ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «МЕДЭСТЕТ»

1. Общие положения
1.1. Настоящее положение об обработке персональных данных (далее – Положение) определяет условия, цели, содержание и порядок обработки персональных данных (далее – ПДн) с использованием средств автоматизации, и без использования таковых; меры, направленные на защиту ПДн, а также мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области ПДн, которые осуществляет ООО «МЕДЭСТЕТ» (далее – Оператор, Организация).
1.2. Настоящее Положение определяет политику Оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.
1.3 Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://timebodyface-rzn.ru (далее- сайт). Для аналитики и ретаргетинга сайта персон альные данные обрабатываются путем анализа пользовательской активности с помощью сервиса «Яндекс.Метрика». Сведения, сookie-файлы, собираются в обезличенном формате и не используется для идентификации личности. С политикой конфиденциальности ООО «ЯНДЕКС» и/или его аффилированных лиц, в том числе входящих в одну группу с ООО «ЯНДЕКС», субъект персональных данных может ознакомиться по ссылке: https://yandex.ru/legal/confidential/. Субъект персональных данных может отключить сookie-файлы в настройках браузера, если не хочет, чтобы его данные обрабатывались.
1.4 Основные понятия, используемые в настоящем Положении:
1.4.1 Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.4.2 Оператор персональных данных (Оператор) – ООО «МЕДЭСТЕТ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4.3 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.4 Информация – сведения (сообщения, данные) независимо от формы их представления.
1.4.5 Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
1.4.6 Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4.7 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.4.8 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.4.9 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.4.10 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.4.11 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.4.12 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.4.13 Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.4.14 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5 Настоящее Положение разработано в соответствии с:
1.5.1 Частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ).
1.5.2 Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ).
1.5.3 Частью первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее — часть первая НК РФ).
1.5.4 Федеральным законом «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»).

1.5.5 Кодексом Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.

1.5.6 Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).
1.5.7 Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.5.8 Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.5.9 Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.6 Обработка персональных данных Оператором осуществляется с соблюдением порядка и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.7 Оператор осуществляет обработку ПДн следующих категорий субъектов ПДн:
1.7.1 Работников Оператора.
1.7.2 Родственников работников Оператора.
1.7.3 Уволенных работников.
1.7.4 Контрагентов Оператора.
1.7.5 Представителей контрагентов Оператора.
1.7.6. Клиентов Оператора.
1.7.7. Посетителей сайта Оператора.

2. Сведения об обеспечении безопасности персональных данных Оператором

2.1.Оператор назначает Ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных», и принятыми в соответствии с ним нормативными правовыми актами.
2.2.Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для соблюдения конфиденциальности персональных данных и их защиты от неправомерных действий:
2.2.1. Обеспечивает неограниченный доступ к Положению, копия которого размещена по адресу нахождения Оператора.
2.2.2. Во исполнение Положения утверждает и приводит в действие локальные акты Оператора.
2.2.3. Производит ознакомление работников с положениями законодательства о персональных
данных, а также с настоящим Положением и иными локальными актами Оператора.
2.2.4. Осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей.
2.2.5. Устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними.
2.2.6. Производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
2.2.7. Производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора.
2.2.8. Применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных.
2.2.9. Осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.2.10. Производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора.
2.2.11. Осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Положению и иным локальным актам.

3. Условия и порядок обработки персональных данных Работников, Родственников работников, Уволенных работников

3.1. Оператор обрабатывает персональные данные работников Оператора в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ, в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.
3.2. Оператор обрабатывает персональные данные работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также с целью:
3.2.1. Заключения и исполнения договоров.
3.2.2. Ведения бухгалтерского учёта.
3.2.3. Формирования кадрового резерва.
3.2.4. Отчисления страховых взносов.
3.2.5. Соблюдения норм по охране труда, личной безопасности и сохранности имущества.
3.2.6. Контроля количества и качества выполняемой работы.
3.2.7. Оформления зарплатных карт.
3.2.8. Обеспечение личной безопасности сотрудника.
3.2.9. Обеспечения пропускного режима.
3.2.10. Организации обучения работников.
3.2.11. Публикации на сайте, во внутренних справочниках, адресных книгах организации.
3.2.12. Осуществления деятельности в соответствии с учредительными документами.
3.3. В целях, предусмотренных пунктом 3.2. настоящего Положения, обрабатываются следующие категории ПДн работников:
3.3.1. Фамилия, имя, отчество.
3.3.2. Дата, месяц, год рождения.
3.3.3. Место рождения.
3.3.4. Семейное положение.
3.3.5. Пол.
3.3.6. Адрес электронной почты.
3.3.7. Адрес места жительства.
3.3.8. Адрес регистрации.
3.3.9. Номер телефона.
3.3.10.СНИЛС.
3.3.11. ИНН.
3.3.12. Гражданство.
3.3.13. Данные документа, удостоверяющего личность.
3.3.14. Реквизиты банковской карты.
3.3.15. Номер расчетного счета.
3.3.16. Номер лицевого счета.
3.3.17. Профессия.
3.3.18. Должность.
3.3.19. Сведения о трудовой деятельности.
3.3.20.Отношение к воинской обязанности.
3.3.21.Сведения о воинском учете.
3.3.22. Сведения об образовании.
3.3.23. Иная информация, предоставляемая в соответствии с законодательством Российской Федерации, на основании которой возможна его идентификация.
3.3.24. Иная информация, самостоятельно сообщенная работником, на основании которой возможна его идентификация.
3.3.25. Персональные данные близких родственников.
3.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
3.5. Оператор не обрабатывает биометрические персональные данные работников.
3.6. Оператор защищает персональные данные работников за счет собственных средств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.
3.7. Оператор знакомит работников и их представителей под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.8. Оператор разрешает доступ к персональным данным работников только допущенным лицам, которые имеют право получать те данные, которые необходимы для выполнения трудовых функций.
3.9. Оператор получает все персональные данные работников у них самих. Если данные работника возможно получить только у третьей стороны, Оператор заранее уведомляет об этом работника и получает его письменное согласие. Оператор сообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
3.10. Оператор обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора.
3.11. Оператор обрабатывает персональные данные работников в течение срока действия трудового договора. Оператор обрабатывает персональные данные уволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами.
3.12. Оператор не получает данные о членстве работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными
федеральными законами.
3.13. Обработка ПДн работников включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ) , удаление, уничтожение ПДн.
3.14. Оператор не принимает решения, затрагивающие интересы работников, основываясь на их персональных данных, полученных электронным образом или исключительно в результате автоматизированной обработки.
3.15. При сборе ПДн работник Оператора, осуществляющий сбор (получение) ПДн непосредственно от работников, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
3.16. Оператор не сообщает третьей стороне персональные данные работника без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ, ФЗ «О персональных данных» или иными федеральными законами.
3.17. Оператор не сообщает персональные данные работника в коммерческих целях без его письменного согласия.
3.18. Оператор передаёт персональные данные работников их представителям в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами, и ограничивает эту информацию только теми данными, которые необходимы для выполнения представителями их функций.
3.19. Оператор предупреждает лиц, получающих персональные данные работника, что эти данные могут быть использованы только в целях, для которых они сообщены, требует от этих лиц подтверждения, что это правило соблюдено.
3.20. В порядке, установленном законодательством, и в соответствии со ст. 7 ФЗ «О персональных данных» для достижения целей обработки персональных данных и с согласия работников Оператор предоставляет персональные данные работников в государственные органы, в банки, в страховые компании и иные организации.
3.21. Работник может получить свободный доступ к информации о его персональных данных и об обработке этих данных. Работник может получить копию любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
3.22. Работник может определить представителя для защиты его персональных данных.
3.23. Работник может требовать исключить или исправить свои неверные или неполные персональные данные, а также данные, обработанные с нарушением требований ТК РФ, ФЗ «О персональных данных» или иного федерального закона. При отказе Оператора исключить или исправить персональные данные работника он может заявить в письменной форме о своем несогласии и обосновать такое несогласие.
3.24. Работник может требовать известить всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или
дополнениях.
3.25. Работник вправе обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.

4. Условия и порядок обработки персональных данных Соискателей вакантных должностей

4.1. Оператор обрабатывает персональные данные соискателей вакантных должностей (далее — соискателей).
4.2. Оператор обрабатывает персональные данные соискателей с целью:
4.2.1. Заключения и исполнения договоров.
4.2.2. Формирования кадрового резерва.
4.2.3. Осуществления деятельности в соответствии с учредительными документами.
4.3. Оператор обрабатывает следующие персональные данные соискателей:
4.3.1. Фамилия, имя, отчество.
4.3.2. Дата, месяц, год рождения.
4.3.3. Место рождения.
4.3.4. Семейное положение.
4.3.5. Адрес электронной почты.
4.3.6. Адрес места жительства.
4.3.7. Адрес регистрации.
4.3.8. Номер телефона.
4.3.9. СНИЛС.
4.3.10. ИНН.
4.3.11. Гражданство.
4.3.12. Данные документа, удостоверяющего личность.
4.3.13. Профессия .
4.3.14. Должность.
4.3.15. Сведения о трудовой деятельности.
4.3.16.Отношение к воинской обязанности.
4.3.17.Сведения о воинском учете.
4.3.9. Иная информация, самостоятельно сообщенная соискателем, на основании которой возможна его идентификация.
4.4. Оператор не обрабатывает специальные категории персональных данных соискателей.
4.5. Оператор не обрабатывает биометрические категории персональных данных соискателей.
4.6. Оператор обрабатывает персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.
4.7. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в согласии.

5. Условия и порядок обработки персональных данных Контрагентов, Представителей контрагентов, Клиентов

5.1. Оператор обрабатывает персональные данные контрагентов, представителей контрагентов, клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.
5.2. Оператор обрабатывает персональные данные контрагентов, представителей контрагентов, клиентов с целью:
5.2.1. Подготовки, заключения и исполнения договоров.
5.2.2. Продвижение товаров, работ, услуг на рынке.
5.2.3. Подготовки индивидуальных предложений.
5.2.4. Осуществление пропускного режима.
5.2.5. Ведения бухгалтерского учёта.
5.2.6. Осуществления деятельности в соответствии с учредительными документами.
5.3. Оператор обрабатывает следующие персональные данные контрагентов, представителей контрагентов, клиентов:
5.3.1. Фамилия, имя, отчество.
5.3.2. Год, месяц, дата рождения.
5.3.3. Место рождения.
5.3.4. Пол.
5.3.5. Адрес электронной почты.
5.3.6. Адрес места жительства.
5.3.7. Адрес регистрации.
5.3.8. Номер телефона.
5.3.9. Данные документа, удостоверяющего личность.
5.3.10. Реквизиты банковской карты.
5.3.11. Номер расчетного счета.
5.3.12. Номер лицевого счета.
5.4. Оператор не обрабатывает специальные категории персональных данных и биометрические персональные данные контрагентов, представителей контрагентов, клиентов.
5.5. Оператор обрабатывает персональные данные контрагентов, представителей контрагентов, клиентов с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
5.6. Оператор обрабатывает персональные данные контрагентов, представителей контрагентов, клиентов в течение сроков действия, заключенных с ними договоров. Оператор может обрабатывать персональные данные контрагентов, представителей контрагентов, клиентов после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

6. Условия и порядок обработки персональных данных Посетителей сайта

6.1. Оператор обрабатывает персональные данные посетителей сайта в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.
6.2. Оператор обрабатывает персональные данные посетителей сайта с целью информирования посредством отправки электронных писем.
6.3. Оператор обрабатывает следующие персональные данные посетителей сайта:
6.3.1. Фамилия, имя, отчество.
6.3.2. Номер телефона.
6.3.3. Адрес электронной почты.
6.3.4. иные персональные данные, необходимые для соблюдения Оператором требований законодательства на территории РФ;
6.3.5. иные персональные данные, предоставляемые посетителями сайта на сайте Оператора, позволяющие определить уникального посетителя сайта, сформировать сведения о его предпочтениях и поведении на сайте.
6.3.6. иная информация, сообщенная посетителями сайта на сайте Оператора, на основании которой возможна идентификация.
6.4. Оператор не обрабатывает специальные категории персональных данных посетителей сайта.
6.5. Оператор не обрабатывает биометрические персональные данные посетителей сайта.
6.6. Оператор обрабатывает персональные данные посетителей сайта с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
6.7. Оператор обрабатывает персональные данные посетителей сайта в течение сроков действия, заключенных с ними договоров. Оператор может обрабатывать персональные данные после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

7. Порядок обработки персональных данных

7.1. Порядок обработки персональных данных с использованием средств автоматизации.
7.1.1. Обработка ПДн субъектов ПДн осуществляется в ИСПДн ООО «МЕДЭСТЕТ».
7.1.2. Классификация ИСПДн Оператора осуществляется в порядке, установленном законодательством Российской Федерации.
7.1.3. Работниками Оператора, имеющими право осуществлять обработку ПДн в ИСПДн, подписывается «Соглашение о неразглашении информации, содержащей персональные данные», по утвержденной Оператором форме.
7.1.4. Таким работникам предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными обязанностями сотрудников.
7.1.5. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, а также принятия мер по обеспечению безопасности.
7.2. Порядок обработки персональных данных без использования средств автоматизации.
7.2.1. Оператор обеспечивает раздельное хранение персональных данных, обрабатываемых без использования средств автоматизации с разными целями.
7.2.2. Для обработки каждой категории персональных данных используется отдельный материальный носитель.
7.2.3. При необходимости уничтожение части персональных данных, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на том же материальном носителе.
7.2.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), соблюдаются условия: 7.2.4.1. Типовая форма или связанные с ней документы содержат сведения о цели обработки персональных данных, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных. 7.2.4.2. Типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, при необходимости получения такого согласия.
7.2.4.3. Типовая форма составлена таким образом, что каждый из субъектов персональных данных, содержащихся в документе, имеет возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
7.2.4.4. Типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
7.2.5. Работники Оператора, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте такой обработки, об особенностях и правилах.
7.2.6. Оператор принимает организационные и физические меры, обеспечивающие сохранность материальных носителей персональных данных, и, исключающие возможность несанкционированного доступа к ним.
7.2.7. Документы и внешние электронные носители информации, содержащие персональные данные, могут храниться в служебных помещениях Оператора в запираемых шкафах или сейфах.
7.2.8. Перечень лиц, имеющих доступ к персональным данным, обрабатываемым без использования средств автоматизации, в помещения и к местам хранения носителей, ограничен работниками, работающими в указанных помещениях на постоянной основе. Исключена возможность доступа в помещения, где обрабатываются персональные данные без использования средств автоматизации, посторонних лиц без сопровождения допущенного работника.
7.2.9. Работа с материальными носителями, содержащими персональные данные, организовывается следующим образом. Материальные носители могут находиться на рабочем месте работника в течение времени, необходимого для обработки персональных данных. При этом должна быть исключена возможность просмотра персональных данных посторонними лицами. В конце рабочего
дня все материальные носители, содержащие персональные данные, должны быть убраны в запираемые шкафы (в сейфы, если таковые имеются в подразделении). Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются.

8. Сроки обработки и хранения персональных данных

8.1. Оператор обрабатывает ПДн до момента достижения целей такой обработки.
8.1.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено ФЗ «О персональных данных».

9. Организация обработки и обеспечения безопасности персональных данных

9.1. Организация обработки ПДн.
9.1.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее — Ответственный).
9.1.2. Ответственный обязан:
9.1.2.1. Обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Положения и иных локальных актов по вопросам обработки персональных данных.
9.1.2.2. Обеспечить неограниченный доступ к Положению, копия которого размещается по адресу нахождения Оператора, работникам Оператора.
9.1.2.3. Проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора.
9.1.2.4. Ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
9.1.2.5. Ежегодно осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных.
9.1.2.6. Доводить до работников под роспись положения нормативных актов в сфере защиты ПДн при заключении трудового договора.
9.1.2.7. Осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения.
9.1.2.8. Организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав.
9.1.2.9. Обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).
9.1.3. Права и обязанности Ответственного устанавливаются Инструкцией лица, ответственного за организацию обработки персональных данных.
9.1.4. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.
9.1.5. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных, или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.
9.1.6. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
9.1.7. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.
9.2. Обеспечение безопасности ПДн.
9.2.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.
9.2.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.
9.2.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.
9.2.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.
9.2.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:
9.2.5.1. Ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора.
9.2.5.2. Обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора.
9.2.5.3. Устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними.
9.2.5.4. Организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.2.6. Ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе Оператора. Права и обязанности ответственного за обеспечение безопасности персональных данных в информационной системе устанавливаются Инструкцией лица, ответственного за обеспечение безопасности персональных данных.

10. Права субъектов персональных данных

10.1. Субъект персональных данных имеет право:
10.1.1. На получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки.
10.1.2. На уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.1.3. На отзыв данного им согласия на обработку персональных данных.
10.1.4. На защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
10.1.5. На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».