1 Общие положения и термины, используемые в Политике

1.1. Настоящий документ определяет политику ООО «Центр Развития Персонала» ИНН 7715591040, ОГРН 1067746256269 от 10 февраля 2006?г., адрес: Россия, 109145, город Москва, Привольная ул., д. 2 стр. 1, помещ. 31/н (далее – «Общество»), в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2 В настоящей Политике используются следующие основные понятия:

2 Принципы обработки персональных данных в Обществе

2.1. Обработка персональных данных осуществляется на законной и справедливой основе.

2.2. Перечень информации, обрабатываемой в информационных системах персональных данных Общества и подлежащей защите утвержден соответствующим приказом руководителя Общества.

2.3. В Обществе должны быть разработаны документы (трудовые договоры, соглашения), регулирующие отношения между организацией и ее работниками, сторонними организациями по порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи).

2.4. Для должностных лиц Общества, использующих сведения конфиденциального характера, должны быть созданы необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке.

2.5. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.6. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.7. Обработке подлежат только персональные данные, которые отвечают целям их обработки, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.8. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

2.9. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

2.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

2.11. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению.

2.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации.

2.13. Обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

3 Правовые основания обработки персональных данных

3.1. Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее также – «Закон о персональных данных»), Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 53 Федерального закона РФ от 07.07.2003 г., №126-ФЗ «О связи», Трудовым кодексом Российской Федерации, Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральным законом от 01.04.996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»; Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральный закон от 17.07.1999 № 178-ФЗ «О государственной социальной помощи»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Закон РФ от 27.11.1992 № 4015-I «Об организации страхового дела в Российской Федерации», Уставом Общества и иными нормативно-правовыми актами в области защиты персональных данных.

3.2 Основанием обработки является:

3.2.1. Договоры, заключаемые между Обществом и субъектом персональных данных, а также договоры, выгодоприобретателем или поручителем, по которому является субъект, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3.2.2. Согласие субъектов персональных данных на обработку персональных данных;

3.2.3. Защита прав и законных интересов Общества и третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

3.2.4. Участие Общества в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.2.5. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

3.2.6. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей.

3.2.7. Обработка персональных данных осуществляется в статистических целях, при условии обязательного обезличивания персональных данных.

3.2.8. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4 Цели и категории обработки персональных данных

4.1. Общество обрабатывает только те персональные данные, которые необходимы для оказания услуг и для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права субъекта персональных данных. Цели обработки персональных данных и перечень персональных данных Общества указаны в Приложении № 1 к настоящей Политике.

4.2. Общество не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, а также биометрические персональные данные. Обработка сведений о состоянии здоровья работников осуществляется исключительно в соответствии с действующим законодательством, в том числе Трудовым кодексом РФ.

4.3. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности субъекта персональных данных, не обрабатываются.

4.4. Определение порядка обработки персональных данных субъектов персональных данных, не являющихся сотрудниками Общества, а также обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

4.5. Обработка иных категорий персональных данных осуществляется Обществом с соблюдением следующих условий:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации в Обществе функций, полномочий и обязанностей;

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

• персональные данные субъектов персональных данных, не являющихся сотрудниками Общества, относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны;

• обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

5 Условия для прекращения обработки персональных данных

5.1 Условиями для прекращения обработки персональных данных в Обществе могут быть:

• достижение целей обработки персональных данных;
• истечение срока действия согласия на обработку персональных данных или договора с субъектом персональных данных;
• отзыв субъектом согласия персональных данных на обработку его персональных данных (при отсутствии иных правовых оснований обработки);
• выявление неправомерной обработки персональных данных;
• ликвидация Общества.

6 Условия обработки персональных данных

6.1. Обработка персональных данных субъектов персональных данных осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов РФ, обучения субъектов персональных данных-работников Общества, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества.

6.2. Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

6.3. Все персональные данные следует получать непосредственно у субъекта персональных данных или у его полномочного представителя. Если персональные данные, возможно, получить только у третьей стороны, то субъекта персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.4. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ.

6.5. По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:

• в судебные органы в связи с осуществлением правосудия;

• в органы федеральной службы безопасности;

• в органы прокуратуры;

• в органы полиции;

• в иные органы и организации в случаях, установленных нормативными правовыми актами, отраслевыми стандартами, обязательными для исполнения.

6.6. Общество обеспечивает ведение Журнала учета выданных персональных данных субъектов персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.

6.7. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

6.8. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законодательством, устанавливающим меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных или при наличии согласия в письменной форме субъекта персональных данных.

6.9. Общество обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

6.10. Общество обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

6.11. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.

6.12. Публикация (распространение) персональных данных для неограниченного круга лиц, в том числе на сайте Общества, может осуществляться только на основании отдельного согласия субъекта персональных данных, составленного с учетом нормативно установленных требований. Если субъекты устанавливают дополнительные условия / запреты последующей обработки персональных данных, Общество доводит эту информацию посредством размещения условий / запретов на соответствующих страницах веб-сайта, на которых осуществляется распространение персональных данных.

6.13. Обработка персональных данных осуществляется Обществом, а также иными третьими лицами, которые привлекаются Обществом к обработке или которым передаются персональные данные в указанных выше целях в соответствии с законодательством Российской Федерации. К числу подобных третьих лиц, в частности, могут относиться:

• контрагенты Общества, оказывающие услуги, связанные с исполнением договоров, стороной либо выгодоприобретателем, по которым является субъект персональных данных, услуги поддержки функционирования используемых информационных систем, платежных систем, услуги по предоставлению рекламно-информационных услуг, иные услуги, приобретаемые Обществом в указанных выше целях;

• иные аффилированные лица Общества для целей обеспечения внутригруппового взаимодействия.

6.14. Общество имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные, а также получать от них данные в указанных целях без дополнительного согласия субъекта при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке. Допускается обработка персональных данных указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке персональных данных, не противоречащих законодательству Российской Федерации. Обработка персональных данных третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с персональными данными, и цели обработки, а также положения по обеспечению безопасности персональных данных, в том числе требования не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 Закона о персональных данных.

6.15. Общество обязуется принимать необходимые правовые, организационные и технические меры для защиты получаемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, иных неправомерных действий в отношении персональных данных и соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и иными соответствующими нормативными актами.

6.16. Организация хранения персональных данных:

6.16.1. Обработка, в том числе хранение, персональных данных в Обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных.

6.16.2. Хранение персональные данных осуществляется на материальных (бумажных) носителях и в электронном виде.

6.16.3. Хранение текущей документации и оконченной производством документации, содержащей персональные данные субъектов персональных, осуществляется во внутренних подразделениях и в помещениях Общества, предназначенных для хранения отработанной документации. Ответственные лица за хранение документов, содержащих персональные данные субъектов персональных данных, должны быть назначены соответствующим Приказом.

6.16.4. Право доступа к определенным персональным данным субъектов имеют (получают) работники Обществе, которым это необходимо для выполнения их должностных обязанностей и которые наделены соответствующими полномочиями и правами доступа к персональным данным в соответствии с внутренним нормативным документом Общества.

6.16.5. При организации хранения материальных носителей персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

6.16.6. Хранение персональных данных может осуществляться в течение срока, установленного:

• договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

• согласием субъекта персональных данных,

• применимым законодательством РФ;

• локальным нормативным актом Общества, регламентирующим порядок и сроки хранения документов, содержащих персональные данные.

6.16.7. В Обществе организуется хранение персональных данных в течение времени, установленного требованиями законодательства, регулирующими архивное хранение, и иными нормативными актами, содержащими нормы о хранении персональных данных.

6.17. При достижении целей обработки персональных данных, а также в случае отзыва согласия на обработку, персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, или законодательством РФ;

• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иными федеральными законами.

6.18. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации в информационной системе персональных данных в соответствии с требованиями, установленными к документированию уничтожения персональных данных.

6.19. Особенности обработки персональных данных на сайте:

• Субъект персональных данных может самостоятельно при направлении заявки о сотрудничестве/о преддоговорной консультации в отношении услуги, запросе обратной связи предоставить Обществу свои персональные данные, заполнив поля в контактной форме на сайте.

• Обработка персональных данных субъектов персональных данных Общества осуществляется смешанным путем:

• При посещении субъектами персональных данных сайта Общества и использовании его функциональных возможностей осуществляется сбор технической информации. Такой сбор производиться с применением сервиса веб-аналитики «Яндекс.Метрика», использующего файлы «cookies». Указанные технологии позволяют оценивать качество работы сайта, анализировать особенности его использования и оптимизировать маркетинговую активность Общества в сети Интернет.

6.20. Общество может обрабатывать информацию, содержащуюся в файлах cookies. Политика обработки файлов cookies размещена по адресу в сети Интернет: https://www.src-master.ru и является неотъемлемой частью настоящей Политики.

7 Конфиденциальность персональных данных

7.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, выполнения положений договора гражданско-правового характера, стороной которого является субъект персональных данных, и в связи с оказанием Обществом услуг, является конфиденциальной информацией и охраняется действующим законодательством РФ.

7.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

7.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьим лицам без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

7.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

8 Реализация прав субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Обществом;

• правовые основания и цели обработки персональных данных;

• цели и применяемые Обществом способы обработки персональных данных;

• наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона РФ;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным федеральным законом РФ;

• сроки обработки персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами РФ.

8.2. Сведения должны быть предоставлены субъекту персональных данных Общества в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.3. Сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.4. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.5. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.6. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.7. Субъект персональных данных вправе, в том числе, отозвать согласие на обработку персональных данных путем направления соответствующего запроса по адресу электронной почты Общества src@src-master.ru , при условии подписания отзыва квалифицированной электронной подписью в порядке, предусмотренном частью 1 статьи 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», или путем направления соответствующего заявления на почтовый адрес Общества: Россия, 109145, город Москва, Привольная ул., д. 2 стр. 1, помещ. 31/н.

8.8. При получении запроса субъекта персональных данных о получении информации, касающейся обработки персональных данных, Общество обязуется безвозмездно в доступной форме предоставить субъекту такую информацию в срок, установленный законодательством.

8.9. Общество блокирует персональные данные на период внутренней проверки в случае выявления:

• неправомерной обработки персональных данных;

• неточных персональных данных;

• отсутствия возможности уничтожения персональных данных в течение срока, установленного законодательством в области персональных данных или в локальных нормативных актах.

8.10. Общество обязуется прекратить обработку и уничтожить персональные данные в следующих случаях:

• невозможности обеспечить правомерную обработку персональных данных;

• при достижении цели обработки персональных данных;

• истечения срока действия или отзыва субъектом персональных данных согласия на обработку персональных данных;

• истечения установленного срока обработки персональных данных.

8.11. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

8.12. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

8.13. В случае возникновения любых вопросов и обращений касательно обработки персональных данных, субъект персональных данных может обратиться по адресу электронной почты src@src-master.ru, либо направить письменное обращение на почтовый адрес Общества: Россия, 109145, город Москва, Привольная ул., д. 2 стр. 1, помещ. 31/н.

9 9. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных ст. 18.1., 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

9.1. Общество принимает все предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества.

9.2. При обработке персональных данных Общество:

9.2.1. Назначает лицо, ответственное за организацию обработки персональных данных;

9.2.2. Принимает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных;

9.2.3. Проводит внутренние плановые и внеплановые проверки на регулярной основе и контролирует, чтобы процессы обработки персональных данных соответствовали законодательству;

9.2.4. Регулярно проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения их прав и требований законодательства;

9.2.5. В Обществе определен порядок доступа к информационным ресурсам и ведется учет должностей работников Общества, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;

9.2.6. В случаях, предусмотренных законодательством Российской Федерации, в рамках системы защиты персональных данных применяет средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия. Ввод в эксплуатацию новых информационных систем производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

9.2.7. Ведет учет обрабатываемых в Обществе категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;

9.2.8. Ведет учет машинных носителей персональных данных и информационных систем Общества, в которых обрабатываются персональные данные;

9.2.9. Определяет необходимый уровень защищенности персональных данных, обрабатываемых в информационных системах персональных данных Общества. Определяет угрозы безопасности персональных данных при их обработке в информационных системах.

9.3. В рамках системы защиты персональных данных Общество реализует:

9.3.1. охрану помещений, в которых находятся технические средства информационных систем персональных данных;

9.3.2. оборудование помещений Общества запирающимися дверями;

9.3.3. применение необходимых программных и программно-аппаратных средств защиты, в частности средств разграничения доступа и регистрации действий пользователей, средств антивирусной защиты, резервного копирования, межсетевых экранов;

9.3.4. для передачи информации по линиям связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные линии связи, в том числе волоконно-оптические линии связи, оборудованные средствами защиты информации, либо предназначенные для этого средства криптографической защиты информации (СКЗИ).

9.3.5. организационные меры по обеспечению безопасности персональных данных, в частности реализованы процедуры установления правил доступа к персональным данным, регистрации и учета всех действий, совершаемых с персональными данными.

9.4. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9.5. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

9.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:

9.6.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;

9.6.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию;

9.6.3. уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

9.6.4. Персональные данные субъектов персональных данных, содержащиеся на материальных носителях уничтожаются по акту об уничтожении персональных данных.

9.6.5. Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

9.7. Для обеспечения безопасности персональных данных субъекта персональных данных при автоматизированной обработке предпринимаются следующие меры:

9.7.1. Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, согласно Списка должностей, допущенных к работе с персональными данными, утвержденного Приказом Общества, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

9.7.2. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъектов персональных данных на данном ПК.

9.7.3. Обработка персональных данных осуществляется с соблюдением приказа ФСТЭК России от 14 мая 2013 г № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

9.8. Обеспечивает ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных. Проводит обучение своих работников на регулярной основе и доводит до их сведения требования законодательства Российской Федерации.

9.9. Для обеспечения неограниченного доступа к Политике Общества в отношении обработки персональных данных и сведениям о реализованных мерах по защите персональных данных текст настоящей Политики опубликован на официальном сайте Общества.

10 Ответственность

10.1. Общество несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.

10.3. Работники Общества, допущенные к обработке персональных данных субъектов персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

Приложение № 1 к Политике в отношении обработки персональных данных