О защите персональных данных

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

в ООО «Цифровой километр»

1.В настоящем Положении используются следующие основные понятия:
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2. Актуальные угрозы – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, представление, распространение персональных данных, а также иные неправомерные действия.
1.3. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных (фото-, видеоизображение, цифровое изображение и иные изображения, полученные с помощью техническим средств и устройств).
1.4. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.5. Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
1.6.Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
1.7. Инцидент - выявление факта неправомерной или случайной утечки, утраты или раскрытия персональных данных.
1.8. Конфиденциальность персональных данных – обязательное для соблюдения работниками ООО «Цифровой километр» (далее - Оператор), получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
1.9. Материальные носители персональных данных – материальные объекты, используемые для закрепления и хранения на них информации, содержащей персональные данные.
1.10 Матрица доступа – таблица, отображающая правила доступа субъектов по встроенным (легальным) операциям с записями баз персональных данных (чтение, поиск, запись, удаление, сортировка, модификация), т.е. таблица, отображающая правила разграничения доступа.
1.11. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
1.12. Обработка персональных данных, осуществляемая без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, при которой такие действия как использование, уточнение, передача, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных, либо были извлечены из неё.
1.13. Общедоступные источники персональных данных – источники данных, которые могут создаваться оператором в целях информационного обеспечения (в том числе справочники, адресные книги, информационные стенды и т.д.), доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных или на которые в соответствие с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.14. Оператор – 191186, г. Санкт-Петербург, вн.тер.г. муниципальный округ Дворцовый округ, ул. Малая Конюшенная, д. 1-3, литера А, помещ. 6Н, офис 14в/1 (далее – ООО «Цифровой километр») самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.15. Персональные данные – информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
1.19 Персональные данные, разрешённые субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном законодательством о персональных данных.
1.17. Пользователь информационной системы персональных данных – лицо, получившее доступ к персональным данным и осуществляющее автоматизированную обработку персональных данных в информационной системе персональных данных для выполнения служебных обязанностей.
1.18. Представление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
1.19. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц, в том числе обнародование персональных данных работника в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работника каким-либо иным способом.
1.20. Субъект персональных данных:
1.20.1.Работник – физическое лицо, состоящее/ранее состоявшее в трудовых отношениях с Оператором.
1.20.2. Члены семей работников - в случаях, когда согласно законодательству сведения о них предоставляются работником.
1.20.3. Соискатель (кандидат) на должность – физическое лицо, предоставившее Оператору свои персональные данные с предложением заключения трудового договора.
1.20.4. Исполнитель – физическое лицо, заключившее договор гражданско-правового характера с Оператором.
1.20.5. Иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
1.22. Технологический процесс обработки – документ, содержащий описание последовательности взаимосвязанных действий, выполняющихся с момента возникновения исходных данных (персональных данных субъектов персональных данных) до получения требуемого результата, режим обработки персональных данных в целом и в отдельных компонентах системы.
1.23. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.24. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.25. Уполномоченное лицо – лицо, которому на основании договора/соглашения Оператор поручает обработку персональных данных.
1.26. Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), осуществляющая функцию обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных».
1.27. Частная модель угроз безопасности персональных данных – перечень актуальных угроз применительно к конкретным условиям функционирования информационной системы персональных данных.

1. Применяемые сокращения

АРМ - автоматизированное рабочее место;
ИСПДн - информационная система персональных данных;
ПДн - персональные данные;
Положение - Положение об обработке и защите персональных данных в ООО «Цифровой километр»;
РФ - Российская Федерация;
ТК РФ - Трудовой кодекс Российской Федерации;
ООО «ЦОБ» - ООО «Центр обслуживания бизнеса»;
ООО «ЦИТ» - ООО «Центр информационных технологий».

3. Общие положения

3.1. Настоящее Положение является локальным нормативным актом Оператора, разработанным в соответствии с:
- главой 14 ТК РФ;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями, внесёнными ФЗ РФ от 14.07.2022 № 266-ФЗ «О внесении изменений в ФЗ «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»);
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом Роскомнадзора от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона "О персональных данных";
- Приказом Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
3.2.Настоящее Положение разработано в целях:
- обеспечения защиты прав субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну;
- определения порядка обработки ПДн, осуществляемой без использования средств автоматизации и при их обработке в ИСПДн оператора;
- установления ответственности лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
3.3. Положение определяет основные понятия, состав ПДн, обрабатываемых оператором, основные условия проведения обработки, порядок передачи, хранения, уничтожения, доступа и защиты ПДн, права и обязанности субъекта ПДн, обязанности оператора, ответственность за нарушение норм, регулирующих особенности обработки и защиты ПДн.
3.4. Положение вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения.
3.5. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.

4. Цели обработки, субъекты и категории персональных данных

4.1. Цели обработки персональных данных, перечень обрабатываемых персональных данных, категории субъектов, персональные данных которых обрабатываются:
Цель обработки персональных данных
Ведение кадрового и бухгалтерского учёта
Категории и перечень персональных данных:
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,семейное положение,доходы,пол,адрес электронной почты,адрес места жительства,адрес регистрации,номер телефона,СНИЛС,ИНН,гражданство,данные документа, удостоверяющего личность,данные водительского удостоверения,данные документа, содержащиеся в свидетельстве о рождении,реквизиты банковской карты,номер расчетного счета,профессия,должность,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете,сведения об образовании, данные водительского удостоверения
Категории субъектов, персональные данные которых обрабатываются
Работники,Родственники работников,Уволенные работники;
Цель обработки персональных данных
Обеспечение соблюдения трудового законодательства РФ
Категории персональных данных:
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,семейное положение,доходы,пол,адрес места жительства,адрес регистрации,номер телефона,СНИЛС,ИНН,гражданство,данные документа, удостоверяющего личность,профессия,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете,сведения об образовании;
категории субъектов, персональные данные которых обрабатываются
Работники, уволенные работники
Цель обработки персональных данных
Обеспечение соблюдения налогового законодательства РФ
Категории персональных данных:
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,семейное положение,доходы,пол,адрес места жительства,адрес регистрации,номер телефона,ИНН,гражданство,данные документа, удостоверяющего личность,должность,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
категории субъектов, персональные данные которых обрабатываются
Работники,Контрагенты
Цель обработки персональных данных
Обеспечение соблюдения пенсионного законодательства РФ
категории персональных данных:
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,семейное положение,доходы,пол,адрес места жительства,адрес регистрации,номер телефона,СНИЛС,ИНН,гражданство,данные документа, удостоверяющего личность,профессия,должность,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете,сведения об образовании;
категории субъектов, персональные данные которых обрабатываются
Работники,Контрагенты;Уволенные работники
Цель обработки персональных данных
Подготовка, заключение и исполнение гражданско-правового договора
категории персональных данных
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,пол,адрес электронной почты,адрес места жительства,адрес регистрации,номер телефона,СНИЛС,ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты,номер расчетного счета
категории субъектов, персональные данные которых обрабатываются
Контрагенты; представители контрагентов
Цель обработки персональных данных
Подбор персонала (соискателей) на вакантные должности оператора
категории персональных данных
фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,семейное положение,пол,адрес электронной почты,номер телефона,гражданство,профессия,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),сведения об образовании
категории субъектов, персональные данные которых обрабатываются
Соискатели
Цель обработки персональных данных
Продвижение товаров, работ, услуг на рынке
категории персональных данных
Фамилия, имя, отчество, Номер телефона, Адрес электронной почты, должность
категории субъектов, персональные данные которых обрабатываются
Посетители сайта
Цель обработки персональных данных
Пользование мобильным приложением «Цифровой километр»
категории персональных данных
Фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, пол, номер телефона, адрес электронной почты
категории субъектов, персональные данные которых обрабатываются
Пользователи мобильного приложения «Цифровой километр», иные категории субъектов персональных данные, персональные данные которых обрабатываются
4.3.В ИСПДн Оператора обрабатываются следующие сведения, формируемые в целях исполнения трудового договора:
4.4.1пол;
4.4.2. число, месяц, год и место рождения;
4.4.3. сведения о гражданстве;
4.4.4. паспортные данные или данные иного документа, удостоверяющего личность и гражданство (серия, номер, дата выдачи, наименование органа, выдавшего документ);
4.4.5.индивидуальный номер налогоплательщика (ИНН);
4.4.6.номер страхового свидетельства государственного пенсионного страхования (СНИЛС);
4.4.7.реквизиты лицевого счета банковской карты;
4.4.8.адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
4.4.9.сведения о документах об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи, наименование и местонахождение образовательного учреждения);
4.4.10.сведения о документах воинского учёта военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет);
4.4.11.сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, ФИО супруга(и), степень родства, ФИО, даты рождения, место работы (учебы) других членов семьи, иждивенцев);
4.4.12.номер телефона (домашний), сотовый, адрес электронной почты и (или) сведения о других способах связи;
4.4.13 сведения об общем и страховом стаже;
4.4.14 биометрические персональные данные (фотоизображение; цифровое изображение и иные изображения, полученные с помощью технических средств и устройств);
4.4.15. содержание и реквизиты трудового договора;
4.4.16.профессия (должность);
4.4.17.табельный номер;
4.4.18.заработная плата, пособия, компенсации, дотации; сведения о временной нетрудоспособности.
4.6.Перечень носителей ПДн работников, состоящих в трудовых отношениях, и физических лиц, состоящих в гражданско-правовых отношениях с Оператором или иными организациями, которым Оператор оказывает услуги по заключенным договорам, приведен в приложениях А и Б.
4.7. Сведения, документы и носители ПДн являются конфиденциальными.
4.8. Работники, осуществляющие обработку ПДн, обеспечивают конфиденциальность ПДн и несут ответственность за недопущение их распространения без согласия субъекта ПДн, либо наличия иного законного основания.
4.9. Все меры конфиденциальности при сборе, обработке, передаче и хранении ПДн субъекта ПДн распространяются как на бумажные носители, так и на ПДн, обрабатываемые в ИСПДн.
4.10. Режим конфиденциальности ПДн субъекта ПДн снимается в случаях обезличивания или включения их в общедоступные источники ПДн, если иное не определено законодательством.

5.Права субъекта персональных данных

5.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые оператором способы обработки ПДн;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании законодательства РФ;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;
- наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- информацию о мерах, применяемых оператором для выполнения обязанностей, установленных Федеральным законом «О персональных данных»;
- иные сведения, предусмотренные настоящим Положением или Федеральным законом «О персональных данных».
5.2. Сведения, указанные в пункте 5.1. предоставляются субъекту ПДн или его представителю оператором в течение десяти рабочих дней с момента обращения. Указанный срок может быть продлён, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено, в случаях, предусмотренных п.8 ст.14 Федерального закона «О персональных данных».

6.Мероприятия по защите персональных данных

6.1. Без письменного согласия субъекта ПДн Оператор не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено Федеральным законом «О персональных данных».
6.2. Запрещено раскрытие и распространение ПДн субъектов ПДн по телефону.
6.3. В целях обеспечения реализации требований по защите ПДн приказом генерального директора назначается ответственный за организацию обработки ПДн.
6.4. Ответственный за организацию обработки ПДн обязан:
6.4.1. Уведомить Уполномоченный орган по защите прав субъектов ПДн об осуществлении обработки ПДн за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
6.4.2.В случае изменения сведений, содержащихся в ранее поданном уведомлении об обработке ПДн, уведомить об этом Уполномоченный орган по защите прав субъектов ПДн в течение 10 рабочих дней с даты возникновения таких изменений. Для этого направить в уполномоченный орган информационное письмо с указанием основания изменения сведений.
6.4.3.Организовать прием, обработку обращений и запросов работников или уполномоченного органа по защите прав субъектов ПДн и осуществлять контроль за приемом и обработкой таких запросов.
6.4.4. Организовать ознакомление под роспись всех лиц, допущенных к обработке ПДн, с положениями законодательства РФ, локальными нормативными актами по вопросам обработки и защиты ПДн и обучение указанных работников.
6.4.5. Обеспечить за счет средств оператора защиту ПДн работников от неправомерного их использования или утраты.
6.4.6. Организовать режим обеспечения безопасности для помещений, в которых обрабатываются ПДн, сохранности носителей ПДн и средств защиты информации, а также исключить возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
6.4.7. Определить оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных российским законодательством. Результаты оценки вреда оформляются актом оценки потенциального вреда субъектам персональных данных по форме приложения В.
6.4.8.Определять меры по обеспечению сохранности обрабатываемых ПДн, исключающие несанкционированный доступ к ним.
6.4.9.Организовать обеспечение технических мер безопасности обработки персональных данные, в том числе:
- обеспечить разработку и актуализацию технологического процесса обработки ПДн и схему расположения ИСПДн;
- обеспечить разработку частной модели угроз безопасности ИСПДн, выявляет на их основе актуальные угрозы ИСПДн и определяет уровень защищённости ПДн при их обработке в ИСПДн;
- обеспечить актуализацию частной модели угроз безопасности при изменении технических, эксплуатационных характеристик, видов угроз;
- обеспечить подготовку акт определения уровня защищённости ПДн по каждой ИСПДн по форме приложения З.
- обеспечить подготовку паспорта АРМ пользователей, допущенных к обработке ПДн и серверов баз данных, содержащих ПДн по форме приложения И;
- обеспечить разработку инструкции пользователей (работников, допущенных к обработке ПДн в ИСПДн) по обеспечению безопасности ПДн в ИСПДн, все пользователи должны быть ознакомлены под роспись;
- обеспечить определение перечня ИСПДн, в которых обрабатываются ПДн, по форме приложения К и утверждает его генеральным директором.
6.5. Оператор обеспечивает защиту каналов связи, по которым осуществляется обмен ПДн, путем реализации организационных мер и применения технических средств, а также предусматривает возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.6.Оператор использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
6.7. Работники Оператора, обрабатывающие ПДн, периодически проходят обучение требованиям законодательства в области ПДн.

7. Организация обработки персональных данных

7.1. Обработка и защита ПДн, содержащихся на бумажных носителях и в ИСПДн, осуществляется генеральным директором или работниками подразделений Оператора, должностными обязанностями которых предусмотрена обработка ПДн.
7.2. Перечень должностей работников, допущенных к обработке ПДн представлен в приложение Г настоящего Положения.
7.3.Лицо, ответственное за организацию обработки персональных данных:
- обеспечивает ознакомление новых работников с настоящим Положением;
- организует процесс ознакомления работников, допущенных к обработке ПДн с настоящим Положением и подписания обязательства о неразглашении ПДн субъектов ПДн;
- определяет перечень помещений, предназначенных для обработки ПДн, по форме приложения Е и утверждает генеральным директором;
- инициирует разработку и актуализацию, по мере необходимости, матрицы доступа к каждой ИСПДн по форме приложения Ж, которая утверждается генеральным директором;
- организует хранение и актуализацию документов по защите ПДн в деле, зарегистрированном в номенклатуре дел Оператора.

8 Получение и обработка персональных данных

8.1. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения ПДн, в том числе с помощью средств вычислительной техники.
8.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн у Оператора осуществляются посредством:
- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- создания документов, содержащих ПДн, на бумажных и электронных носителях;
- внесения ПДн в ИСПДн.
8.3. Работник Оператора получает ПДн непосредственно от субъекта ПДн при наличии письменного согласия по форме приложения Л.
8.4. При оформлении служебной командировки в ИСПДн субъект ПДн дает согласие на обработку его ПДн в целях оформления и приобретения проездных билетов (автобусных, авиа- и железнодорожных билетов), бронирования жилого помещения (гостиницы) согласно форме приложения М.
8.5. При получении ПДн, предполагающих их распространение неопределенному кругу лиц, необходимо получение отдельного согласия работника на обработку ПДн, разрешенных субъектом ПДн для распространения, согласно формам приложения Н. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
8.6. В согласии на обработку персональных данных, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц, за исключением случаев обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
8.7. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.
8.8. Согласие на обработку ПДн может быть отозвано субъектом ПДн. Ответственный за организацию работы с ПДн обязан разъяснить субъекту ПДн последствия отказа предоставления ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн, только при наличии оснований, установленных законодательством.
8.9. В случаях, когда ПДн субъекта ПДн возможно получить только у третьей стороны, субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
8.10. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн.
8.11. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч.2 ст.10 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных».
8.12. Согласие субъекта ПДн на обработку ПДн не требуется в следующих случаях:
− обработка ПДн осуществляется в целях исполнения трудового договора на основании ТК РФ или иного федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия работодателя;
−− при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
− обработка ПДн осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания ПДн;
− по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом, в том числе запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. Запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
8.13. В случае поступления запросов от третьих лиц, родственников, членов семьи субъекта ПДн, ответственный за организацию работы с ПДн обязан получить письменное согласие на передачу ПДн у субъекта ПДн и предупредить под роспись лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
8.14. В случае изменения информации, содержащей ПДн, субъект ПДн обязан в течение 5 рабочих дней с даты произошедших изменений предоставить ответственному за организацию работы с ПДн информацию об изменении данных и оригиналы документов.
8.15. Обработка ПДн осуществляется способом автоматизированной и неавтоматизированной обработки.
8.16. При обработке ПДн работник, допущенный к обработке ПДн, принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.17. В целях информационного обеспечения у Оператора создаются общедоступные источники ПДн субъектов ПДн. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться фамилия, имя, отчество, дата рождения, должность, номера контактных телефонов, адрес электронной почты, фотоизображение. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
8.18. В целях информационного обеспечения у Оператора создаются корпоративные источники информации. Информация о субъектах ПДн, содержащая их ПДн (фамилия, имя, отчество, должность, номера контактных телефонов, фотоизображение), могут размещаться в них только после получения письменного согласия субъектов ПДн на обработку ПДн для распространения. Сведения о субъекте ПДн должны быть в любое время исключены из корпоративных источников информации по требованию субъекта ПДн либо по решению суда или иных уполномоченных органов.
8.19. Ответственный за организацию работы с ПДн обеспечивает:
- получение согласия субъекта ПДн на обработку ПДн, разрешенных для распространения;
− размещение ПДн субъекта ПДн в корпоративных источниках информации в соответствии с полученными согласиями на распространение ПДн;
− своевременное удаление ПДн субъекта ПДн и хранение согласия в соответствии с настоящим положением.
8.20. Обработка биометрических ПДн допускается только при наличии письменного согласия субъекта ПДн. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Федерального закона «О персональных данных».
8.21. Оператор не осуществляет трансграничную передачу ПДн.