Конфиденциальность

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Положение   об   обработке   персональных   данных   (далее   —   Положение)   определяетусловия      и      порядок      обработки      персональных      данных,      которую      осуществляет ООО УО "СОДЕЙСТВИЕ" (далее — Оператор).

1.2. Положение     разработано     во     исполнение     Политики     в     отношении     обработкиперсональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федеральногозакона от 27 июля 2006 г. No 152-ФЗ «О персональных данных» (далее — ФЗ «О персональныхданных»), а также следующими нормативными правовыми актами:

— часть  вторая  Гражданского  Кодекса  Российской  Федерации  от  26  января  1996  г.  No 14-ФЗ(далее — часть вторая ГК РФ);

— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. No 197-ФЗ (далее — ТК РФ);— часть  первая  Налогового  Кодекса  Российской  Федерации  от  31  июля  1998  г.  No 146-ФЗ(далее — часть первая НК РФ);

— Федеральный  закон  «О  бухгалтерском  учёте»  от  6  декабря  2011  г.  No 402-ФЗ  (далее  —  ФЗ«О бухгалтерском учёте»);

— постановление  Правительства  Российской  Федерации  от  15  сентября  2008  г.  No 687  «Обутверждении      Положения      об      особенностях      обработки      персональных      данных,осуществляемой без использования средств автоматизации»;

— постановление  Правительства  Российской  Федерации  от  1  ноября  2012  г.  No 1119  «Обутверждении    требований    к    защите    персональных    данных    при    их    обработке    винформационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональныхданных»    и    принятыми    в    соответствии    с    ним    нормативными    правовыми    актами,Оператором  назначается  ответственный  за  организацию  обработки  персональных  данных(далее — Ответственный).

2.2. Ответственный обязан:— обеспечивать   утверждение,   приведение   в   действие,   а   также   обновление   в   случаенеобходимости  Политики,  Положения  и  иных  локальных  актов  по  вопросам  обработкиперсональных данных;

— обеспечить  неограниченный  доступ  к  Политике,  копия  которой  размещается  по  адресунахождения Оператора;

— проводить   оценку   эффективности   принимаемых   мер   по   обеспечению   безопасностиперсональных данных до ввода в эксплуатацию информационной системы Оператора;

— ежегодно    проводить    оценку    вреда,    который    может    быть    причинен    субъектамперсональных данных в случае нарушения ФЗ «О персональных данных»;

— ежегодно   осуществлять   внутренний   контроль   за   соблюдением   Оператором   и   егоработниками  законодательства  о  персональных  данных,  Политики,  Положения  и  иныхлокальных  актов  по  вопросам  обработки  персональных  данных,  в  том  числе  требований  кзащите персональных данных (далее — Нормативные акты);

— доводить  до  работников  под  роспись  положения  Нормативных  актов  при  заключениитрудового договора, а также по собственной инициативе;

— осуществлять    допуск    работников    к    персональным    данным,    обрабатываемым    винформационной  системе  Оператора,  а  также  к  их  материальным  носителям  только  длявыполнения трудовых обязанностей;

— организовывать  и  контролировать  приём  и  обработку  обращений  и  запросов  субъектовперсональных данных, обеспечивать осуществление их прав;

— обеспечивать  взаимодействие  с  уполномоченным  органом  по  защите  прав  субъектовперсональных данных (далее — Роскомнадзор).3. Обеспечение безопасности персональных данных3.1. Работники,   получившие   доступ   к   персональным   данным,   обязаны   не   раскрыватьтретьим  лицам  и  не  распространять  их  без  согласия  субъекта  персональных  данных,  еслииное не предусмотрено федеральным законом.

3.2. В   целях   защиты   персональных   данных   от   неправомерных   действий   (в   частности,неправомерного    или    случайного    доступа,    уничтожения,    изменения,    блокирования,копирования,    предоставления,    распространения)    Оператором    применяется    комплексправовых,     организационных     и     технических     мер     по     обеспечению     безопасностиперсональных данных, составляющий систему защиты персональных данных.

3.3. Применение   комплекса   мер   по   обеспечению   безопасности   персональных   данныхобеспечивает    установленный    уровень    защищенности    персональных    данных    при    ихобработке в информационной системе Оператора.

3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональныхданных»    и    принятыми    в    соответствии    с    ним    нормативными    правовыми    актами,Оператором    назначается    ответственный    за    обеспечение    безопасности    персональныхданных в информационной системе.

3.5. Ответственный за обеспечение безопасности персональных данных в информационнойсистеме обязан:

— ежегодно   выполнять   определение   угроз   безопасности   персональных   данных   при   ихобработке в информационной системе Оператора;

— обеспечивать    реализацию    организационных    и    технических    мер    по    обеспечениюбезопасности    персональных    данных    и    применение    средств    защиты    информации,необходимых для достижения установленного уровня защищенности персональных данныхпри обработке в информационной системе Оператора;

— устанавливать     правила     доступа     к     персональным     данным,     обрабатываемым     винформационной   системе   Оператора,   а   также   обеспечивать   регистрацию   и   учёт   всехдействий с ними;

— организовывать  обнаружение  фактов  несанкционированного  доступа  к  персональнымданным  и  принятие  мер  по  реагированию,  включая  восстановление  персональных  данных,модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— ежегодно  осуществлять  внутренний  контроль  за  обеспечением  установленного  уровнязащищённости    персональных    данных    при    обработке    в    информационной    системеОператора.

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее —Обращение)  Ответственный  обеспечивает  предоставление  субъекту  персональных  данныхинформации  о  наличии  относящихся  к  нему  персональных  данных,  а  также  возможностиознакомления с этими персональными данными в течение 30 дней с даты Обращения.

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональныхданных   информации   о   наличии   относящихся   к   нему   персональных   данных,   а   такжевозможности ознакомления с этими персональными данными Ответственный обеспечиваетнаправление субъекту персональных данных мотивированного ответа в письменной форме,содержащего  ссылку  на  положение  ч.  8  ст.  14  ФЗ  «О  персональных  данных»  или  иногофедерального  закона,  являющееся  основанием  для  такого  отказа,  в  течение  30  дней  с  датыОбращения.

4.3. При  предоставлении  субъектом  персональных  данных  сведений,  подтверждающих,  чтоего персональные данные, обрабатываемые Оператором, являются неполными, неточнымиили  неактуальными,  Ответственный  обеспечивает  внесение  необходимых  изменений  вперсональные данные в течение 7 рабочих дней с даты Обращения.

4.4. При  предоставлении  субъектом  персональных  данных  сведений,  подтверждающих,  чтоего персональные данные, обрабатываемые Оператором, являются незаконно полученнымиили    не    являются    необходимыми    для    заявленной    цели    обработки,    Ответственныйобеспечивает  уничтожение  таких  персональных  данные  в  течение  7  рабочих  дней  с  датыОбращения.

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенныхв   его   персональные   данные   изменениях   и   предпринятых   мерах,   а   также   принимаетразумные   меры   для   уведомления   третьих   лиц,   которым   персональные   данные   этогосубъекта были переданы.

4.6. В  случае  отзыва  субъектом  персональных  данных  согласия  на  их  обработку  она  можетбыть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст.11 ФЗ «О персональных данных».

5. Взаимодействие с Роскомнадзором

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актовв  отношении  обработки  персональных  данных  и  документов,  подтверждающих  принятиемер  по  выполнению  требований  ФЗ  «О  персональных  данных»,  в  течение  30  дней  с  датыполучения запроса.

5.2. По  требованию  Роскомнадзора  Ответственный  организует  уточнение,  блокированиеили уничтожение недостоверных или полученных незаконным путем персональных данныхв течение 30 дней с даты получения требования.

5.3. В   случаях,   предусмотренных   ст.   22   ФЗ   «О   персональных   данных»,   Ответственныйнаправляет     в     Роскомнадзор     уведомление     о     намерении     осуществлять     обработкуперсональных данных.

5.4. В  случае  необходимости  Ответственный  направляет  в  Роскомнадзор  обращения  повопросам обработки персональных данных, осуществляемой Оператором.

6. Ответственность за нарушение порядка обработки и обеспечениябезопасности персональных данных

6.1. В  случае  нарушения  работником  положений  законодательства  в  области  персональныхданных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой,административной и уголовной ответственности в порядке, установленном ТК РФ и инымифедеральными  законами,  в  соответствии  с  ч.  1  ст.  24  ФЗ  «О  персональных  данных»  и  ст.  90ТК РФ.

6.2. В  случае  разглашения  работником  персональных  данных,  ставших  ему  известными  всвязи  с  исполнением  его  трудовых  обязанностей,  трудовой  договор  с  ним  может  бытьрасторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.