Связаться с нами
Положение об обработке персональных данных
1. Общие положения
1.1. Настоящее Положение (далее — «Положение») разработано в соответствии с Конституцией Р Ф, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — «Закон о ПД»), Трудовым кодексом РФ и иным применимым законодательством и является локальным нормативным актом ООО «Наука» (далее — «Организация»), определяющим политику Организации в области обработки и защиты персональных данных (далее — «ПД»), оператором которых является Организация, включая персональные данные работников Организации.
1.2. Положение разработано в целях реализации требований законодательства в области обработки и защиты ПД и обеспечения защиты прав и свобод человека и гражданина при обработке его ПД в Организации.
1.2. Положение разработано в целях реализации требований законодательства в области обработки и защиты ПД и обеспечения защиты прав и свобод человека и гражданина при обработке его ПД в Организации.
1.3. В настоящем Положении используются следующие понятия:
1.3.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
1.3.2. обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с ПД с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
1.3.3. автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники.
1.3.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
1.3.2. обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с ПД с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
1.3.3. автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники.
1.4. Иные термины, используемые в настоящем Положении, имеют значения, предусмотренные Законом о ПД и иным применимым законодательством, если настоящим Положением прямо не предусмотрено иное.
1.5. Организация вправе:
1.5.1. обрабатывать ПД только в случаях и порядке, установленных законом;
1.5.2. поручить обработку ПД другому лицу с согласия субъекта ПД, с соблюдением требований, установленных законом;
1.5.3. реализовывать иные права, предоставленные законом.
1.5.1. обрабатывать ПД только в случаях и порядке, установленных законом;
1.5.2. поручить обработку ПД другому лицу с согласия субъекта ПД, с соблюдением требований, установленных законом;
1.5.3. реализовывать иные права, предоставленные законом.
1.6. Субъект ПД вправе:
1.6.1. свободно, своей волей и в своем интересе давать согласие на обработку ПД;
1.6.2. в любое время отозвать согласие на обработку своих ПД;
1.6.3. получать полную информацию о своих ПД и их обработке, свободный доступ к своим ПД;
1.6.4. требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.6.5. реализовывать иные права, предоставленные законом.
1.6.1. свободно, своей волей и в своем интересе давать согласие на обработку ПД;
1.6.2. в любое время отозвать согласие на обработку своих ПД;
1.6.3. получать полную информацию о своих ПД и их обработке, свободный доступ к своим ПД;
1.6.4. требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.6.5. реализовывать иные права, предоставленные законом.
1.7. Организация обязана:
1.7.1. обеспечить строгое соблюдение законодательства в области обработки ПД;
1.7.2. не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом;
1.7.3. в случае отзыва субъектом ПД согласия на обработку его ПД прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД или законом;
1.7.4. исполнять иные обязанности, предусмотренные законом.
1.7.1. обеспечить строгое соблюдение законодательства в области обработки ПД;
1.7.2. не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом;
1.7.3. в случае отзыва субъектом ПД согласия на обработку его ПД прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД или законом;
1.7.4. исполнять иные обязанности, предусмотренные законом.
1.8. Субъект ПД обязан:
1.8.1. предоставлять Организации при приеме на работу в Организацию документы и информацию, содержащие достоверные ПД, перечень которых установлен Трудовым кодексом РФ и иным применимым законодательством;
1.8.2. сообщать Организации (работодателю) об изменении ранее предоставленных ПД в течение 5 (пяти) рабочих дней с момента наступления такого изменения, с предоставлением в необходимых случаях подтверждающих изменения документов;
1.8.3. исполнять иные обязанности, предусмотренные законом.
1.8.1. предоставлять Организации при приеме на работу в Организацию документы и информацию, содержащие достоверные ПД, перечень которых установлен Трудовым кодексом РФ и иным применимым законодательством;
1.8.2. сообщать Организации (работодателю) об изменении ранее предоставленных ПД в течение 5 (пяти) рабочих дней с момента наступления такого изменения, с предоставлением в необходимых случаях подтверждающих изменения документов;
1.8.3. исполнять иные обязанности, предусмотренные законом.
2. Цели обработки ПД в Организации
2.1. Обработка П Д должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями их обработки.
2.2. Организация вправе обрабатывать ПД, в частности, в следующих целях:
2.2.1. обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, личную безопасность;
2.2.2. реклама, продвижение товаров, работ, услуг, программ для ЭВМ и мобильных приложений Организации на рынке, в том числе с использованием сети Интернет, мобильных приложений, с привлечением третьих лиц в качестве рекламораспространителей;
2.2.3. заключение, изменение, исполнение, расторжение гражданско-правовых договоров с контрагентами Организации, в том числе с использованием сайта в сети Интернет, мобильных приложений;
2.2.4. поиск и подбор сотрудников, прием их на работу в Организацию;
2.2.5. заключение, изменение, исполнение, расторжение трудовых договоров, в т. ч. содействие в получении образования, продвижении по службе, получении предусмотренных законом налоговых вычетов и иных гарантий;
2.2.6. ведение коммерческой деятельности, достижение уставных целей деятельности Организации;
2.2.7. идентификация пользователя внутренней информационной системы, системы электронного документооборота Организации, Интернет-сайта, мобильного приложения Организации;
2.2.8. улучшение качества работы Интернет-сайтов, программ для ЭВМ, мобильных приложений Организации, предоставление консультаций и технической поддержки пользователям;
2.2.9. проведение статистических и иных исследований, в т. ч. исследований рынка товаров, работ, услуг, рынка труда, исследований в области информационных технологий, автоматизации бизнес-процессов;
2.2.10. обеспечение функционирования корпоративной системы электронного документооборота в Организации;
2.2.11. обеспечение взаимодействия работников Организации друг с другом;
2.2.12. обеспечение бизнес-процессов Организации, в том числе в ее информационных системах;
2.2.13. контроль количества и качества выполняемой сотрудниками Организации работы;
2.2.14. организация пропускного режима в подразделениях Организации, в т. ч. с использованием специализированного программного обеспечения для автоматизированного контроля доступа в помещения;
2.2.15. ведение бухгалтерского учета;
2.2.16. подача отчетности в уполномоченные государственные органы;
2.2.17. ведение кадрового делопроизводства;
2.2.18. иные цели, не противоречащие законодательству.
2.2.1. обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, личную безопасность;
2.2.2. реклама, продвижение товаров, работ, услуг, программ для ЭВМ и мобильных приложений Организации на рынке, в том числе с использованием сети Интернет, мобильных приложений, с привлечением третьих лиц в качестве рекламораспространителей;
2.2.3. заключение, изменение, исполнение, расторжение гражданско-правовых договоров с контрагентами Организации, в том числе с использованием сайта в сети Интернет, мобильных приложений;
2.2.4. поиск и подбор сотрудников, прием их на работу в Организацию;
2.2.5. заключение, изменение, исполнение, расторжение трудовых договоров, в т. ч. содействие в получении образования, продвижении по службе, получении предусмотренных законом налоговых вычетов и иных гарантий;
2.2.6. ведение коммерческой деятельности, достижение уставных целей деятельности Организации;
2.2.7. идентификация пользователя внутренней информационной системы, системы электронного документооборота Организации, Интернет-сайта, мобильного приложения Организации;
2.2.8. улучшение качества работы Интернет-сайтов, программ для ЭВМ, мобильных приложений Организации, предоставление консультаций и технической поддержки пользователям;
2.2.9. проведение статистических и иных исследований, в т. ч. исследований рынка товаров, работ, услуг, рынка труда, исследований в области информационных технологий, автоматизации бизнес-процессов;
2.2.10. обеспечение функционирования корпоративной системы электронного документооборота в Организации;
2.2.11. обеспечение взаимодействия работников Организации друг с другом;
2.2.12. обеспечение бизнес-процессов Организации, в том числе в ее информационных системах;
2.2.13. контроль количества и качества выполняемой сотрудниками Организации работы;
2.2.14. организация пропускного режима в подразделениях Организации, в т. ч. с использованием специализированного программного обеспечения для автоматизированного контроля доступа в помещения;
2.2.15. ведение бухгалтерского учета;
2.2.16. подача отчетности в уполномоченные государственные органы;
2.2.17. ведение кадрового делопроизводства;
2.2.18. иные цели, не противоречащие законодательству.
3. Правовые основания обработки ПД
3.1. Правовыми основаниями обработки ПД являются правовые акты, во исполнение которых и в соответствии с которыми Организация осуществляет обработку ПД, в том числе:
3.1.1. Трудовой кодекс РФ;
3.1.2. Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.3. Устав Организации;
3.1.4. трудовые и гражданско-правовые договоры, стороной которых является Организация;
3.1.5. согласие субъекта ПД на обработку его ПД;
3.1.6. локальные нормативные акты Организации;
3.1.7. иные применимые правовые акты.
3.1.1. Трудовой кодекс РФ;
3.1.2. Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.3. Устав Организации;
3.1.4. трудовые и гражданско-правовые договоры, стороной которых является Организация;
3.1.5. согласие субъекта ПД на обработку его ПД;
3.1.6. локальные нормативные акты Организации;
3.1.7. иные применимые правовые акты.
4. Объем и категории обрабатываемых ПД. Категории субъектов ПД
4.1. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые П Д не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. К категориям субъектов ПД, обработка ПД которых может осуществляться в Организации, относятся, в том числе:
4.2.1. работники, бывшие работники Организации, кандидаты на замещение вакантных должностей;
4.2.2. клиенты и контрагенты Организации, их представители, в т. ч. посетители сайта Организации в информационно-коммуникационной сети Интернет;
4.2.3. пользователи программ для ЭВМ, в т. ч. мобильных приложений, разрабатываемых Организацией.
4.3. В отношении работников (бывших работников), кандидатов на замещение вакантных должностей могут обрабатываться ПД, которые были предоставлены Организации работником (кандидатом на замещение вакантной должности) в силу требований действующего законодательства или по собственной инициативе, в том числе:
4.3.1. фамилия, имя, отчество (при наличии) (в том числе прежние фамилия, имя и отчество (при наличии) в случае их изменения, сведения о том, когда, где и по какой причине они изменялись);
4.3.2. дата рождения;
4.3.3. место рождения;
4.3.4. пол;
4.3.5. данные документа, удостоверяющего личность (вид, серия, номер документа, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
4.3.6. фотография;
4.3.7. сведения о гражданстве;
4.3.8. адрес и дата регистрации по месту жительства (месту пребывания);
4.3.9. адрес фактического проживания;
4.3.10. сведения о семейном положении, наличии детей;
4.3.11. реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
4.3.12. сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация, ученая степень, ученое звание (дата присвоения, реквизиты диплома, удостоверения, аттестата);
4.3.13. сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения;
4.3.14. сведения об аттестации;
4.3.15. сведения о владении иностранными языками и языками народов РФ;
4.3.16. сведения, содержащиеся в трудовых книжках, в т. ч. сведения о трудовой деятельности (стаже работы);
4.3.17. реквизиты страхового свидетельства обязательного пенсионного страхования (СНИЛС), содержащиеся в нем сведения;
4.3.18. идентификационный номер налогоплательщика;
4.3.19. реквизиты страхового медицинского полиса добровольного медицинского страхования (при наличии);
4.3.20. сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
4.3.21. сведения о наличии (отсутствии) судимости;
4.3.22. номера контактных телефонов;
4.3.23. адреса электронной почты (корпоративной, личной);
4.3.24. сведения об инвалидности, сроке действия установленной инвалидности;
4.3.25. сведения о банковском счете для выплаты заработной платы, финансовом положении;
4.3.26. данные, необходимые для использования работником электронной подписи, ключ и сертификат которой выдаются работнику Организацией-работодателем (только в отношении работников Организации);
4.3.27. иные сведения, которые субъект ПД пожелал сообщить о себе, при наличии соответствующих правовых оснований.
4.4. Организация вправе с письменного согласия субъекта ПД (работника, кандидата на замещение вакантной должности) обрабатывать биометрические ПД, а именно: фотографии указанных субъектов ПД, для целей контроля за доступом в помещения, размещения фотографии работника на Интернет-сайте Организации и (или) во внутренней информационной системе Организации, подбора кандидатов на замещение вакантных должностей (в части фотографий, содержащихся в резюме кандидатов на замещение вакантных должностей).
4.5. В отношении клиентов и контрагентов Организации, их представителей, посетителей сайта Организации в информационно-коммуникационной сети Интернет, пользователей мобильных приложений, разрабатываемых Организацией, Организация вправе обрабатывать следующие ПД:
4.5.1. фамилия, имя, отчество (при наличии), псевдоним (при наличии);
4.5.2. данные для доступа к сайту, мобильному приложению;
4.5.3. место работы и должность;
4.5.4. номера контактных телефонов;
4.5.5. адрес электронной почты;
4.5.6. иные сведения, которые субъект ПД пожелал сообщить о себе, при наличии соответствующих правовых оснований.
4.2. К категориям субъектов ПД, обработка ПД которых может осуществляться в Организации, относятся, в том числе:
4.2.1. работники, бывшие работники Организации, кандидаты на замещение вакантных должностей;
4.2.2. клиенты и контрагенты Организации, их представители, в т. ч. посетители сайта Организации в информационно-коммуникационной сети Интернет;
4.2.3. пользователи программ для ЭВМ, в т. ч. мобильных приложений, разрабатываемых Организацией.
4.3. В отношении работников (бывших работников), кандидатов на замещение вакантных должностей могут обрабатываться ПД, которые были предоставлены Организации работником (кандидатом на замещение вакантной должности) в силу требований действующего законодательства или по собственной инициативе, в том числе:
4.3.1. фамилия, имя, отчество (при наличии) (в том числе прежние фамилия, имя и отчество (при наличии) в случае их изменения, сведения о том, когда, где и по какой причине они изменялись);
4.3.2. дата рождения;
4.3.3. место рождения;
4.3.4. пол;
4.3.5. данные документа, удостоверяющего личность (вид, серия, номер документа, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
4.3.6. фотография;
4.3.7. сведения о гражданстве;
4.3.8. адрес и дата регистрации по месту жительства (месту пребывания);
4.3.9. адрес фактического проживания;
4.3.10. сведения о семейном положении, наличии детей;
4.3.11. реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
4.3.12. сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация, ученая степень, ученое звание (дата присвоения, реквизиты диплома, удостоверения, аттестата);
4.3.13. сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения;
4.3.14. сведения об аттестации;
4.3.15. сведения о владении иностранными языками и языками народов РФ;
4.3.16. сведения, содержащиеся в трудовых книжках, в т. ч. сведения о трудовой деятельности (стаже работы);
4.3.17. реквизиты страхового свидетельства обязательного пенсионного страхования (СНИЛС), содержащиеся в нем сведения;
4.3.18. идентификационный номер налогоплательщика;
4.3.19. реквизиты страхового медицинского полиса добровольного медицинского страхования (при наличии);
4.3.20. сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
4.3.21. сведения о наличии (отсутствии) судимости;
4.3.22. номера контактных телефонов;
4.3.23. адреса электронной почты (корпоративной, личной);
4.3.24. сведения об инвалидности, сроке действия установленной инвалидности;
4.3.25. сведения о банковском счете для выплаты заработной платы, финансовом положении;
4.3.26. данные, необходимые для использования работником электронной подписи, ключ и сертификат которой выдаются работнику Организацией-работодателем (только в отношении работников Организации);
4.3.27. иные сведения, которые субъект ПД пожелал сообщить о себе, при наличии соответствующих правовых оснований.
4.4. Организация вправе с письменного согласия субъекта ПД (работника, кандидата на замещение вакантной должности) обрабатывать биометрические ПД, а именно: фотографии указанных субъектов ПД, для целей контроля за доступом в помещения, размещения фотографии работника на Интернет-сайте Организации и (или) во внутренней информационной системе Организации, подбора кандидатов на замещение вакантных должностей (в части фотографий, содержащихся в резюме кандидатов на замещение вакантных должностей).
4.5. В отношении клиентов и контрагентов Организации, их представителей, посетителей сайта Организации в информационно-коммуникационной сети Интернет, пользователей мобильных приложений, разрабатываемых Организацией, Организация вправе обрабатывать следующие ПД:
4.5.1. фамилия, имя, отчество (при наличии), псевдоним (при наличии);
4.5.2. данные для доступа к сайту, мобильному приложению;
4.5.3. место работы и должность;
4.5.4. номера контактных телефонов;
4.5.5. адрес электронной почты;
4.5.6. иные сведения, которые субъект ПД пожелал сообщить о себе, при наличии соответствующих правовых оснований.
5. Порядок и условия обработки ПД
5.1. В Организации используются следующие способы обработки ПД: автоматизированная (с использованием средств вычислительной техники), неавтоматизированная (без использования таких средств).
5.2. В Организации могут осуществляться следующие виды действий с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение в случае получения отдельного согласия, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.3. Сроки обработки ПД в Организации определяются в соответствии со сроками, на которые субъектами ПД предоставляются согласия на обработку ПД, сроками достижения целей обработки ПД, а также сроками, установленными действующим законодательством.
5.4. Условием прекращения обработки ПД может являться достижение целей обработки ПД, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД, а также выявление неправомерной обработки ПД.
5.5. Передача ПД третьим лицам возможна только с согласия субъекта ПД, за исключением случаев, предусмотренных законом. Организация вправе передавать ПД органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.6. Доступ к ПД предоставляется только тем сотрудникам Организации, которым он необходим для выполнения их трудовых обязанностей, и только в том объеме, который необходим для выполнения этих обязанностей.
5.7. Обработка ПД в Организации осуществляется с соблюдением принципов и правил, предусмотренных Законом о ПД, иным применимым законодательством и настоящим Положением, в том числе в соответствии с принципами:
5.7.1. строгой конфиденциальности ПД;
5.7.2. законности целей и способов обработки ПД, добросовестности и справедливости в деятельности Организации;
5.7.3. достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям их обработки;
5.7.4. недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, не совместимых между собой;
5.7.5. хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД.
5.8. Все ПД работника Организации следует получать у него самого. Если П Д работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник обязан предоставить Организации достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов при поступлении на работу является основанием для расторжения трудового договора.
5.9. Передача ПД работника в пределах Организации должна осуществляться в соответствии с настоящим Положением.
5.10. Обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД, за исключением случаев, предусмотренных законом. Субъект П Д принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Организацией. Согласие на обработку ПД может быть отозвано субъектом ПД.
5.11. В случаях, предусмотренных федеральным законом, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.12. При сборе ПД, в том числе посредством сети Интернет или мобильных приложений, Организация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.13. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению либо обезличиванию, если иное не установлено федеральным законом.
5.14. Обработка ПД может осуществляться, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.
5.15. Организация вправе осуществлять обработку ПД, разрешенных субъектом ПД для распространения, с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о ПД.
5.16. Субъект ПД имеет право на получение сведений, указанных в ч. 7 ст. 14 Закона о ПД, за исключением случаев, предусмотренных ч. 8 указанной статьи. Субъект П Д вправе требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.17. Сведения, указанные в ч. 7 ст. 14 Закона о ПД, должны быть предоставлены субъекту П Д Организацией в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
5.18. Сведения, указанные в части 7 ст. 14 Закона о ПД, предоставляются субъекту ПД или его представителю Организацией в течение десяти рабочих дней с момента обращения либо получения Организацией запроса субъекта ПД или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки П Д Организацией, подпись субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос (обращение) субъекта ПД по поводу неточности его ПД, возможной неправомерности их обработки, отзыва согласия на обработку и доступа субъекта ПД к своим данным должен быть подписан субъектом ПД или его надлежащим образом уполномоченным представителем и направлен способом, позволяющим подтвердить его отправку и получение, по адресу Организации: 194 223, город Санкт-Петербург, улица Курчатова, дом 6, корпус 4, пом. 2Н лит. А, и (или) адресу электронной почты Организации office@ntik.ru.
5.19. Организация обязана сообщить в порядке, предусмотренном статьей 14 Закона о ПД, субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также безвозмездно предоставить возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его представителя. Ознакомление производится в помещении Организации по адресу: 194 223, город Санкт-Петербург, улица Курчатова, дом 6, корпус 4, пом. 2Н лит. А, в рабочее время (с 9.00 до 18.00 по московскому времени, за исключением выходных (субботы, воскресенья) и нерабочих праздничных дней в соответствии с законодательством РФ).
5.20. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, Организация обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана уничтожить такие ПД. Организация обязана уведомить субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы.
5.21. Организация вправе на своих сайтах в сети Интернет и в разрабатываемых мобильных приложениях использовать файлы «cookies» (небольшие текстовые файлы, размещаемые в памяти устройств пользователей во время использования Интернет-сайтов, мобильных приложений, предназначенные для содействия в настройке пользовательского интерфейса в соответствии с предпочтениями пользователей, аутентификации пользователей). Пользователь Интернет-сайта, мобильного приложения вправе самостоятельно с использованием функционала своего программного обеспечения отказаться от получения файлов «cookies» и удалить их со своего устройства.
5.22. Организация не несет ответственности за безопасность или конфиденциальность любой информации, включая ПД пользователей, собираемой сторонними Интернет-сайтами, службами или мобильными приложениями, даже если ссылки на них содержатся на Интернет-сайтах или в мобильных приложениях, принадлежащих Организации.
5.23. В случае отзыва субъектом ПД согласия на обработку его П Д Организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) и, в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД либо если Организация не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или другими федеральными законами. В случае отзыва субъектом ПД согласия на обработку П Д Организация вправе продолжить обработку ПД без согласия субъекта ПД только при наличии оснований, указанных в п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о ПД.
5.24. Уничтожение ПД может быть осуществлено различными способами в зависимости от типа материального носителя информации:
5.24.1. физическое уничтожение материального носителя (в частности, путем сжигания или измельчения документов на бумажном носителе (в т. ч. с использованием шредера), обеспечивающего невозможность восстановления текста);
уничтожение информации с электронного носителя (в частности, путем многократной перезаписи в секторах магнитного диска, механического нарушения целостности электронного носителя информации).
5.2. В Организации могут осуществляться следующие виды действий с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение в случае получения отдельного согласия, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.3. Сроки обработки ПД в Организации определяются в соответствии со сроками, на которые субъектами ПД предоставляются согласия на обработку ПД, сроками достижения целей обработки ПД, а также сроками, установленными действующим законодательством.
5.4. Условием прекращения обработки ПД может являться достижение целей обработки ПД, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД, а также выявление неправомерной обработки ПД.
5.5. Передача ПД третьим лицам возможна только с согласия субъекта ПД, за исключением случаев, предусмотренных законом. Организация вправе передавать ПД органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.6. Доступ к ПД предоставляется только тем сотрудникам Организации, которым он необходим для выполнения их трудовых обязанностей, и только в том объеме, который необходим для выполнения этих обязанностей.
5.7. Обработка ПД в Организации осуществляется с соблюдением принципов и правил, предусмотренных Законом о ПД, иным применимым законодательством и настоящим Положением, в том числе в соответствии с принципами:
5.7.1. строгой конфиденциальности ПД;
5.7.2. законности целей и способов обработки ПД, добросовестности и справедливости в деятельности Организации;
5.7.3. достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям их обработки;
5.7.4. недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, не совместимых между собой;
5.7.5. хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД.
5.8. Все ПД работника Организации следует получать у него самого. Если П Д работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник обязан предоставить Организации достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов при поступлении на работу является основанием для расторжения трудового договора.
5.9. Передача ПД работника в пределах Организации должна осуществляться в соответствии с настоящим Положением.
5.10. Обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД, за исключением случаев, предусмотренных законом. Субъект П Д принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Организацией. Согласие на обработку ПД может быть отозвано субъектом ПД.
5.11. В случаях, предусмотренных федеральным законом, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.12. При сборе ПД, в том числе посредством сети Интернет или мобильных приложений, Организация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.13. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению либо обезличиванию, если иное не установлено федеральным законом.
5.14. Обработка ПД может осуществляться, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.
5.15. Организация вправе осуществлять обработку ПД, разрешенных субъектом ПД для распространения, с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о ПД.
5.16. Субъект ПД имеет право на получение сведений, указанных в ч. 7 ст. 14 Закона о ПД, за исключением случаев, предусмотренных ч. 8 указанной статьи. Субъект П Д вправе требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.17. Сведения, указанные в ч. 7 ст. 14 Закона о ПД, должны быть предоставлены субъекту П Д Организацией в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
5.18. Сведения, указанные в части 7 ст. 14 Закона о ПД, предоставляются субъекту ПД или его представителю Организацией в течение десяти рабочих дней с момента обращения либо получения Организацией запроса субъекта ПД или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки П Д Организацией, подпись субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос (обращение) субъекта ПД по поводу неточности его ПД, возможной неправомерности их обработки, отзыва согласия на обработку и доступа субъекта ПД к своим данным должен быть подписан субъектом ПД или его надлежащим образом уполномоченным представителем и направлен способом, позволяющим подтвердить его отправку и получение, по адресу Организации: 194 223, город Санкт-Петербург, улица Курчатова, дом 6, корпус 4, пом. 2Н лит. А, и (или) адресу электронной почты Организации office@ntik.ru.
5.19. Организация обязана сообщить в порядке, предусмотренном статьей 14 Закона о ПД, субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также безвозмездно предоставить возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его представителя. Ознакомление производится в помещении Организации по адресу: 194 223, город Санкт-Петербург, улица Курчатова, дом 6, корпус 4, пом. 2Н лит. А, в рабочее время (с 9.00 до 18.00 по московскому времени, за исключением выходных (субботы, воскресенья) и нерабочих праздничных дней в соответствии с законодательством РФ).
5.20. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, Организация обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана уничтожить такие ПД. Организация обязана уведомить субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы.
5.21. Организация вправе на своих сайтах в сети Интернет и в разрабатываемых мобильных приложениях использовать файлы «cookies» (небольшие текстовые файлы, размещаемые в памяти устройств пользователей во время использования Интернет-сайтов, мобильных приложений, предназначенные для содействия в настройке пользовательского интерфейса в соответствии с предпочтениями пользователей, аутентификации пользователей). Пользователь Интернет-сайта, мобильного приложения вправе самостоятельно с использованием функционала своего программного обеспечения отказаться от получения файлов «cookies» и удалить их со своего устройства.
5.22. Организация не несет ответственности за безопасность или конфиденциальность любой информации, включая ПД пользователей, собираемой сторонними Интернет-сайтами, службами или мобильными приложениями, даже если ссылки на них содержатся на Интернет-сайтах или в мобильных приложениях, принадлежащих Организации.
5.23. В случае отзыва субъектом ПД согласия на обработку его П Д Организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) и, в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД либо если Организация не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или другими федеральными законами. В случае отзыва субъектом ПД согласия на обработку П Д Организация вправе продолжить обработку ПД без согласия субъекта ПД только при наличии оснований, указанных в п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о ПД.
5.24. Уничтожение ПД может быть осуществлено различными способами в зависимости от типа материального носителя информации:
5.24.1. физическое уничтожение материального носителя (в частности, путем сжигания или измельчения документов на бумажном носителе (в т. ч. с использованием шредера), обеспечивающего невозможность восстановления текста);
уничтожение информации с электронного носителя (в частности, путем многократной перезаписи в секторах магнитного диска, механического нарушения целостности электронного носителя информации).
6. Обеспечение безопасности и защиты ПД
6.1. Организация за счет собственных средств обеспечивает надлежащую защиту ПД при их обработке, применяет правовые, организационные и технические меры для защиты ПД от несанкционированного или случайного доступа к ним, а также от иных неправомерных действий в отношении ПД.
6.2. Принимаемые Организацией меры включают:
6.2.1. назначение ответственного за организацию обработки ПД;
6.2.2. ограничение доступа к информационным системам, обрабатывающим ПД. Доступ сотрудников Организации к ПД, находящимся в информационных системах Организации, предусматривает обязательное прохождение процедуры идентификации и аутентификации;
6.2.3. предотвращение внедрения в информационные системы, обрабатывающие ПД, вредоносных программ (антивирусная защита);
6.2.4. обеспечение раздельного хранения ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.2.5. защита носителей информации, на которых хранятся и (или) обрабатываются ПД, ограничение доступа к ним (в т.ч. с использованием паролей);
6.2.6. организация режима обеспечения безопасности помещений, в которых хранятся (обрабатываются) ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.2.7. ограничение доступа к ПД, хранящимся на бумажных носителях (в т.ч. хранение в запираемых шкафах, сейфах);
6.2.8. регистрация событий безопасности;
6.2.9. обнаружение (предотвращение) вторжений;
6.2.10. контроль (анализ) защищенности ПД;
6.2.11. меры по обеспечению раздельной обработки ПД при несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД;
6.2.12. оценку вреда, который может быть причинен субъектам ПД, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПД;
6.2.13. определение угроз безопасности ПД при их обработке в информационных системах ПД;
6.2.14. ознакомление работников Организации, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Организации в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников;
6.2.15. иные меры, предусмотренные законодательством РФ.
6.3. В случае выявления нарушений порядка обработки П Д Организацией незамедлительно принимаются меры по установлению причин нарушений и их устранению.
6.2. Принимаемые Организацией меры включают:
6.2.1. назначение ответственного за организацию обработки ПД;
6.2.2. ограничение доступа к информационным системам, обрабатывающим ПД. Доступ сотрудников Организации к ПД, находящимся в информационных системах Организации, предусматривает обязательное прохождение процедуры идентификации и аутентификации;
6.2.3. предотвращение внедрения в информационные системы, обрабатывающие ПД, вредоносных программ (антивирусная защита);
6.2.4. обеспечение раздельного хранения ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.2.5. защита носителей информации, на которых хранятся и (или) обрабатываются ПД, ограничение доступа к ним (в т.ч. с использованием паролей);
6.2.6. организация режима обеспечения безопасности помещений, в которых хранятся (обрабатываются) ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.2.7. ограничение доступа к ПД, хранящимся на бумажных носителях (в т.ч. хранение в запираемых шкафах, сейфах);
6.2.8. регистрация событий безопасности;
6.2.9. обнаружение (предотвращение) вторжений;
6.2.10. контроль (анализ) защищенности ПД;
6.2.11. меры по обеспечению раздельной обработки ПД при несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД;
6.2.12. оценку вреда, который может быть причинен субъектам ПД, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПД;
6.2.13. определение угроз безопасности ПД при их обработке в информационных системах ПД;
6.2.14. ознакомление работников Организации, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Организации в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников;
6.2.15. иные меры, предусмотренные законодательством РФ.
6.3. В случае выявления нарушений порядка обработки П Д Организацией незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7. Ответственность за нарушение норм, регулирующих обработку ПД
7.1. Лица, виновные в нарушении положений законодательства РФ в области ПД, несут ответственность (административную, дисциплинарную, уголовную, иную) в порядке, установленном федеральными законами.
8. Заключительные положения
8.1. Настоящее Положение вступает в действие с момента утверждения его приказом Генерального директора Организации и действует до его изменения или отмены. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом Генерального директора Организации.
8.2. Все работники Организации должны быть ознакомлены под подпись с данным Положением.
8.3. Все вопросы, связанные с обработкой ПД в Организации, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области ПД.
8.4. В случае, если законодательством установлены или будут установлены после утверждения настоящего Положения императивные правила, отличные от предусмотренных в настоящем Положении, применяются императивные правила, предусмотренные законодательством.
8.2. Все работники Организации должны быть ознакомлены под подпись с данным Положением.
8.3. Все вопросы, связанные с обработкой ПД в Организации, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области ПД.
8.4. В случае, если законодательством установлены или будут установлены после утверждения настоящего Положения императивные правила, отличные от предусмотренных в настоящем Положении, применяются императивные правила, предусмотренные законодательством.