ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Положение об обработке персональных данных (далее — Положение) определяетусловия и порядок обработки персональных данных, которую осуществляет ООО УО "СОДЕЙСТВИЕ" (далее — Оператор).
1.2. Положение разработано во исполнение Политики в отношении обработкиперсональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федеральногозакона от 27 июля 2006 г. No 152-ФЗ «О персональных данных» (далее — ФЗ «О персональныхданных»), а также следующими нормативными правовыми актами:
— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. No 14-ФЗ(далее — часть вторая ГК РФ);
— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. No 197-ФЗ (далее — ТК РФ);— часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. No 146-ФЗ(далее — часть первая НК РФ);
— Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. No 402-ФЗ (далее — ФЗ«О бухгалтерском учёте»);
— постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Обутверждении Положения об особенностях обработки персональных данных,осуществляемой без использования средств автоматизации»;
— постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Обутверждении требований к защите персональных данных при их обработке винформационных системах персональных данных».
2. Организация обработки персональных данных
2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональныхданных» и принятыми в соответствии с ним нормативными правовыми актами,Оператором назначается ответственный за организацию обработки персональных данных(далее — Ответственный).
2.2. Ответственный обязан:— обеспечивать утверждение, приведение в действие, а также обновление в случаенеобходимости Политики, Положения и иных локальных актов по вопросам обработкиперсональных данных;
— обеспечить неограниченный доступ к Политике, копия которой размещается по адресунахождения Оператора;
— проводить оценку эффективности принимаемых мер по обеспечению безопасностиперсональных данных до ввода в эксплуатацию информационной системы Оператора;
— ежегодно проводить оценку вреда, который может быть причинен субъектамперсональных данных в случае нарушения ФЗ «О персональных данных»;
— ежегодно осуществлять внутренний контроль за соблюдением Оператором и егоработниками законодательства о персональных данных, Политики, Положения и иныхлокальных актов по вопросам обработки персональных данных, в том числе требований кзащите персональных данных (далее — Нормативные акты);
— доводить до работников под роспись положения Нормативных актов при заключениитрудового договора, а также по собственной инициативе;
— осуществлять допуск работников к персональным данным, обрабатываемым винформационной системе Оператора, а также к их материальным носителям только длявыполнения трудовых обязанностей;
— организовывать и контролировать приём и обработку обращений и запросов субъектовперсональных данных, обеспечивать осуществление их прав;
— обеспечивать взаимодействие с уполномоченным органом по защите прав субъектовперсональных данных (далее — Роскомнадзор).3. Обеспечение безопасности персональных данных3.1. Работники, получившие доступ к персональным данным, обязаны не раскрыватьтретьим лицам и не распространять их без согласия субъекта персональных данных, еслииное не предусмотрено федеральным законом.
3.2. В целях защиты персональных данных от неправомерных действий (в частности,неправомерного или случайного доступа, уничтожения, изменения, блокирования,копирования, предоставления, распространения) Оператором применяется комплексправовых, организационных и технических мер по обеспечению безопасностиперсональных данных, составляющий систему защиты персональных данных.
3.3. Применение комплекса мер по обеспечению безопасности персональных данныхобеспечивает установленный уровень защищенности персональных данных при ихобработке в информационной системе Оператора.
3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональныхданных» и принятыми в соответствии с ним нормативными правовыми актами,Оператором назначается ответственный за обеспечение безопасности персональныхданных в информационной системе.
3.5. Ответственный за обеспечение безопасности персональных данных в информационнойсистеме обязан:
— ежегодно выполнять определение угроз безопасности персональных данных при ихобработке в информационной системе Оператора;
— обеспечивать реализацию организационных и технических мер по обеспечениюбезопасности персональных данных и применение средств защиты информации,необходимых для достижения установленного уровня защищенности персональных данныхпри обработке в информационной системе Оператора;
— устанавливать правила доступа к персональным данным, обрабатываемым винформационной системе Оператора, а также обеспечивать регистрацию и учёт всехдействий с ними;
— организовывать обнаружение фактов несанкционированного доступа к персональнымданным и принятие мер по реагированию, включая восстановление персональных данных,модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— ежегодно осуществлять внутренний контроль за обеспечением установленного уровнязащищённости персональных данных при обработке в информационной системеОператора.
4. Осуществление прав субъектов персональных данных
4.1. При обращении субъекта персональных данных или при получении его запроса (далее —Обращение) Ответственный обеспечивает предоставление субъекту персональных данныхинформации о наличии относящихся к нему персональных данных, а также возможностиознакомления с этими персональными данными в течение 30 дней с даты Обращения.
4.2. При наличии законных оснований для отказа в предоставлении субъекту персональныхданных информации о наличии относящихся к нему персональных данных, а такжевозможности ознакомления с этими персональными данными Ответственный обеспечиваетнаправление субъекту персональных данных мотивированного ответа в письменной форме,содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иногофедерального закона, являющееся основанием для такого отказа, в течение 30 дней с датыОбращения.
4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, чтоего персональные данные, обрабатываемые Оператором, являются неполными, неточнымиили неактуальными, Ответственный обеспечивает внесение необходимых изменений вперсональные данные в течение 7 рабочих дней с даты Обращения.
4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, чтоего персональные данные, обрабатываемые Оператором, являются незаконно полученнымиили не являются необходимыми для заявленной цели обработки, Ответственныйобеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с датыОбращения.
4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенныхв его персональные данные изменениях и предпринятых мерах, а также принимаетразумные меры для уведомления третьих лиц, которым персональные данные этогосубъекта были переданы.
4.6. В случае отзыва субъектом персональных данных согласия на их обработку она можетбыть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст.11 ФЗ «О персональных данных».
5. Взаимодействие с Роскомнадзором
5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актовв отношении обработки персональных данных и документов, подтверждающих принятиемер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с датыполучения запроса.
5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокированиеили уничтожение недостоверных или полученных незаконным путем персональных данныхв течение 30 дней с даты получения требования.
5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственныйнаправляет в Роскомнадзор уведомление о намерении осуществлять обработкуперсональных данных.
5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения повопросам обработки персональных данных, осуществляемой Оператором.
6. Ответственность за нарушение порядка обработки и обеспечениябезопасности персональных данных
6.1. В случае нарушения работником положений законодательства в области персональныхданных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой,административной и уголовной ответственности в порядке, установленном ТК РФ и инымифедеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90ТК РФ.
6.2. В случае разглашения работником персональных данных, ставших ему известными всвязи с исполнением его трудовых обязанностей, трудовой договор с ним может бытьрасторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.