сведения о воинском учете и реквизиты документов воинского учета;

военно-учетную специальность;

воинское звание;

годность к военной службе, состав;

специальный учет (состоит или нет);

иные персональные данные, необходимые для формирования и ведения учетного дела военнообязанного.

2.10. Сотруднику Общества, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Общества в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Общества.

Информация может вноситься как в автоматическом режиме — при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме — при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

2.11. Обеспечение безопасности ПД, обрабатываемых в информационных системах Общества, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности:

определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах;

применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Общества, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

применение процедур оценки соответствия средств защиты информации;

оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;

учет машинных носителей ПД;

обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер;

восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к ПД, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах Общества;

контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем.

2.12. Служба ОПД обеспечивает:

своевременное обнаружение фактов несанкционированного доступа к ПД и немедленное доведение этой информации до ответственного за организацию обработки ПД;

недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;

восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

постоянный контроль за обеспечением уровня защищенности ПД;

соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД;

при обнаружении нарушений порядка предоставления ПД незамедлительное приостановление предоставления ПД пользователям информационной системы ПД до выявления причин нарушений и устранения этих причин;

разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей ПД, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищенности ПД, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.13. Служба ОПД принимает все необходимые меры по восстановлению ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

2.14. Обмен ПД при их обработке в информационных системах Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.15. Доступ сотрудников Общества к ПД, находящимся в информационных системах Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

2.16. В случае выявления нарушений порядка обработки ПД в информационных системах Общества уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОБЩЕСТВОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Общество обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации от 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Обществом не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.

3.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Службой ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя Общества сотрудником Службы ОПД.

3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.

3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Общества. При этом рабочее место сотрудника Общества, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.

3.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.

3.7.3. Для письменного согласия достаточно простой письменной формы.

Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Общество не докажет, что такое согласие было получено.

3.8. Общество обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3.10. Общество обязан устно, а по письменному требованию субъекта персональных данных или его представителя — письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

3.10.1. Текст устного разъяснения Общество составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.

3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.

3.11. Общество обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных:

Общество уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение 10 (десяти) дней.

3.12. Общество обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3.13. Общество в течение 10 (десяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.14. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Обществом с иностранным контрагентом.

  1. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Цель обработки персональных данных определяет директор Общества. Цель обработки ПД утверждается приказом Общества.

4.2. На основании заданной цели куратор ОПД определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Общества.

4.3. Куратор ОПД обязан:

организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Обществом, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;

доводить до сведения сотрудников Общества положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;

организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.

4.4. Куратор ОПД вправе:

иметь доступ к информации, касающейся порученной ему обработки ПД и включающей:

цели обработки ПД;

категории обрабатываемых ПД;

категории субъектов, персональные данные которых обрабатываются;

правовые основания обработки ПД;

перечень действий с персональными данными, общее описание используемых у Общества способов обработки ПД;

описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки ПД;

срок или условия прекращения обработки ПД;

сведения о наличии или об отсутствии трансграничной передачи ПД в процессе их обработки;

сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации;

привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Общества с возложением на них соответствующих обязанностей и закреплением ответственности.

4.5. В соответствии с целями, задачами, условиями Служба ОПД осуществляет сбор ПД по установленным процедурам.

4.6. Запись, систематизация ПД осуществляются только Службой ОПД во взаимодействии.

4.7. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) ПД осуществляются только Службой ОПД в порядке, установленном Положением о хранении персональных данных.

4.8. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Службой ОПД.

4.9. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Службой ОПД по следующей процедуре:

4.9.1. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее — описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).

4.9.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании центральной экспертной комиссии Общества (далее — «ЦЭК Общества») одновременно.

Описи и акты утверждаются заместителем руководителя Общества только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов Экспертной проверочной комиссией Государственного архива Российской Федерации.

4.9.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.

4.9.4. По окончании процедуры уничтожения структурным подразделением составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата, N)», заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.

4.9.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

  1. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОБЩЕСТВАМИ

ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

С ПРИМЕНЕНИЕМ СИСТЕМЫ ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ

5.1. На основании двух- и многосторонних соглашений Общество осуществляет обработку ПД в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее — СЭВ).

5.2. По согласованным регламентам Общество в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Службой ОПД.

5.3. По перечню, утвержденному приказом Общества, Служба ОПД в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.

5.4. Прекращение действия соглашения с другим Обществом является основанием для уничтожения Обществом обработанных в рамках такого соглашения ПД.

  1. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И СОТРУДНИКОВ ОБЩЕСТВА

6.1. Руководитель Общества:

6.2. Сотрудники Общества:

  1. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

7.1. Контроль за исполнением Положения возложен на Отдел внутреннего контроля.

7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 — 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).

7.3. Руководители структурных подразделений Общества несут персональную ответственность за исполнение обязанностей их подчиненными.