Политика в отношении обработки персональных данных
и реализации требований к защите персональных данных ИП Хохлов Константин Александрович
1. Общие положения
1.1. Настоящая Политика об обработке и защите персональных данных оператора ИП Хохлов Константин Александрович разработана в целях соблюдения ИП Хохлов Константин Александрович (далее – Оператор) законодательства Российской Федерации в отношении обработки персональных данных (далее - Политика) во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика устанавливает порядок обработки персональных данных физических лиц в связи с реализацией трудовых отношений, с оказанием услуг, выполнением работ и осуществлением коммерческой деятельности Оператором. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых Оператором персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.6. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
2. Правовые основания обработки персональных данных
2.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
2.2. Обработка персональных данных Оператором осуществляется в соответствии с: · Конституцией Российской Федерации;
· Гражданским кодексом Российской Федерации; · Трудовым кодексом Российской Федерации;
· Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Указом Президента Российской Федерации от 06 марта 1997 г. №188 «Об утверждении Перечня сведений конфиденциального характера»;
· Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных",
· Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",
· Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним локальными нормативными актами.
· Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· Приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
· Уставом ИП Хохлов Константин Александрович;
· Договорами и соглашениями, заключаемыми между Оператором и субъектом персональных данных;
· Согласиями на обработку персональных данных;
· Иными законодательными и нормативные правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти, в соответствии с которыми определяется настоящая Политика иные нормативные правовые акты.
2.3. ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.
2.4. Оператор с согласия пользователя вправе обрабатывать любую персональную информацию, включая IP-адрес, cookie-файлы, пиксели, локальные хранилища и другие сетевые идентификаторы, позволяющие прямо или косвенно установить определенного пользователя и его потребительские предпочтения на основе данных о посещении его интернет-ресурсов.
3. Принципы и цели сбора и обработки персональных данных
3.1. Оператор, являясь оператором персональных данных, осуществляет обработку персональных данных её работников и других субъектов персональных данных, не состоящих с Операторм в трудовых отношениях.
3.2. Обработка персональных данных Оператором осуществляется с учётом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
− обработка персональных данных Оператором осуществляется на законной и справедливой основе;
− обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
− не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
− не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
− обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объём обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
− при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
− хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
− обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Цели обработки персональных данных происходят из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.5. Персональные данные обрабатываются Оператором в целях:
− обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
− осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в ФНС Российской Федерации, в Социальный Фонд Российской Федерации, а также в иные государственные органы для заполнения и передачи требуемых форм отчетности;
− ведения бухгалтерского и кадрового учета;
− регулирования трудовых отношений с работниками Оператора (организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования, содействие в трудоустройстве, обучение и карьерный рост, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
− предоставления работникам Оператора и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
− защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
− подготовки, заключения, исполнения и прекращения договоров с контрагентами; − обеспечения пропускного и внутриобъектового режимов на объектах Оператора; − привлечение и отбор кандидатов на работу у Оператора;
− исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
− осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
− осуществление гражданско-правовых отношений.
4. Объем и категории персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствует целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Категории субъектов, чьи персональные данные обрабатываются, указаны в Приложении № 1 к настоящей Политике. Всем вышеуказанным категориям субъектов применительно к конкретным целям обработки в требуемом объеме Оператором обрабатываются персональные данные.
4.3. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора. Указанный перечень закреплен в приложении № 1 к настоящей Политике.
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется. Обработка специальных категорий персональных данных (состояние здоровья, сведения о судимости) и биометрических персональных данных (ДНК, цветное цифровое фотографическое изображение лица) Оператором производится в установленном законом порядке на основании согласия субъекта персональных данных.
4.5. Оператором осуществляется обработка персональных данных с использованием web-портала avtomatika-vorota.ru. Такая обработка персональных данных осуществляется в целях исполнения запросов пользователей, включая обработку заявок, поступающих через формы на сайте; улучшения функционирования сайта и предоставление персонализированного контента; анализ пользовательского поведения с использованием метрических программ (Яндекс.Метрика); исполнения договоров и оказание услуг.
4.6. В целях идентификации web-портала gatemotors.ru поисковой системой yandex.ru, а также учета частоты посещения страниц данных web-порталов Оператор использует службу Yandex.Metrika, технологии cookies и CRM-систему AmoCRM для обработки заявок и управления взаимодействием с пользователями. В момент посещения пользователем той или иной страницы Оператора браузер пользователя, выполняя сервисные коды службы Yandex.Metrika, передает в них информацию о факте посещения страницы, о времени посещения страницы, об адресе страницы, с которой произошел переход на текущую страницу, IP-адресе, данные об аппаратных событиях, файлы cookies, сведения о местоположении.
5. Порядок и условия обработки персональных данных. Перечень действий с персональными данными и способы их обработки
5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
5.2. Обработка персональных данных Оператором осуществляется следующими способами:
− неавтоматизированная обработка персональных данных (ведение трудовых книжек, личных карточек, личных дел на сотрудников; оформление и хранение дел и др.);
− автоматизированная обработка персональных данных с помощью средств вычислительной техники (внесение персональных данных в 1С: Бухгалтерия, 1С: Кадры, иные программы) с
передачей полученной информации по информационно- телекоммуникационным сетям или без таковой;
− смешанная обработка персональных данных.
Обработка персональных данных может осуществляться как с передачей, так и без передачи данных по внутренней сети Оператора и по сети Интернет.
5.3. Оператор не осуществляет трансграничную передачу персональных данных.
5.4. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва: согласие субъекта персональных данных действует 50 лет. Обработка персональных данных прекращается оператором при достижении цели обработки. Сроки обработки персональных данных установлены настоящей Политикой, ФЗ «О персональных данных», иными нормативными актами. Персональные данные обрабатываются Оператором с соблюдением сроков, указанных в Приложении № 1 к настоящей Политике.
5.5. Функции ИП Хохлов Константин Александрович при осуществлении обработки персональных данных:
− принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных;
− принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
− назначает лицо, ответственное за организацию обработки персональных данных Оператором; − издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных Оператором;
− осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
− публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
− сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
− прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
− совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
5.6. Условия обработки персональных данных ИП Хохлов Константин Александрович;
5.6.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
· непосредственно;
· с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.6.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
5.6.3. Обработка персональных данных осуществляется путем:
· получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
· внесения персональных данных в журналы, реестры и информационные системы Оператора; · использования иных способов обработки персональных данных
5.6.4. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных».
6. Раскрытие (предоставление) персональных данных
6.1. Оператор соблюдает требования конфиденциальности персональных данных, установленные ст. 7 Федерального закона "О персональных данных", а также принимает меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона "О персональных данных".
6.2. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
6.3. Оператор на сайте avtomatika-vorota.ru опубликовал, а также иным образом обеспечил неограниченный доступ к настоящей Политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (доступен в отделе кадров и/или приемной исполнительного органа Оператора).
6.4. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные граждан иному (третьему) лицу без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
6.5. По мотивированному запросу исключительно в целях выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
− в судебные органы в связи с осуществлением правосудия; − в органы государственной безопасности;
− в органы прокуратуры; − в органы полиции;
− в органы дознания, следственные органы;
− в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
6.6. Работники, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных, по телефону или факсу.
6.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
6.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
− оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
− иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.9. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
7. Регламент реагирования на запросы/обращения субъектов персональных данных
7.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 ФЗ «О персональных данных» субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
7.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
7.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8. Хранение и уничтожение персональных данных
8.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.2. Сроки хранения персональных данных и основание (условие), наступление которого повлечет прекращение обработки персональных данных) указаны в Приложении№ 1 к настоящей Политике.
8.4. Хранение персональных данных осуществляется в архивах и электронных архивах Оператора, в том числе при обработке персональных данных без использования средств автоматизации.
8.5 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
8.6. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
9. Права субъектов персональных данных
9.1. Субъекты персональных данных имеют право на:
− полную информацию об их персональных данных, обрабатываемых Оператором;
− доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
− уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
− отзыв согласия на обработку персональных данных;
− принятие предусмотренных законом мер по защите своих прав;
− обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
− осуществление иных прав, предусмотренных законодательством Российской Федерации.
9.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Для реализации вышеуказанных прав субъект персональных данных может в порядке, установленном ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться к Оператору с соответствующим запросом. Для выполнения таких запросов сотруднику Оператора может потребоваться установить личность субъекта персональных данных, в связи с чем он вправе направить запрос о предоставлении дополнительной информации.
9.4. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
9.6. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие в вышестоящий орган, в органы прокуратуры или в судебном порядке.
9.7. Кроме того, действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше прав субъектов персональных данных.
9.8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.9. Работник обо всех появившихся во время работы Оператором изменениях в обстоятельствах жизни (изменение фамилии, семейного положения, адреса, телефона, образования и т.п.) в течение 7-и рабочих дней со дня получения документов, подтверждающих изменения, сообщает Работодателю для внесения соответствующих изменений. В случае непредставления своевременно сведений Работником Работодателю об имевших место изменениях, Работодатель не несет ответственности за возможные неблагоприятные последствия.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо
обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.10. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных,
уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О Персональных данных» или другими федеральными законами.
9.13. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанных сроков оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. Меры, принимаемые ИП Хохлов Константин Александрович для обеспечения выполнения обязанностей оператора при обработке персональных данных
11.0. Меры, необходимые и достаточные для обеспечения выполнения Оператором обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
− принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
− организацию обучения и проведение методической работы с работниками подразделений Оператора, занимающими должности, включенные в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;
− получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
− обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путём их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
− создание необходимых условий для работы с персональными данными;
− обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях, и которые содержат разные категории персональных данных;
− установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, корпоративной сети передачи данных Оператора, а также сетям Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
− хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
− осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Оператора;
− иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
11. Меры по обеспечению защиты персональных данных.
11.1. Оператор при обработке персональных данных обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
− назначено лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.
− сотрудники Оператора, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
− разграничены права доступа к обрабатываемым персональным данным.
− проводятся периодические проверки условий обработки персональных данных в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям.
11.2. Помимо вышеуказанных мер осуществляются меры технического характера, направленные на:
− предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;
− резервирование и восстановление баз персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− иные необходимые меры безопасности.
11.3. Принимаемые меры основаны на требованиях ст. 18.1, ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимся государственными и муниципальными органами», постановлении Правительства Российской
11.4. Обеспечение безопасности персональных данных достигается, в частности:
− определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
− применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
− применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
− оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
− учетом машинных носителей персональных данных;
− обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
− восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
− контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
11.5 Оператором используются следующие средства обеспечения безопасности: − антивирусное ПО;
− использование электронно-цифровой подписи (ЭЦП);
− пароли на компьютерах, на которых осуществляется обработка персональных данных; − резервное копирование;
− использование межсетевых экранов;
− ограничение доступа в помещения, в которых осуществляется обработка персональных данных; хранение документов в сейфах, запираемых шкафах.
12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов ИП Хохлов Константин Александрович в области персональных данных, в том числе требований к защите персональных данных
12.1. Контроль осуществляется лицом, ответственным за организацию обработки персональных данных Оператора, а в обособленных подразделениях Оператора – лицами, назначенными
13. Гарантии конфиденциальности
13.1. Информация, относящаяся к персональным данным в связи с реализацией трудовых отношений и в связи с коммерческой деятельностью Оператора (оказанием услуг, выполнением работ) и т.д.), является конфиденциальной информацией и охраняется законом.
14. Изменения и приложения к настоящей Политики
14.1. Настоящая Политика может быть дополнена либо изменена. В случае внесения в настоящую Политику существенных изменений, к ним обеспечивается неограниченный доступ всем заинтересованным субъектам персональных данных.
14.2. В целях реализации положений Политики Оператором могут быть разработаны локальные нормативные акты и иные документы, регламентирующие Оператором вопросы обработки персональных данных.