Top.Mail.Ru
Центр поддержки клиентов
+7 (909) 369-1000
Положение о работе с персональными данными ООО «Простая еда»

Положение о работе с персональными данными ООО «Простая еда»

Положение о работе с персональными данными ООО «Простая еда»

1. Общие положения.

1.1. Положение о работе с персональными данными ООО «Простая еда» (далее – Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами Российской Федерации.

1.2. Настоящее Положение действует в отношении всех персональных данных, которые обрабатывает ООО «Простая еда». Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.3. Цель настоящего Положения – защита персональных данных Оператора от несанкционированного доступа и разглашения.

1.4. Настоящее Положение вступает в силу с момента его утверждения генеральным директором ООО «Простая еда» и действует бессрочно, до замены его новым Положением.

1.5. Все изменения и дополнения к Положению вносятся приказом и утверждаются генеральным директором ООО «Простая еда».

1.6. Все работники организации должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под роспись. При приеме на работу ознакомление производится до подписания трудового договора.

1.7. К информации, содержащей персональные данные работника, применяется режим конфиденциальности, то есть обязательное для соблюдения получившим доступ к персональным данным лицом требование не допускать их распространения без согласия работника или наличия иного законного основания.

Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения.

1.8. Не требуется обеспечение конфиденциальности персональных данных:

– в случае обезличивания персональных данных (п. 2.2.6.);

– в отношении общедоступных персональных данных (п. 2.5.).

1.9. Исполнение настоящего Положения обеспечивается за счет средств Общества в порядке, установленном Трудовым кодексом Российской Федерации или иными федеральными законами.

2. Основные понятия, используемые в настоящем положении.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных работника – это действия с персональными данными, совершаемые с использованием средств автоматизации или без использования таких средств, включая:

  • Сбор;
  • Систематизацию;
  • Накопление;
  • Хранение;
  • Уточнение (обновление, изменение);
  • Использование;
  • Распространение (в том числе передача);
  • Обезличивание;
  • Блокирование;
  • Уничтожение
    • 2.3.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

      2.3.2. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

      2.3.3. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

      2.3.4. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

      2.3.5. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

      2.3.6. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

      2.4. Использование персональных данных работника – это действия с персональными данными, совершаемые получившим доступ к персональным данным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника или других лиц либо иным образом затрагивающих права и свободы работника или других лиц;

      2.5. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

      2.6. Общедоступные персональные данные работников – это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

      3. Состав и категории субъектов персональных данных

      3.1. Обществом обрабатываются персональные данные следующих субъектов персональных данных:

      • физические лица, состоящие с Обществом в трудовых отношениях;
      • физические лица, уволившиеся из Общества;
      • физические лица, являющиеся кандидатами на работу;
      • физические лица, состоящие с Обществом в гражданско-правовых отношениях.    
      • 3.2. Персональные данные, обрабатываемые Оператором:
        • данные, полученные при осуществлении трудовых отношений;
        • данные, полученные для осуществления отбора кандидатов на работу;
        • данные, полученные при осуществлении гражданско-правовых отношений.    
        • 4. Права субъектов персональных данных

          4.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:

          • подтверждение факта обработки персональных данных Оператором;
          • правовые основания и цели обработки персональных данных;
          • цели и применяемые Оператором способы обработки персональных данных;
          • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
          • сроки обработки персональных данных, в том числе сроки их хранения;
          • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
          • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
          • обращение к Оператору и направление ему запросов;
          • обжалование действий или бездействия Оператора.
          • 4.2. Сведения, указанные в п. 4.1., предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

            4.2.1. Запрос (Приложение № 1) должен содержать:

          • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,
          • сведения о дате выдачи указанного документа и выдавшем его органе,
          • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором либо сведения, иным образом подтверждающие факт обработки персональных данных оператором,
          • подпись субъекта персональных данных или его представителя.
          • 4.2.2. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

            4.3. В случае, если сведения, указанные в п. 4.1. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

            4.4. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 4.3., в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

          4.5. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4.3. и 4.4.. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

          4.6. Работник имеет право определять своих представителей для защиты собственных персональных данных.

          4.7. Работник вправе требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. Персональные данные оценочного характера работник вправе дополнить заявлением, выражающим его собственную точку зрения.

          4.8. Работник вправе требовать уполномоченных должностных лиц об извещении всех адресатов, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Уполномоченные должностные лица общества в срок – 5 рабочих дней обязаны это сделать.

          4.9. Работник имеет право обжаловать в соответствующие инстанции любые неправомерные действия или бездействие уполномоченных должностных лиц при обработке и защите его персональных данных.

          5. Обязанности оператора персональных данных

          5.1. Оператор обязан:

          • при сборе персональных данных предоставить информацию об обработке персональных данных;
          • в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
          • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
          • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
          • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
          • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

          6. Обязанности работников, допущенных к обработке персональных данных

          6.1. Персональные данные работника используются уполномоченными должностными лицами исключительно в целях обеспечения соблюдения нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

          6.2. При принятии решений, затрагивающих интересы работника, уполномоченные должностные лица не имеют права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Уполномоченные должностные лица также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, уполномоченное должностное лицо предлагает работнику представить письменные разъяснения.

          6.3. Уполномоченные должностные лица получают все персональные данные работника непосредственно от самого работника. Если персональные данные работника возможно получить только у третьего лица, то работник должен быть уведомлен об этом заранее и от него должно быть получено его письменное согласие (Приложение № 2).

          6.4. Уполномоченные должностные лица должны сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

          6.5. Информация, предоставляемая работником при поступлении на работу в общество, должна иметь документальную форму. Если иное не установлено Трудовым кодексом РФ, другими федеральными законами, при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:

          • паспорт или иной документ, удостоверяющий личность;
          • трудовую книжку и (или) сведения о трудовой деятельности (СТД-Р или СТД-ПФР), за исключением случаев, когда договор заключается впервые;
          • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
          • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
          • документ об образовании и (или) квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
          • дополнительные документы - в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
          • 6.6. В Обществе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

          6.6.1. Документы, содержащие персональные данные работников:комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
          • подлинники и копии приказов (распоряжений) по кадрам;
          • личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
          • дела, содержащие материалы аттестаций работников;
          • дела, содержащие материалы внутренних расследований;
          • справочно-информационный банк данных по персоналу (картотеки, журналы);
          • подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Компании, руководителям структурных подразделений;
          • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
          • 6.6.2. Документация по организации работы структурных подразделений:
            • должностные инструкции работников;приказы, распоряжения, указания руководства Компании;
            • документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

            6.7. Личные дела и личные карточки работника (унифицированная форма № Т-2) хранятся в бумажном виде. Личные дела и личные карточки хранятся в запирающихся шкафах и ящиках столов, защищенных от несанкционированного доступа.

            6.8. Трудовые книжки работников, вкладыши в них, сведения о трудовой деятельности работников (СТД-Р), журналы учета, бланки строгой отчетности хранятся в сейфах.

            6.9. Другие документы на бумажных носителях, содержащие персональные данные работников, хранятся в местах, защищенных от несанкционированного доступа.

            6.10. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети и в ПК уполномоченных должностных лиц.

            6.11. Копировать и делать выписки из документов, содержащих персональные данные работника, разрешается уполномоченным должностным лицам исключительно в служебных целях.

            6.12. Уполномоченные должностные лица не вправе требовать от работника представления информации о его политических и религиозных убеждениях, а также о частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, уполномоченные должностные лица вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия либо без согласия его согласия в следующих случаях:

            - персональные данные являются общедоступными;

            - персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

            - по требованию полномочных государственных органов в случаях, предусмотренных законодательством Российской Федерации.

            6.13. Уполномоченные должностные лица не вправе получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

            6.14. Работник представляет уполномоченному должностному лицу достоверные сведения о себе. Уполномоченное должностное лицо проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

            6.15. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

            6.16. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральными законами.

            6.17. Уполномоченные должностные лица не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

            6.18. Уполномоченные должностные лица предупреждают адресатов, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдается. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

            6.19. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, уполномоченное должностное лицо обязано отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных. Копия уведомления подшивается в личное дело работника.

            6.20. Персональные данные работника могут быть переданы представителю работника в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанным представителем их функций.

            6.21. Уполномоченное должностное лицо обеспечивает ведение журнала учета передачи информации, содержащей персональные данные работников (Приложение №3), в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

            7. Порядок доступа к персональным данным

            7.1. К обработке персональных данных в Обществе допускаются работники, должности которых указаны в п. 8.2. настоящего Положения.

            7.2. Предоставление допуска к обработке персональных данных работникам, должности которых не включены в перечень, запрещено.

            7.3. Допуск к обработке персональных данных предоставляется работнику Общества исключительно после выполнения следующих мероприятий:

            а) подписания работником обязательства о неразглашении персональных данных (Приложении № 4);

            б) ознакомления работника под роспись с внутренними нормативными и распорядительными документами в области обработки и обеспечения безопасности персональных данных;

            7.4. Обработка персональных данных, являющихся общедоступными, может осуществляться всеми работниками Общества без исключения и не требует включения работника в Перечень. Подписание обязательства о неразглашении персональных данных и прохождение инструктажа в данном случае не является обязательным.

            7.5. В случае, если допуск к обработке персональных данных необходимо предоставить лицам, не являющимся работниками Общества (физическим лицам, привлекаемым по договорам гражданско-правового характера, представителям контрагентов и т.п.), с таким лицом должно быть подписано соглашение о конфиденциальности.

            7.6. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

            7.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

            7.8. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

            7.9. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

            7.10. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

            7.11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

            8. Условия обработки персональных данных в компании

            8.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законодательством. Обработка персональных данных допускается в следующих случаях:

            8.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

            8.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

            8.2. Право доступа к персональным данным работника имеют: 

             № п/п  Должностные лица  Перечень персональных данных
                       1
            Генеральный директор

            Полный допуск к обработке персональных данных работников            
                       2 Начальник службы управления персоналом Полный допуск к обработке персональных данных работников          
                       3 Работники службы управления персоналом Полный допуск к обработке персональных данных работников          
                       4 Главный бухгалтер – финансовый директор Полный допуск к обработке персональных данных работников          
                       5 Работники финансовой службы Частичный допуск к обработке тех данных, которые необходимы для выполнения их непосредственных должностных обязанностей
                       6 Руководитель структурного подразделения, которому подчиняется работник Частичный допуск к обработке тех данных, которые необходимы для выполнения их непосредственных должностных обязанностей
                       7 Работники юридической службы Частичный допуск к обработке тех данных, которые необходимы для выполнения их непосредственных должностных обязанностей
                       8 Работники отдела финансового контроллинга Частичный допуск к обработке тех данных, которые необходимы для выполнения их непосредственных должностных обязанностей
                       9 Работники службы клиентской поддержки Частичный допуск к обработке тех данных, которые необходимы для выполнения их непосредственных должностных обязанностей

            9. Цели обработки персональных данных

            9.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

            9.2. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

            9.3. Обработка Оператором персональных данных осуществляется в следующих целях:

            1) обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;

            2) выполнения требований трудового законодательства и иных актов, содержащих нормы трудового права, при приеме на работу, при предоставлении гарантий и компенсаций и др.;

            3) выполнения требований налогового законодательства, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

            4) выполнения требований пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

            5) заполнения первичной учетной документации в соответствии с постановлением Госкомстата России от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

            6) содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;

            7) привлечение и отбор кандидатов на работу у Оператора;

            8) организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

            9) заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

            10) осуществление гражданско-правовых отношений;

            11) ведение бухгалтерского учета.

            10. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных

            10.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

            10.1.1. назначение ответственного за организацию обработки персональных данных;

            10.1.2. издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

            10.1.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

            10.1.4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

            10.1.5. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

            10.1.6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

            10.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

            10.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

            В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

            10.4. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

            10.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.

            В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

            Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

            10.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

            10.6.1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

            10.6.2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

            10.7. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

            10.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом.

            10.8.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

            10.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п 10.5. и 10.8.1 настоящего положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

            11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

            11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

            11.2. Если права и законные интересы работника были нарушены в связи с разглашением информации, содержащей его персональные данные, или иным неправомерным использованием такой информации, он вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

            11.3. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.