1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика Индивидуального предпринимателя Захарова Алексея Владимировича в отношении обработки персональных данных (далее именуемая – «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 No152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных
данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика устанавливает основные принципы и подходы к обработке и обеспечению безопасности Оператором персональных данных и распространяется на все персональные данные, которые обрабатывает
Индивидуальный предприниматель Захаров Алексей Владимирович (далее именуемый – «Оператор») и все процессы обработки Оператором персональных данных.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.4. Политика вступает в силу с момента ее утверждения Оператором (приказом Оператора).

2. ПОНЯТИЯ И ТЕРМИНЫ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие
обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3. обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.5. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6. предоставление персональных данных - действия, направленные на раскрытие персональных данных (в том числе предоставление доступа к данным) определенному лицу или определенному кругу лиц;
2.7. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.8. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному
субъекту персональных данных;
2.10. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор имеет право (основные права Оператора):
3.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных, другими федеральными законами и подзаконными нормативными актами;
3.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (если иное не предусмотрено законом). При этом, лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, а также условия, предусмотренные поручением Оператора;
3.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии иных оснований, определенных Законом о персональных данных.
3.2. Оператор обязан (основные обязанности Оператора):
3.2.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
3.2.2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3.2.3. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по
запросу необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, на основании мотивированного уведомления Оператора, адресованного в Роскомнадзор, с указанием причин продления срока
предоставления запрашиваемой информации;
3.2.4. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
3.2.5. при сборе персональных данных предоставлять субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;
3.2.6. при сборе персональных данных (включая сбор посредством информационно-телекоммуникационной сети «Интернет»), обеспечить запись систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
3.3. Субъект персональных данных имеет право (основные права):
3.3.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к
другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия (предоставления) таких персональных данных;
3.3.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3.3.3. обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке персональных данных Субъекта;
3.3.4. защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсацию морального вреда, в судебном порядке;

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных.
4.3. Обработка Оператором персональных данных осуществляется в следующих целях:
4.3.1. осуществление своей деятельности Оператором на основании регистрации Оператора в качестве индивидуального предпринимателя в Едином государственно реестре индивидуальных предпринимателей, в том числе заключение, исполнение, прекращение гражданско-правовых договоров;
4.3.2. обеспечение соблюдения требований законов и иных нормативных правовых актов в рамках деятельности Оператора;
4.3.3. исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: в рамках трудоустройства работников, заключения, исполнения и прекращения трудовых договоров, получения образования и продвижения по службе, оформления награждений и поощрений, привлечения и отбора кандидатов на работу у Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, ведения кадрового и бухгалтерского учета, заполнения и передачи в уполномоченные органы требуемых форм отчетности, предоставления со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций и иных процессах.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Правовым основанием обработки персональных данных является:
5.1.1. совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе Конституция Российской Федерации,
Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 06.12.2011 No402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 No167-ФЗ «Об обязательном пенсионном страховании в Российской
Федерации», иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
5.1.2. договоры, заключаемые между Оператором и субъектами персональных данных;
5.1.3. согласие субъектов персональных данных на обработку их персональных данных (в случаях, прямо не предусмотренных законодательством, но соответствующих деятельности и полномочиям Оператора).

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 4 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
6.2.1. Кандидаты для приема на работу к Оператору. В данной категории обрабатываются персональные данные в связи с исполнением Оператором требований трудового и иного применимого законодательства в рамках установления трудовых и иных непосредственно связанных с ними отношений:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии);
• пол;
• сведения о гражданстве;
• фотографическое изображение;
• дата (число, месяц, год) и место рождения;
• адрес места проживания и сведения о регистрации по месту жительства или пребывания;
• номера телефонов, адрес электронной почты и (или) сведения о других способах связи;
• сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
• информация о владении иностранными языками;
• сведения об опыте работы и трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
• данные паспорта или иного документа, удостоверяющего личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
• иные персональные данные, сообщаемые кандидатами в резюме, сопроводительных письмах и иных документах, представление которых предусмотрено законодательством, или которые кандидат пожелал сообщить о себе, если обработка этих данных соответствует цели обработки, предусмотренной п. 4.3.3 Политики.
6.2.2. Работники и бывшие работники Оператора. В данной категории обрабатываются персональные данные в связи с исполнением трудового и иного применимого законодательства, а также положений локальных нормативных актов Оператора в рамках реализации трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
• пол;
• сведения о гражданстве;
• фотографическое изображение;
• дата (число, месяц, год) и место рождения;
• адрес места проживания и сведения о регистрации по месту жительства или пребывания (включая дату регистрации);
• сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
• номера телефонов, адрес электронной почты и (или) сведения о других способах связи;
• должность;
• сведения об опыте и трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
• идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
• страховой номер индивидуального лицевого счета (СНИЛС);
• данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• данные паспорта или иного удостоверяющего личность документа (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
• данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
• данные трудовой книжки, вкладыша в трудовую книжку;
• сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском
освидетельствовании и прививках);
• сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
• информация о владении иностранными языками;
• сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
• сведения о владении иностранными языками (иностранный язык, уровень владения);
• сведения о состоянии здоровья (для отдельных категорий работников);
• сведения о судимости (наличие (отсутствие) судимости, дата (число, месяц, год) привлечения к уголовной ответственности (снятия или погашения судимости), и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
• реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
• сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи);
• сведения о близких родственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
• сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
• сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера (в том числе обязательствах по исполнительным документам);
• номер расчетного счета, банковской карты;
• иные персональные данные, сообщаемые работником Оператору в соответствии с требованиями применимого законодательства и локальными нормативными актами Оператора;
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 4.3.3 Политики;
• иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 4.3.3 Политики.
6.2.3. Родственники и члены семьи работников Оператора. В данной категории обрабатываются персональные данные в связи с исполнением трудового и иного применимого законодательства, а также положений локальных нормативных актов Оператора в рамках реализации трудовых и иных непосредственно связанных с ним отношений с работниками Оператора в случаях, когда сведения о них предоставляются такими работниками:
• фамилия, имя, отчество;
• сведения о гражданстве;
• степень родства;
• дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
• номера телефонов, адрес электронной почты и (или) сведения о других способах связи
• место и адрес работы (службы),
• адрес места жительства, сведения о регистрации по месту жительства или пребывания;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями применимого законодательства и локальными нормативными актами Оператора, если их обработка соответствует цели обработки, предусмотренной п. 4.3.3 Политики.
6.2.4. Клиенты и контрагенты Оператора (физические лица). В данной категории субъектов оператором обрабатываются персональные данные, полученные Оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно
для исполнения указанного договора и заключения договоров с субъектом персональных данных:
• фамилия, имя, отчество;
• пол;
• сведения о гражданстве;
• дата (число, месяц, год) и место рождения;
• адрес места проживания;
• сведения о регистрации по месту жительства или пребывания;
• номера телефонов, адрес электронной почты и (или) сведения о других способах связи;
• идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
• данные паспорта или иного удостоверяющего личность документа (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
• номер расчетного счета, банковской карты;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров в рамках цели обработки персональных данных, предусмотренной пунктом 4.3.1 Политики.
6.2.5. Представители / работники клиентов и контрагентов Оператора (юридических лиц). В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и
используемые оператором исключительно для исполнения указанного договора:
• фамилия, имя, отчество;
• пол;
• номера телефонов, адрес электронной почты и (или) сведения о других способах связи;
• занимаемая должность;
• данные паспорта или иного удостоверяющего личность документа (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
• иные персональные данные, предоставляемые представителями / работниками клиентов и контрагентов, необходимые для заключения и исполнения договоров в рамках цели обработки персональных данных, предусмотренной пунктом 4.3.1 Политики.
6.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается:
6.3.1. в случае, если субъект персональных данных дал Оператору согласие в письменной форме на обработку своих персональных данных;
6.3.2. в соответствии с законодательством о государственной социальной помощи, трудовым и пенсионным законодательством Российской Федерации.
6.4. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.
6.5. Оператор не осуществляет трансграничную передачу персональных данных.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
7.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
7.3.1. неавтоматизированная обработка персональных данных;
7.3.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
7.3.3. смешанная обработка персональных данных.
7.4. Обработка персональных данных осуществляется Оператором с соблюдением принципов:
7.4.1. законности целей и способов обработки персональных данных;
7.4.2. добросовестности Оператора, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
7.4.3. соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям Обработки;
7.4.4. точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
7.4.5. уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
7.4.6. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.5.Работники Оператора, допущенные к обработке персональных данных, обязаны:
7.5.1. знать и неукоснительно выполнять положения:
• законодательства Российской Федерации в области персональных данных;
• настоящей Политики;
• локальных актов Оператора по вопросам обработки и обеспечения безопасности Персональных данных;
7.5.2. обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
7.5.3. не разглашать персональные данные, обрабатываемые Оператором;
7.5.4. сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
7.5.5. сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных у Оператора.
7.6. Безопасность персональных данных у Оператора обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
7.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных
данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 No18.
7.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется
в соответствии с требованиями законодательства Российской Федерации.
7.9. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, за исключением случаев когда:
7.11.1. иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
7.11.2. Оператор вправе осуществлять обработку без согласия субъекта персональных данных на иных основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
7.11.3. иное предусмотрено другим соглашением между Оператором и субъектом персональных данных.
7.12. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о
персональных данных.
7.13. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для
каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.14. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.15. Обработка персональных данных в Обществе прекращается в следующих случаях:
7.15.1. при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение 3 (трех) рабочих дней с даты выявления такого факта;
7.15.2. при достижении целей их обработки либо утрате необходимости достигать эти цели;
7.15.3. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
7.15.4. при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных частью 5.1 статьи 21 Закона о персональных данных). Срок прекращения обработки - не более 10 (десять) рабочих дней с даты получения требования (с возможностью продления не более чем на 5 (пять) рабочих дней, если субъекту направлено мотивированное уведомление о причинах продления).
7.16. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
7.17. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.18. Оператор не осуществляет трансграничную передачу персональных данных.

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или егопредставителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо
сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.5. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
8.5.1. в течение 24 (двадцати четырех) часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
8.5.2. в течение 72 (семидесяти двух) часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
8.6. Порядок уничтожения персональных данных Оператором.
8.6.1. Условия и сроки уничтожения персональных данных Оператором:
• при достижении цели обработки персональных данных либо утрате необходимости достигать эту цель - в течение 30 (тридцати) дней;
• при достижении максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 (тридцати) дней;
• при предоставлении субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 (семи) рабочих дней;
• в случае, если обработка персональных данных прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, - в течение 10 (десяти) рабочих дней с даты выявления факта неправомерной обработки;
• при истечении срока действия согласия или получении отзыва субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки и в соответствии с требованиями законодательства более не требуется, - в течение 30 (тридцати) дней.
8.6.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8.6.3. Способы уничтожения персональных данных, применяемые Оператором в зависимости от места хранения персональных данных: физическое уничтожение носителя (сжигание, измельчение, механическое повреждение) или техническое удаление (использование специальных программ для стирания данных с электронных носителей).

9. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1.Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
9.2.Оператором принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Законом о персональных данных:
9.2.1. назначается лицо, ответственное за организацию обработки персональных данных;
9.2.2. издаются: Политика в отношении обработки персональных данных, локальные акты по вопросам обработки
персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
9.2.3. применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных, направленных на нейтрализацию актуальных угроз безопасности персональных данных при их обработке в информационных
системах персональных данных Оператора;
9.2.4. проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
9.2.5. осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Оператором Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам в области
обработки и обеспечения безопасности персональных данных;
9.2.6. ведется анализ создаваемых у Оператора продуктов и процессов на предмет надлежащей обработки персональных данных;
9.2.7. осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных,
в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами Оператора по вопросам обработки персональных данных, и (или) обучение указанных работников.

10. МЕРЫ ОПЕРАТОРА, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Система защиты персональных данных Оператора включает в себя комплекс правовых, организационных и технических мер, направленных на нейтрализацию актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных Оператора, и учитывает особенности информационной инфраструктуры Оператора и архитектуры информационных систем персональных данных Оператора, используемых информационных технологий в информационных системах Оператора.
10.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора определяются и применяются с учетом установленных уровней защищенности
персональных данных при их обработке в информационных системах персональных данных Оператора в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 No 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных системах персональных данных». Выбор и внедрение средств защиты в рамках системы защиты персональных данных при их обработке в
информационных системах персональных данных Оператора осуществляется в соответствии с требованиями законодательства Российской Федерации в области персональных данных.
10.3. Защита персональных данных при их обработке в информационных системах персональных данных Оператора от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, обеспечивается применением взаимосвязанной совокупности мер и средств защиты, в частности:
10.3.1. определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
10.3.2. применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах Персональных данных, направленные на нейтрализацию
актуальных угроз безопасности персональных данных в соответствии с законодательством Российской Федерации; − применяются прошедшие в установленном порядке процедуру оценки соответствия средства
защиты информации, предназначенные для нейтрализации актуальных угроз безопасности;
10.3.3. осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию той или иной информационной системы персональных данных;
10.3.4. осуществляется учет машинных носителей персональных данных;
10.3.5. проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
10.3.6. обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.3.7. устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационной системе персональных данных;
10.3.8. осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

11. ОТВЕТСТВЕННОСТЬ И ИНЫЕ ПОЛОЖЕНИЯ

11.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством
Российской Федерации. Лица, виновные в нарушении норм, регулирующих обработку персональных данных и защиту обрабатываемых Оператором персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.
11.3. Пересмотр и обновление Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных при их обработке Оператором, а также по результатам иных контрольных мероприятий.
11.4. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными Оператором к обработке персональных данных, а также чей доступ возможен к персональным данным, обрабатываемым
Оператором.