ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩИЕ ПОЛОЖЕНИЯ
ООО «Матрикс» (далее по тексту - Оператор), являясь Оператором, осуществляет работу с персональными Работников, а также всех физических лиц, так или иначе взаимодействующих с ООО «Матрикс», исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, реализации уставных видов деятельности Оператора, а также в иных целях, определяемых настоящим Положением.
Настоящее Положение определяет политику ООО «Матрикс» как Оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
Настоящее Положение определяет порядок работы с персональными данными Оператора в отношении которых Оператор осуществляет обработку их персональных данных.
Настоящее Положение разработано в целях:
Регламентации порядка осуществления операций с персональными данными;
Обеспечения требований Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон о персональных данных), Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также иных нормативно-правовых актов, действующих на территории Российской Федерации;
Установления прав, обязанностей и механизмов ответственности Оператора в части работы с персональными данными.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящего Положения применяются следующие термины и определения: Оператор (ООО «Матрикс») - юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;
Работник означает физическое лицо:
находящееся в трудовых отношениях с Оператором;
бывшее в трудовых отношениях с Оператором.
Контрагент юридическое лицо или Индивидуальный предприниматель, заключившие с Оператором договоры гражданско-правового характера.
Исполнитель означает физическое лицо, заключившее с Оператором договор гражданско- правового характера, иные физические лица, обработка персональных данных которых осуществляется Субъектом по поручению, а также физические лица - исполнители по иным договорам с контрагентами Оператора.
Субъект персональных данных - Работник, Контрагент, Исполнитель, а также любое другое физическое лицо, в том числе, заключившее договор с Оператором.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);
Биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности человека и на основе, которых можно установить его личность и которые используются Оператором для установления личности Субъекта персональных данных. Специальные категории персональных данных - сведения, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни Субъекта.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационнотелекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Конфиденциальность персональных данных - обязанность Оператора не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Документами, содержащими персональные данные, являются:
паспорт или иной документ, удостоверяющий личность, включая информацию о фамилии, имени отчестве, номере, серии и дате выдачи, а также о гражданстве и адресе регистрации,
трудовая книжка и/или сведения о трудовой деятельности,
документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа
свидетельство о постановке на учет в налоговый орган и присвоении ИНН,
документы воинского учета,
документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки,
личная карточка Работника,
адреса электронной почты,
номера телефонов, в том числе домашнего и мобильного
документы, содержащие сведения о заработной плате, доплатах, надбавках, компенсациях
и льготах,
приказы о приеме на работу, об увольнении, о переводе на другую должность, о поощрениях и взысканиях, о повышении заработной платы, премировании, об отпусках и иные приказы по личному составу,
документы по командировкам и деловым встречам Работников,
заявления, запросы, объяснительные, докладные и служебные записки Работников,
документы (отчеты, заключения, акты, сообщения, информация, справки, переписка, докладные и служебные записки) о соблюдении дисциплины труда,
трудовой договор и дополнения к нему,
штатное расписание, график отпусков,
сведения о семейном положение, сведения о составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым и налоговым законодательством;
документы о достижениях Субъекта персональных данных, его интервью, повышениях квалификации,
разрешения на работу и иные документы, необходимые для оформления трудовых отношений с иностранными Субъектами персональных данных,
фотографии Субъекта персональных данных,
согласия Субъекта персональных данных на обработку персональных данных,
другие документы и электронные носители, содержащие персональные сведения, предназначенные для использования в служебных целях.
Согласие на обработку персональных данных Субъектов персональных данных может быть получено в письменном виде на бумажном носителе, а также на основании части 1 статьи 9 Закона о персональных данных в любой позволяющей подтвердить факт его получения форме, в том числе путем отметки в соответствующем поле на сайте Оператора в соответствии с п. 3.13 данного Положения. В случае, если Законодательством предусмотрено обязательное наличие письменной формы согласия в соответствии с пунктом 4 статьи 9 Закона о персональных данных, то таковое может быть получено только в письменном виде на бумажном носителе. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ И ГАРАНТИИ ИХ ЗАЩИТЫ
В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
обработка персональных данных Субъектов персональных данных осуществляется в целях обеспечения соблюдения законов и иных нормативных правовых актов, осуществления Оператором своей профессиональной деятельности на основании Устава и полученных лицензий.
все персональные данные Субъекта персональных данных следует получать у него самого. Если персональные данные Субъекта персональных данных, возможно, получить только у третьей стороны, то он должен быть уведомлен об этом до начала обработки персональных данных и от него должно быть получено письменное согласие.
в случае необходимости проверки персональных данных, Оператор должен заблаговременно сообщить Субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта персональных данных дать письменное согласие на их получение.
При сборе Персональных данных, в том числе посредством информационнотелекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации должны осуществляться Оператором с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом о персональных данных.
Обработка персональных данных осуществляется на основе принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Обработка персональных данных осуществляется только с согласия субъекта персональных данных или в иных случаях, предусмотренных действующим законодательством, в целях, определенных Оператором.
Субъект персональных данных предоставляет свое письменное согласие на обработку своих биометрических персональных данных, которая осуществляется Оператором для идентификации личности Субъекта персональных данных в служебных целях, а также для целей обеспечения личной безопасности Субъекта персональных данных и контроля количества и качества работы, выполняемой Субъектом персональных данных. Обработка таких персональных данных может осуществляться без согласия Субъекта персональных данных в случаях, предусмотренных российским законодательством.
Оператор не вправе отказывать в обслуживании в случае отказа Субъекта персональных данных предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если получение оператором согласия на обработку персональных данных не является обязательным
Целями обработки персональных данных Субъекта персональных данных, в частности, являются:
|
№№ |
Цель обработки ПД |
Категории Субъектов |
Персональные данные |
|
1 |
Ведение кадрового и бухгалтерского учета
|
Работники |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; |
|
2 |
Обеспечение соблюдения трудового законодательства РФ |
Работники |
Персональные данные фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица; |
|
3 |
Обеспечение соблюдения налогового законодательства РФ |
Работники; Контрагенты; |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); |
|
4 |
Подготовка, заключение и исполнение гражданско-правового договора |
Контрагенты; Клиенты |
фамилия, имя, отчество; год рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; |
Оператор не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно предусмотренных нормами действующего законодательства, Оператор вправе получать и обрабатывать данные о частной жизни Субъекта персональных данных только с его письменного согласия.
Оператор не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
При принятии решений, затрагивающих интересы Субъекта персональных данных, Оператор не имеет права основываться на персональных данных Субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки, за исключением установленных законодательством случаев.
Ответственность за сохранность документов и информации, содержащих персональные данные, несут Оператор и его Работники, которым разрешен постоянный или временный доступ к персональным данным в соответствии с приказами генерального директора ООО «Матрикс» или уполномоченного им лица.
Сбор персональных данных
Сбор персональных данных Субъекта персональных данных осуществляется путем:
копирования оригиналов документов Субъекта персональных данных,
внесения сведений в учетные формы Оператора (на бумажных и электронных носителях),
получения/создания оригиналов необходимых документов (включая, но не ограничиваясь трудовой книжкой, личной карточкой Работника, автобиографией, листком нетрудоспособности).
Персональные данные Контрагентов могут быть получены путем заполнения регистрационной формы, путем проставления отметки в соответствующем поле на сайте Оператора, посредством направления персональных данных на адрес электронной почты, указанный на сайте Оператора.
Хранение персональных данных
Все документы и иные носители информации, содержащие персональные данные, хранятся в охраняемых помещениях. В соответствии с требованиями законодательства с целью обеспечения безопасности информации применяются соответствующие технические средства.
Документы и иные носители информации, содержащие персональные данные Субъектов и т.п., хранятся в соответствующих структурных подразделениях Оператора, участвующих в обработке персональных данных, в порядке, обеспечивающем конфиденциальность указанных персональных данных.
Доступ к персональным данным, хранящимся в информационных системах персональных данных, обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются ответственными работниками Оператора и сообщаются в индивидуальном порядке работникам Оператора, имеющим доступ к персональным данным.
В случае обращения к Оператору третьих лиц за информацией о персональных данных Субъекта персональных данных, такая информация может быть предоставлена только с письменного согласия Субъекта персональных данных, за исключением случаев, установленных законодательством.
Информация, относящаяся к персональным данным, может быть предоставлена государственным органам в порядке, установленном федеральным законом.
Всем работникам Оператора категорически запрещено несанкционированно снимать какие-либо копии с полученных документов, содержащих персональных данные, делать из них выписки, а также направлять любую информацию, содержащую персональные данные, на личные электронные почты работников и т.п.
В случае обращения или получения запроса субъекта персональных данных о предоставлении информации о наличии у Оператора его персональных данных и/или об их обработке, Оператор предоставляет запрошенную информацию в соответствии с законодательством либо предоставляет письменный мотивированный отказ.
При изменении, уничтожении или блокировании неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных по требованию Субъекта персональных данных Оператор направляет ему уведомление.
Передача персональных данных Субъекта персональных данных.
Информация, относящаяся к персональным данным Субъекта персональных данных, может быть предоставлена государственным органам и негосударственным структурам в порядке, предусмотренном федеральным законодательством Российской Федерации. К таким органам и структурам, в частности относятся: • налоговые органы,
правоохранительные и судебные органы,
органы статистики,
военкоматы,
социальный фонд России,
главное управление по вопросам миграции МВД России,
органы занятости населения,
муниципальные органы управления,
иные органы, которым в силу законодательства Оператор должен предоставлять персональные данные Субъекта персональных данных исключительно в пределах, обусловленных целью их обработки и предусмотренных российским законодательством.
Такая информация передается на основании требований законодательства, а также в отдельных случаях по запросу некоторых из вышеуказанных органов на основании настоящего Положения в случаях, предусмотренных российским законодательством.
Оператор может осуществлять передачу персональных данных Субъекта персональных данных Заказчикам, с которыми взаимодействует Оператор в процессе осуществления основной деятельности, которые приобретают услуги Оператора и в виду этого нуждаются в получении определенной информации в отношении Субъекта. При этом передаче подлежат только те персональные данные Субъекта персональных данных, которые необходимы для осуществления вышеуказанных целей, а также иных целей, отвечающих требованиям законодательства.
Оператор не вправе предоставлять персональные данные Субъекта персональных данных третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в случаях, установленных Трудовым кодексом Российской Федерации и Федеральными законами.
В случае если лицо, обратившееся с запросом о получении персональных данных, не уполномочено федеральным законом или иными правовыми актами на получение такой информации, либо отсутствует письменное согласие Субъекта персональных данных на предоставление его персональных данных, Оператор обязан отказать такому лицу. Лицу, обратившемуся с письменным запросом, может выдаваться письменное уведомление об отказе в предоставлении персональных данных.
Персональные данные Субъекта персональных данных могут быть переданы уполномоченным представителям Субъекта персональных данных в порядке, установленном законодательством и только в том объеме, в котором они необходимы для выполнения указанными представителями их функции.
В случае, если Оператор на основании договора поручает обработку персональных данных другому лицу, в том числе представителям Субъекта персональных данных, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, то такое лицо обязано обеспечить конфиденциальность и безопасность персональных данных Субъекта персональных данных. Оператор должен ограничивать передачу такой информации только теми персональными данными Субъектов персональных данных, которые необходимы для выполнения третьими лицами их функций.
Способы обработки персональных данных Субъекта персональных данных
Обработка персональных данных Субъекта персональных данных осуществляется путем смешанной (как автоматизированной, так и без использования средств автоматизации) обработки, в том числе, с использованием внутренней сети и сети Интернет.
Обработка персональных данных без использования средств автоматизации
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Правила, предусмотренные 3.28.1.2 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, что в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц , осуществляющих обработку персональных данных либо имеющих к ним доступ.
Оператор обязан осуществлять раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ
Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации, если применяемые меры и средства обеспечения безопасности не соответствуют требованиям законодательства Российской Федерации, предъявляемым к системам данного класса.
Обработка персональных данных с использованием средств автоматизации осуществляется в рамках информационных систем персональных данных Оператора и внешних информационных систем, предоставляемых сторонними организациями.
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой с использования средств автоматизации:
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.
При передаче персональных данных Субъекта персональных данных с соблюдением условий, предусмотренных в настоящем Положении, должностные лица Оператора обязаны предупредить лиц, которым передаются данные, об ответственности в соответствии с законодательством Российской Федерации.
Защита информации осуществляется в соответствии с требованиями международных договоров, настоящего Положения, требованиями Оператора, а также российским законодательством.
Для защиты персональных данных Субъекта персональных данных Оператор обязан соблюдать следующие правила:
ограничение и регламентация состава лиц, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
избирательное и обоснованное распределение документов и информации, содержащих персональные данные Субъектов персональных данных, между лицами, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
в помещениях Оператора должны быть обеспечены необходимые условия для работы с конфиденциальными документами и базами данных, в том числе содержащих персональные данные (в частности, для хранения документов, содержащих персональные данные должны использоваться специально оборудованные шкафы или сейфы, которые запираются на ключ);
должен быть организован порядок уничтожения информации, содержащей персональные данные Субъекта персональных данных, если законодательством не установлены требования по хранению соответствующих данных (в частности, бумажные носители, содержащие персональные данные должны уничтожаться путем использования шредера или иным аналогичным способом);
с Субъектами персональных данных должна производиться разъяснительная работа по предупреждению утраты сведений при работе с конфиденциальными документами (в том числе, документами, содержащими персональные данные);
личные дела Работников могут выдаваться только специально уполномоченным должностным лицам;
персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа;
соблюдение порядка приема, учета и контроля деятельности посетителей на территории Оператора;
контроль соблюдения требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
расследование случаев несанкционированного доступа или разглашения персональных данных и привлечение виновных лиц к ответственности;
иные требования, предусмотренные законодательством.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор не осуществляет трансграничную передачу персональных данных
Базы данных, находятся на территории Российской Федерации,
В целях обеспечения защиты персональных данных, хранящихся у Оператора, Субъекты персональных данных имеют право на:
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У ОЕРАТОРА
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных федеральными законами;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе Оператора исключить или исправить персональные данные Субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав Субъектов персональных данных были направлены уполномоченным органом по защите прав Субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, когда Согласие Субъекта персональных данных не требуется в соответствии с Законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 4.5, 7.1-7.3 данного Положения, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения персональных данных в случаях, предусмотренных данным Положением, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут гражданско-правовую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящее Положение вступает в силу с момента его утверждения приказом генерального директора ООО «Матрикс», действует до его отмены в аналогичном порядке и доводится до сведения всех работников Общества под личную подпись.
Изменения и дополнения в настоящее Положение вносятся на основании соответствующего приказа генерального директора ООО «Матрикс» или уполномоченного им лица.