+7 985 068-00-00
Утверждено
Генеральный директор
Общества с ограниченной ответственностью «Сол-Ателье»
_______________
Ларикова Анна Александровна
Приказ № 37 от 15.10.2025
Положение об обработке и защите персональных данных
Общества с ограниченной ответственностью «Сол-Ателье»
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее – «Положение») издано и применяется обществом с ограниченной ответственностью «Сол-Ателье», ОГРН 1157746810242, ИНН 7704328200 (далее – «Оператор») в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – «ФЗ о персональных данных»).
1.2. Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации (далее – «РФ), устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные Положением, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
1.3. Целью обработки персональных данных является:
- обеспечение соблюдения трудового законодательства;
- обеспечение соблюдения налогового законодательства;
- ведение кадрового и бухгалтерского учета;
- продвижение товаров, работ, услуг Оператора;
- подготовка, заключение и исполнение гражданско-правовых договоров;
- сбор контактных данных для обратной связи с клиентами и посетителями сайта;
- использование технологии «cookies» для создания статистической отчетности, страндартных журналов учета веб-сервера для подсчета количества посетителей и оценки технических возможностей сайта Оператора.
1.4. Действие Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных фондов в соответствии с законодательством об архивном деле в РФ;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных ФЗ о персональных данных и Положением.
Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки; недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных; оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Способы обработки персональных данных:
- с использованием средств автоматизации:
- без использования средств автоматизации.
1.6. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих общей категорий персональных данных:
1.6.1. для цели обеспечения соблюдения трудового законодательства в отношении работников и уволенных работников: фамилия, имя, отчество субъекта персональных данных, год, месяц, дата и место его рождения, адрес регистрации, семейное положение, пол, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, профессия, должность, сведения о трудовой деятельности, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании;
1.6.2. для цели обеспечения соблюдения налогового законодательства в отношении работников, уволенных работников, выгодоприобретателей по договорам: фамилия, имя, отчество субъекта персональных данных, год, месяц, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты;
1.6.3. для цели ведения кадрового и бухгалтерского учета в отношении работников и уволенных работников: фамилия, имя, отчество субъекта персональных данных, год, месяц и дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, профессия, должность, сведения о трудовой деятельности, сведения об образовании;
1.6.4. для цели продвижения товаров, работ, услуг на рынке в отношении контрагентов, представителей контрагентов, клиентов, посетителей сайта, выгодоприобретателей по договорам: фамилия, имя, отчество субъекта персональных данных, год, месяц, дата рождения, пол, адрес электронной почты, адрес регистрации, номер телефона;
1.6.5. для цели подготовки, заключения и исполнения гражданско-правовых договоров: фамилия, имя, отчество субъекта персональных данных, дата рождения, адрес электронной почты, адрес регистрации, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета;
1.6.6. для цели сбора контактных данных для обратной связи с клиентами и посетителями сайта в отношении контрагентов, представителей контрагентов, клиентов, посетителей сайта, выгодоприобретателей по договорам: фамилия, имя, отчество субъекта персональных данных, год, месяц и дата рождения, место рождения, пол, адрес электронной почты, адрес регистрации, номер телефона;
1.6.7. для цели использования технологии «cookies» для создания статистической отчетности, стандартных журналов учета веб-сервера для подсчета количества посетителей и оценки технических возможностей сайта в отношении посетителей сайта: IP-адрес, данные о посещенных страницах, предпочтения и другая информация, связанная с действиями пользователя на сайте.
Оператор не осуществляет обработку: специальной категории персональных данных, указанных в ст. 10 ФЗ о персональных данных; биометрических персональных данных.
1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее "куратор ОПД".
1.7.1. Куратором ОПД назначается генеральный директор Оператора и подотчетен участнику Оператора.
1.7.2. Куратор ОПД вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 23 ФЗ о персональных данных, при возникновении обстоятельств, требующих такого уведомления. На момент принятия Положения Оператор осуществляет обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных на основании п. 8 ч. 2 ст. 22 ФЗ о персональных данных (ввиду осуществления деятельности по обработке персональных данных исключительно без использования средств автоматизации).
1.8. Положение и изменения к нему утверждаются приказом руководителя Оператора.
1.9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется генеральным директором.
1.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 ФЗ о персональных данных.
1.11. Режим конфиденциальности персональных данных Оператор обеспечивает путем реализации следующих мер:
(а) ограничение доступа к персональным данным, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
(б) учет лиц, получивших доступ к персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
(в) ознакомление сотрудников с положениями законодательства РФ о персональных данных;
(г) обработка персональных данных в соответствии с действующим законодательством.
1.12. Контроль за соблюдением сотрудниками Оператора требований законодательства РФ и положений локальных актов Оператора осуществляется путем проверки выполнения требований нормативных документов по защите информации, а также в оценки обоснованности и эффективности принятых мер. Он может проводиться специально созданной Оператором комиссией, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.13. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований ФЗ о персональных данных, определяется в соответствии со ст.ст. 15, 151, 152, Гражданского кодекса Российской Федерации (далее – «ГК РФ»). Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий.
1.14. Обеспечение неограниченного доступа к Положению путем его опубликования на принадлежащем Оператору сайте https://solatelier.ru и вывешивания в помещении Оператора.
1.15. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1. ФЗ о персональных и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1. ФЗ о персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 (тридцати) календарных дней, если более короткий срок не предусмотрен императивными нормами действующего законодательства РФ.
1.16. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 ФЗ о персональных данных, при условии предварительного согласия субъекта персональных данных;
10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
11) в иных случаях, предусмотренных законом.
1.17. Оператор на основании договора может поручить обработку персональных данных третьему лицу; существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ о персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ о персональных данных.
1.18. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляются путем:
(а) получения оригиналов необходимых документов (согласие, бланк-заказ, заявление, претензия и т.п.);
(б) заверения копий документов;
(в) внесение изменений в учетные формы (на бумажных и электронных носителях;
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно у субъектов персональных данных.
При сборе персональных данных уполномоченный сотрудник, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
1.19. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства РФ.
2. Организация обработки персональных данных
2.1. Обработку персональных данных организует Куратор ОПД.
2.2. Куратор ОПД:
1) доводит до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Контроль за исполнением сотрудниками Оператора требований законодательства РФ и положений локальных нормативных актов Оператора осуществляется Куратором ОПД путем:
1) осуществления внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) контроля приема и обработку обращений и запросов субъектов персональных данных или их представителей.
2.4. Обработка персональных данных также осуществляется в системе программного обеспечения для автоматизации бизнес-процессов «1С:Предприятие»: обработка персональных данных по категориям, указанным в пп. 1.6.1.-1.6.3., 1.6.5.; с использованием программного обеспечения YCLIENTS: обработка персональных данных по категориями, указанным в пп. 1.6.4., 1.6.6., 1.6.7. настоящего Положения.
2.5. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке.
Информация может вноситься как в автоматическом режиме – при уточнении, извлечении, использовании и передаче на машиночитаемом носителей информации, так и в ручном режиме – при получении информации на бумажном носителе или в ином виде, не позволяющему осуществлять ее автоматическую регистрацию.
2.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода их в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.7. Куратор ОПД обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.8. Куратор ОПД принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.9. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.9. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора Куратор ОПД незамедлительно принимает меры по установлению причин нарушений и их устранению.
2.1. Обработку персональных данных организует Куратор ОПД.
2.2. Куратор ОПД:
1) доводит до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Контроль за исполнением сотрудниками Оператора требований законодательства РФ и положений локальных нормативных актов Оператора осуществляется Куратором ОПД путем:
1) осуществления внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) контроля приема и обработку обращений и запросов субъектов персональных данных или их представителей.
2.4. Обработка персональных данных также осуществляется в системе программного обеспечения для автоматизации бизнес-процессов «1С:Предприятие»: обработка персональных данных по категориям, указанным в пп. 1.6.1.-1.6.3., 1.6.5.; с использованием программного обеспечения YCLIENTS: обработка персональных данных по категориями, указанным в пп. 1.6.4., 1.6.6., 1.6.7. настоящего Положения.
2.5. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке.
Информация может вноситься как в автоматическом режиме – при уточнении, извлечении, использовании и передаче на машиночитаемом носителей информации, так и в ручном режиме – при получении информации на бумажном носителе или в ином виде, не позволяющему осуществлять ее автоматическую регистрацию.
2.6. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода их в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.7. Куратор ОПД обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.8. Куратор ОПД принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.9. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.9. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора Куратор ОПД незамедлительно принимает меры по установлению причин нарушений и их устранению.
3. Порядок обеспечения Оператором прав субъекта персональных данных
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными ФЗ о персональных данных и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 ФЗ о персональных данных.
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст.ст. 185 и 185.1. ГК РФ. Копия доверенности представителя, отснятая Куратором ОПД (или назначенным им сотрудником) с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч.7 ст. 14 ФЗ о персональных данных, предоставляются субъекту персональных данных Куратором ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде или на бумаге, по выбору Оператора, за исключением случаев, когда требование субъекта персональных данных указывает на конкретный способ представления сведений.
3.5. Сведения, указанные в ч. 7 ст. 14 ФЗ о персональных предоставляются субъекту персональных данных или его уполномоченному представителю Куратором ОПД в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора / бланка-заказа, дата заключения договора/оформления бланка-заказа, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос направляется Оператору в письменной форме на бумажном носителе с собственноручной подписью субъекта персональных данных или его уполномоченного представителя регистрируемым отправлением с описью вложения через АО Почта России или вручается Оператору под роспись. К запросу, направляемому уполномоченным представителем субъекта персональных данных, прикладывается нотариально удостоверенная копия доверенности. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, субъекту персональных данных или его представителю тем путем, в которой было направлено / представлено соответствующие обращение либо запрос, если иное не указано в обращении или запросе: а именно при поступлении через АО Почта России – аналогичным типом отправления, при представлении под роспись – Оператор предоставляет сведения путем представления их в помещении Оператора для передачи лично субъекту персональных данных или его уполномоченному представителю при посещении ими помещения Оператора.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями производится с фиксацией соответствующим сотрудником Оператора разговора в порядке, предусмотренном для фиксации телефонограммы. В данной ситуации данные телефонограммы о полученном устном согласии являются надлежащими.
3.7.2. Для письменного согласия достаточно простой письменной формы. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 ФЗ о персональных данных.
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами РФ, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 ФЗ о персональных данных, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.14. Оператор не осуществляет трансграничную передачу персональных данных.
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными ФЗ о персональных данных и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 ФЗ о персональных данных.
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст.ст. 185 и 185.1. ГК РФ. Копия доверенности представителя, отснятая Куратором ОПД (или назначенным им сотрудником) с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч.7 ст. 14 ФЗ о персональных данных, предоставляются субъекту персональных данных Куратором ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде или на бумаге, по выбору Оператора, за исключением случаев, когда требование субъекта персональных данных указывает на конкретный способ представления сведений.
3.5. Сведения, указанные в ч. 7 ст. 14 ФЗ о персональных предоставляются субъекту персональных данных или его уполномоченному представителю Куратором ОПД в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора / бланка-заказа, дата заключения договора/оформления бланка-заказа, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос направляется Оператору в письменной форме на бумажном носителе с собственноручной подписью субъекта персональных данных или его уполномоченного представителя регистрируемым отправлением с описью вложения через АО Почта России или вручается Оператору под роспись. К запросу, направляемому уполномоченным представителем субъекта персональных данных, прикладывается нотариально удостоверенная копия доверенности. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, субъекту персональных данных или его представителю тем путем, в которой было направлено / представлено соответствующие обращение либо запрос, если иное не указано в обращении или запросе: а именно при поступлении через АО Почта России – аналогичным типом отправления, при представлении под роспись – Оператор предоставляет сведения путем представления их в помещении Оператора для передачи лично субъекту персональных данных или его уполномоченному представителю при посещении ими помещения Оператора.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями производится с фиксацией соответствующим сотрудником Оператора разговора в порядке, предусмотренном для фиксации телефонограммы. В данной ситуации данные телефонограммы о полученном устном согласии являются надлежащими.
3.7.2. Для письменного согласия достаточно простой письменной формы. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 ФЗ о персональных данных.
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами РФ, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 ФЗ о персональных данных, в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.14. Оператор не осуществляет трансграничную передачу персональных данных.
4. Порядок обработки персональных данных
4.1. Цель обработки персональных данных определяет генеральный директора Оператора. Цель обработки персональных данных утверждается приказом Оператора.
4.2. На основании заданной цели Куратор ОПД определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц.
4.3. Куратор ОПД обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства РФ в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Оператора положения законодательства РФ в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. Куратор ОПД вправе:
- иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных (при наличии нескольких);
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
- описание мер, предусмотренных ст.ст. 18.1. и 19 ФЗ о персональных данных , в том числе сведения о наличии (отсутствии) шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. В соответствии с целями, задачами, условиями Куратор ОПД осуществляет сбор персональных данных по следующим процедурам: внесение субъектом персональных данных информации в бланк-заказа и (или) в специальной форме на сайте Оператора, при наличии последней.
4.6. Запись, систематизация персональных данных осуществляются только Куратором ОПД во взаимодействии с назначенным им сотрудником.
4.7. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются только Куратором ОПД во взаимодействии с назначенным им сотрудником.
4.8. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только Куратором ОПД.
4.9. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Куратором ОПД по следующей процедуре:
4.9.1. Куратором ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.9.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании специально созданной комиссии Оператора (далее - "Комиссия ") одновременно.
4.9.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии Комиссии.
4.9.4. По окончании процедуры уничтожения составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп "Уничтожено. Акт (дата, N)", заверяется подписью членов Комиссии.
4.9.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5. Обязанности руководителя и сотрудников оператора
5.1. Руководитель Оператора:
- организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствоваших совершению нарушения.
5.2. Сотрудники Оператора:
- оказывают содействие Куратору ОПД в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Куратора ОПД сведения о предполагаемых нарушениях законодательства РФ, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
6. Контроль, ответственность за нарушение или неисполнение положения
6.1. Контроль за исполнением Положения возложен на Оператора ОПД.
6.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. 5.39, 13.11 – 13.14, 19.7, Кодекса РФ об административных правонарушениях) или уголовной ответственность (ст.ст. 137, 140, 272, 272.1. 274 Уголовного кодекса РФ).
6.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
7. Заключительные положения
7.1. В случае противоречия между положениями Положения и императивными нормами действующего законодательства, действуют императивные нормы действующего законодательства. Внесение изменений в действующее законодательства не прекращает действие Положения в целом.
5.1. Руководитель Оператора:
- организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствоваших совершению нарушения.
5.2. Сотрудники Оператора:
- оказывают содействие Куратору ОПД в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Куратора ОПД сведения о предполагаемых нарушениях законодательства РФ, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
6. Контроль, ответственность за нарушение или неисполнение положения
6.1. Контроль за исполнением Положения возложен на Оператора ОПД.
6.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. 5.39, 13.11 – 13.14, 19.7, Кодекса РФ об административных правонарушениях) или уголовной ответственность (ст.ст. 137, 140, 272, 272.1. 274 Уголовного кодекса РФ).
6.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
7. Заключительные положения
7.1. В случае противоречия между положениями Положения и императивными нормами действующего законодательства, действуют императивные нормы действующего законодательства. Внесение изменений в действующее законодательства не прекращает действие Положения в целом.
