Есть проект?

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее – Положение) издано и применяется Обществом с ограниченной ответственностью «СТОРИ ПОЙНТ» (далее – Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон).

Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

1.2. Целью обработки персональных данных является:

- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- осуществление своей деятельности в соответствии с уставом Оператора, в том числе заключение и исполнение сделок с контрагентами и договоров с работниками;

- соблюдение налогового, трудового и иного законодательства;

- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальными клиентами.

1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:

1.3.1. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

1.3.2. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом и настоящим Положением.

Обработка организована Оператором на принципах:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Способы обработки персональных данных:

- с использованием средств автоматизации;

- без использования средств автоматизации.

1.6. Оператор осуществляет обработку следующих категорий субъектов персональных данных:

1.6.1. работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

1.6.2. учредители (участники) Оператора; 

1.6.3. клиенты и контрагенты Оператора – физические лица;

1.6.4. представители или работники клиентов и контрагентов Оператора – юридических лиц.

1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или: заместителя руководителя Оператора), именуемого далее "куратор ОПД".

1.7.1. Куратор ОПД получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.

1.7.2. Куратор ОПД вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Закона.

1.8. Настоящее Положение и изменения к нему утверждаются приказом руководителя Оператора.

1.9. В зависимости от категорий субъектов персональных данных осуществляется обработка следующих персональных данных:

1.9.1. в отношении категории субъектов персональных данных, указанных в п. 1.6.1 Положения, обрабатываются следующие персональные данные:

•  фамилия, имя, отчество;

•  год рождения, месяц рождения, дата рождения, место рождения;

•  семейное положение, сведения, содержащиеся в актах гражданского состояния (в том числе сведения, содержащиеся в свидетельстве о рождении; сведения, содержащиеся в свидетельстве о браке; сведения, содержащиеся в свидетельстве о смерти, включая копии данных документов);

•  социальное положение, имущественное положение, доходы, финансовая информация о субъекте персональных данных (в том числе сведения о доходах, сведения о расходах, сведения о заработной плате, сведения о финансовых (кредитных) обязательствах, пол, сведения о здоровье);

•  адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона;

•  СНИЛС; 

•  ИНН;

•  гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации;

•  данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации;

•  фото- видеоизображение;

•  биографические данные, увлечения и хобби;

•  ссылка на аккаунт работника в социальных сетях, мессенджерах;

•  данные документа, содержащиеся в свидетельстве о рождении;

•  реквизиты разрешения на работу, патента, вида на жительство, разрешения на временное проживание (включая копии разрешения на работу, патента, вида на жительство, разрешения на временное проживание);

•  реквизиты банковской карты, номер расчетного счета, номер лицевого счета;

•  профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

•  отношение к воинской обязанности, сведения о воинском учете;

•  сведения об образовании, включая сведения о наличии специальных знаний или подготовки, сведения о профессиональной переподготовке и повышении квалификации, сведения об ученой степени;

•  сведения для миграционного учета;

•  сведения о донорстве;

•  сведения о беременности женщины;

•  сведения о необходимости ухода за больным членом семьи;

•  табельный номер;

•  информация, содержащаяся в должностной инструкции;

•  сведения об отношении к государственной (муниципальной, военной) службе;

•  сведения о возможности выполнения трудовых функций в конкретных условиях труда (в случаях, предусмотренных законодательством);

•  сведения о полисе добровольного медицинского страхования;

•  сведения о детях-инвалидах;

•  сведения о наградах, медалях, поощрениях, почетных званиях; сведения о текущем статусе работника (действующий/в отпуске/уволен);

•  категория инвалидности и данные заключения МСЭК;

•  сведения, содержащиеся в водительском удостоверении;

•  сведения о транспортном средстве (в том числе сведения, содержащиеся в ПТС, СТС, марка автомобиля, государственный регистрационный знак ТС).

1.9.2. в отношении категории субъектов персональных данных, указанных в п. 1.6.2 Положения, обрабатываются следующие персональные данные:

•  фамилия, имя, отчество;

•  год, месяц, дата рождения;

•  адрес по месту регистрации;

•  контактная информация (номер телефона, адрес электронной почты);

•  данные документа, удостоверяющего личность (гражданство, серия и номер паспорта, дата и место выдачи, код подразделения, адрес по месту регистрации, дата рождения);

•  семейное положение;

•  СНИЛС;

•  ИНН.

1.9.3. в отношении категории субъектов персональных данных, указанных в п.п. 1.6.3, 1.6.4 Положения, обрабатываются следующие персональные данные:

•  фамилия, имя, отчество;

•  год, месяц, дата рождения;

•  адрес по месту регистрации;

•  место работы, должность;

•  контактная информация (номер телефона, адрес электронной почты, адрес места работы, рабочее время);

•  данные документа, удостоверяющего личность (гражданство, серия и номер паспорта, дата и место выдачи, код подразделения, адрес по месту регистрации, дата рождения);

•  СНИЛС;

•  ИНН.

1.10. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется руководителем Оператора в соответствии с утвержденными Оператором графиками.

1.11. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона.

1.12. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.

1.13. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

1.14. Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора организован в соответствии с действующим законодательством.

1.15. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Закона, определяется в соответствии со ст.ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, определяется в соответствии с действующим законодательством.

1.16. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор осуществляет на своих Интернет-ресурсах, в том числе на веб-сайте, расположенном по адресу: https://story-point.ru/personal_data_policy.

1.17. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.

1.18. В случае осуществления субъектом персональных данных любой категории доступа на веб-сайт Оператора обрабатываются следующие персональные данные:

1.18.1. технические cookies – это файлы cookie, необходимые для того, чтобы субъект персональных данных мог пользоваться веб-сайтом и использовать его функции. Их нельзя отключить. Они устанавливаются в ответ на запросы субъекта персональных данных, такие как настройка параметров конфиденциальности, вход в систему или заполнение форм;

1.18.2. аналитические cookies – это файлы cookie, собирающие информацию, которая помогает Оператору понять, как используются его веб-сайты или насколько эффективны маркетинговые кампании.

1.19. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Закона, и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Закона, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 10 (десяти) рабочих дней. 

1.20. Условия обработки персональных данных Оператором:

1.20.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

1.20.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

1.20.3. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

1.20.4. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

1.20.5. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

1.20.6. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

1.20.7. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

1.20.8. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

1.20.9. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

1.20.10. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Закона, при условии обязательного обезличивания персональных данных;

1.20.11. обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных действующим законодательством;

1.20.12. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.21. Оператором не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

1.22. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

1.23. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом.

1.24. Хранение персональных данных осуществляется в порядке, предусмотренном Положением о хранении персональных данных у Оператора.

1.25. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. Обеспечение обработки и безопасности персональных данных

2.1. Обработку персональных данных организует куратор ОПД, который: 

2.1.1. доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

2.1.2. организует обработку персональных данных сотрудниками Оператора;

2.1.3. организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.2. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на куратора ОПД.

2.3. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.

Информация может вноситься как в автоматическом режиме – при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме – при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

2.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

- учет машинных носителей персональных данных;

- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;

- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

2.5. Куратор ОПД обеспечивает:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководителя Оператора;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.6. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.7. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

2.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. Порядок обеспечения Оператором прав субъекта персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Законом и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Закона.
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст.ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 N 4462-1). Копия доверенности представителя хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет – не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 14 Закона, предоставляются субъекту персональных данных Оператором в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя Оператора сотрудником.
3.5. Сведения, указанные в ч. 7 ст. 14 Закона, предоставляются субъекту персональных данных или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его уполномоченного представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.8. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.8.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.8.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.9. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Закона, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
3.10. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.11. Оператор в течение 10 (десяти) рабочих дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Формы уведомлений, предусмотренных ч. 1, 4.1 и 7 ст. 22 Закона, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

3.12. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Оператором с иностранным контрагентом.

4. Порядок обработки и уничтожения персональных данных

4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.3. Оператор при обработке персональных данных обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. Куратор ОПД вправе иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
- описание мер, предусмотренных ст.ст. 18.1 и 19 Закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
Также куратор ОПД вправе привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только куратором ОПД.
4.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
4.7. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
4.8. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
4.9. Оператор прекращает обработку персональных данных в следующих случаях:
•  выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;
•  достигнута цель их обработки;
•  истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону обработка этих данных допускается только с согласия.
4.10. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только куратором ОПД по следующей процедуре:
4.10.1. Ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее – описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.10.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются куратором ОПД одновременно.
4.10.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются.
4.10.4. По окончании процедуры уничтожения куратором ОПД составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата, N)», заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.
4.10.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. Взаимодействие с другими операторами при обработке персональных данных с применением системы электронного взаимодействия

5.1. На основании двух- и многосторонних соглашений Оператор осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
5.2. По согласованным регламентам Оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую обрабатываемые персональные данные субъектов.
5.3. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения персональных данных.

6. Обязанности руководителя и сотрудников Оператора

6.1. Руководитель Оператора:
- оказывает содействие куратору ОПД в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Оператора:
- оказывают содействие куратору ОПД в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.

7. Контроль, ответственность за нарушение или неисполнение положения

7.1. Контроль за исполнением Положения возложен на руководителя Оператора.
7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст.ст. 5.39, 13.11 – 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст.ст. 137, 140, 272, 272.1, 274 Уголовного кодекса Российской Федерации).
7.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.