Политика в отношении обработки персональных данных ООО «РАС»

1. Общие положения

1.1. Политика в отношении обработки персональных данных ООО «РАС» разработана в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) и подзаконных актов, а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности персональных данных.

1.2. Настоящая Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных, Политика призвана обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных в Компании, а также описывает порядок обработки и защиты персональных данных физических лиц в связи с реализацией трудовых отношений, заключением договоров и исполнением договорных обязательств ООО «РАС» (далее Компании), осуществлением уставной деятельности организации.

1.3. Персональные данные относятся к категории конфиденциальной информации и защищены от несанкционированного, в том числе случайного, доступа к ним.

1.4. Положения Политики являются основой для организации работы по обработке персональных данных в Компании, в том числе, для разработки внутренних (локальных) нормативных актов (приказов, положений, регламентов и пр.), регламентирующих процесс обработки персональных данных в Компании.

1.5. Положения Политики являются обязательными для исполнения всеми работниками Компании, имеющими доступ к персональным данным.

2. Основные понятия в области персональных данных:

• оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• надзорный орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации о персональных данных (Роскомнадзор);
• интернет-ресурс, интернет-сайт, веб-сайт, сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу оператора https://www.rezalmaz.ru/ и его поддоменов;
• персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных, пользователю);
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• субъект персональных данных, пользователь - любое физическое лицо, имеющее взаимоотношения разного характера с компанией (оператором), доступ к интернет-ресурсу с помощью сети интернет и использующее его с разными целями;
• конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• информационные активы - данные, представленные на любом носителе в форме, которые имеют ценность для Компании и находятся в ее распоряжении;
• информационные ресурсы - любая зафиксированная на каком-либо носителе информация и обеспечивающие её обработку технологии;
• информационная безопасность (ИБ) - свойство информационных ресурсов сохранять конфиденциальность, целостность и доступность;
• кибербезопасность - обеспечение защищенности киберпространства, в котором функционирует бизнес, которое достигается применением набора средств, методик и принципов, направленных на противодействие угрозам в киберпространстве и минимизацию последствий от их реализации.

3. Принципы и условия обработки персональных данных

3.1. Обработка персональных данных Компанией осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:

• наличие законных оснований для обработки персональных данных;
• обработки персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
• обработка только тех персональных данных, которые отвечают целям их обработки;
• соответствие содержания и объема (недопущение избыточности) обрабатываемых персональных данных заявленным целям обработки;
• обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
• обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

3.2. Обработка персональных данных в Компании может осуществляться в следующих случаях:

• получено согласие субъекта на обработку его персональных данных;
• обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных осуществляется в связи с участием субъекта персональных данных в гражданском и арбитражном судопроизводстве;
• обработка персональных данных необходима для исполнения судебного акта в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

3.3. Правовыми основаниями обработки персональных данных в Компании являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
• Постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
• согласие субъекта на обработку его персональных данных;
• обработка, необходимая для осуществления прав и законных интересов оператора;
• договор, для исполнения которого требуется обработка персональных данных, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• договор, для заключения которого по инициативе субъекта персональных данных требуется обработка персональных данных, или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• Иные нормативно правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Цели, основания и методы обработки персональных данных

4.1. Обработка персональных данных субъектов персональных данных осуществляется Компанией в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.2. С целью обеспечения соблюдения трудового законодательства Российской Федерации, в том числе содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, выплаты заработной платы и иных, причитающихся работнику в соответствии с законодательством Российской Федерации или договором выплат, осуществления предусмотренных законодательством Российской Федерации налоговых и социальных отчислений, в Компании обрабатываются персональные данные:

4.2.1. Работников, уволенных работников:

1. Фамилия, имя, отчество, пол;
2. Дата и место рождения;
3. Сведения о гражданстве;
4. Сведения об образовании;
5. Профессия, квалификация, должность;
6. Семейное положение, состав семьи;
7. Паспортные данные;
8. Адрес, телефон;
9. Сведения о воинском учете;
10. Сведения о наградах, поощрениях, почетных званиях;
11. Сведения о социальном положении;
12. Данные пенсионного, медицинского страхования, ИНН, СНИЛС;
13. Доходы, суммы отчислений;
14. Информация об отпусках;
15. Фотография;
16. Реквизиты счета для зачисления заработной платы.

Обработка сведений о состоянии здоровья работников осуществляется в отдельных случаях в соответствии с законодательством Российской Федерации о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.

Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»; Федеральный закон от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»; Договор; Согласие субъекта.

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 50/75 лет ЭПК с момента прекращения трудовых отношений. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.

4.2.2. Близких родственников работников:

1. Фамилия, имя, отчество;
2. Степень родства;
3. Год рождения;
4. Данные свидетельства о рождении детей;

Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации.

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 50/75 лет ЭПК с момента прекращения трудовых отношений с работником. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.

4.3. С целью подбора персонала (соискателей) на вакантные должности оператора, в том числе осуществления отбора на замещение вакантных должностей; ведения кадрового резерва; трудоустройства успешно прошедших отбор на замещение вакантных должностей, в Компании обрабатываются персональные данные претендентов (соискателей) на замещение вакантных должностей:

1. Фамилия, имя, отчество, пол;
2. Дата и место рождения;
3. Сведения о гражданстве;
4. Сведения об образовании;
5. Профессия, квалификация, должность;
6. Сведения о трудовой деятельности;
7. Семейное положение, состав семьи;
8. Паспортные данные;
9. Адрес, телефон;
10. Сведения о воинском учете;
11. Сведения о социальном положении;
12. Данные пенсионного, медицинского страхования, ИНН, СНИЛС;
13. Фотография.

Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации; Согласие субъекта.

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных претендентов, включенных в кадровый резерв, составляет 5 лет (в случае включения в кадровый резерв) с момента принятия соответствующего решения. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения, при поступлении отзыва согласия субъекта либо при наступлении иных законных оснований.

4.4. С целью обеспечения соблюдения налогового законодательства Российской Федерации, в том числе осуществления расчетов с субъектами персональных данных; оформления первичных учетных документов; проявления должной осмотрительности, в Компании обрабатываются персональные данные контрагентов и их представителей:

1. Фамилия, имя, отчество;
2. Организация, должность;
3. Дата, место рождения;
4. Адрес;
5. Паспортные данные;
6. ИНН, ОГРН (для ИП);
7. Контактные данные (телефон, e-mail).

Основанием для обработки персональных данных является Налоговый кодекс Российской Федерации; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Договор; Согласие субъекта.

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 5 лет с момента оформления первичного учетного документа. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.

4.5.С целью осуществления уставной деятельности Компании заключения, исполнения и прекращения гражданско-правовых договоров; оказания платных и бесплатных услуг субъектам персональных данных; улучшения качества оказываемых услуг; осуществления связи с субъектами персональных данных для направления уведомлений, информации и запросов, связанных с деятельностью Компании, а также обработки обращений, заявлений, заявок и иных сообщений субъектов персональных данных; предоставления субъектам персональных данных доступа к использованию Интернет-сайта Компании и его функционала, а также обеспечение корректной работы веб-сайта, персонализация пользовательского опыта путем предоставления продукции, функций, возможностей и предложений, адаптированных под пользовательские потребности, предпочтения и интересы, обеспечение положительного пользовательского опыта, продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектами персональных данных; проведения статистических и иных исследований на основе обезличенных персональных данных, в Компании обрабатываются персональные данные пользователей Интернет-ресурсов:

1. Фамилия, имя, отчество;
2. Контактные данные (телефон, e-mail);
3. Организация, должность;
4. Файлы Cookies пользователей;
5. Данные метрических аналитических систем.

Основанием для обработки персональных данных является Согласие субъекта.

Срок обработки персональных данных ограничивается достижением заявленной цели. В случае утраты необходимости в достижении заявленной цели, персональные данные подлежат уничтожению. Уничтожение персональных данных осуществляется в установленные законодательством сроки при поступлении отзыва согласия субъекта либо при наступлении иных законных оснований.

4.6. Обработка персональных данных всех указанных категорий работников и пользователей интернет-ресурсов осуществляется с использованием следующих способов обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях.

4.6.1. Обработка Компанией персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и положений внутренних (локальных) нормативных документов (актов) Компании, регламентирующих вопросы обработки и защиты персональных данных.

4.6.2. При обработке персональных данных автоматизированным способом Компания принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных в порядке, предусмотренном законодательством Российской Федерации.

5. Сбор персональных данных

5.1. Сбор персональных данных осуществляется непосредственно у самого субъекта персональных данных. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными в соответствии с законодательством Российской Федерации, субъекту персональных данных разъясняются юридические последствия отказа в предоставлении таких данных и (или) согласия на их обработку.

5.2. Получение персональных данных у иных лиц возможно только при наличии законных оснований. При получении персональных данных у иных лиц, за исключением случаев, когда персональные данные получены в рамках поручения на обработку персональных данных или когда согласие получено передающей стороной, необходимо уведомить об этом субъекта.

5.3. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6. Обработка персональных данных

6.1. При обработке персональных данных в Компании осуществляются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

6.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

6.3. Компания в соответствии с Законом № 152-ФЗ может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.

6.4. Компания в соответствии с Законом № 152-ФЗ вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Компанией и третьим лицом, в котором должны быть определены:

• перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
• перечень персональных данных;
• требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона №152-ФЗ;
• обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 18.1 Закона №152-ФЗ;
• обязанность обеспечивать безопасность персональных данных при их обработке;
• требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона №152-ФЗ;
• требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона № 152-ФЗ;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

6.5.В случае подтверждения факта неточности персональных данных, такие персональные данные подлежат актуализации в течение семи рабочих дней. А в случае выявления факта неправомерности обработки персональных данных, такие персональные данные подлежат уничтожению в трехдневный срок.

6.6. Компания несет ответственность перед субъектом персональных данных за действия лиц, которым Компания поручает обработку персональных данных субъекта персональных данных.

6.7. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

6.8. Компания обязана сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

7. Хранение персональных данных

7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации либо договором, стороной которого является субъект персональных данных.

7.2. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.

7.3. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации либо договором, стороной которого является субъект персональных данных.

7.4. При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

8. Передача персональных данных

8.1. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации.

8.2. Передача персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу в рамках их полномочий допускается по основаниям, предусмотренным законодательством Российской Федерации.

8.3. Раскрытие персональных данных третьему лицу без согласия соответствующего субъекта не допускается, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.

8.4. Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта запрещено. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта.

8.5. Трансграничная передача персональных данных на территории иностранных государств не осуществляется.

9. Распространение персональных данных

9.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с учетом выполнения требований, предусмотренных законодательством Российской Федерации о персональных данных.

9.2. Субъект дает согласие на обработку персональных данных, разрешенных для распространения, отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

9.3. В случае если субъект сам раскрывает свои персональные данные неопределенному кругу лиц при помощи функционала Интернет-сайта или сервиса Компании без предоставления соответствующего согласия, дальнейшее распространение другими операторами персональных данных возможно только на основании согласия соответствующего субъекта на обработку персональных данных, разрешенных для распространения.

9.4. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

10. Условия и порядок прекращения обработки персональных данных

10.1. В случае достижения цели обработки персональных данных обработка таких персональных данных должна быть прекращена, а персональные данные должны быть уничтожены в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

10.2. В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

10.3. В случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение трех рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение дести рабочих дней с даты выявления неправомерной обработки.

10.4. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.1-10.3, должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.

11. Доступ к персональным данным

11.1. Право доступа к персональным данным, обрабатываемым в Компании, имеют:

• Генеральный директор Компании;
• работники Компании, для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей;
• третьи лица, осуществляющие обработку персональных данных по поручению Компании, на основании заключаемого с этим лицом договора (поручения).

11.2. Компания не раскрывает третьим лицам и не распространяет персональных данных без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

11.3. Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Компании обязуются соблюдать требования договоров и соглашений с Компанией в части обеспечения конфиденциальности и безопасности персональных данных.

12. Порядок взаимодействия с субъектами персональных данных

12.1. Любой субъект, персональные данные которого обрабатываются в Компании, соответствии с Законом № 152-ФЗ имеет право доступа к своим персональным данным, в том числе к следующей информации:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства Российской Федерации;
• перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
• сроки обработки персональных данных и сроки их хранения;
• порядок осуществления субъектом прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных».

12.2. Компания предоставляет сведения, указанные в п.12.1, в течение десяти рабочих дней с момента получения запроса субъекта или его законного представителя в форме, в которой получен соответствующий запрос (если иное не указано в запросе). В ответе на запрос не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Срок ответа на запрос может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемых сведений.

12.3. Запрос субъекта или его представителя должен содержать:

• номер основного документа, удостоверяющего личность субъекта или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Компанией (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;
• подпись субъекта персональных данных или его представителя.

12.4. Субъект вправе повторно обратиться в Компанию с запросом сведений, указанных в п.12.1, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

12.5. Субъект вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Компанией цели обработки.

12.6. Субъект вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес Компании и должен содержать сведения, указанные в п.12.3. В случае отзыва субъектом согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

13. Выполнение предусмотренных законодательством обязанностей

13.1. С целью выполнения Компанией обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, принимаются следующие меры:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных требованиям законодательства Российской Федерации;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;
• ознакомление работников Компании с положениями законодательства Российской Федерации и локальными актами Компании.

13.2. Компания в соответствии с требованиями Закона № 152-ФЗ обязана:

• предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
• по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• вести учет обращений субъектов персональных данных;
• не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
• в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную Законом № 152-ФЗ, с учетом установленных законодательством Российской Федерации исключений;
• разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на обработку персональных данных, если предоставление персональных данных и (или) получение согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;
• принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке и сроки, установленные законодательством о персональных данных;
• осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
• сообщать в Роскомнадзор, по запросу этого органа необходимую информацию;
• выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
• прекратить обработку и уничтожить персональные данные в случаях:
  • достижения целей (цели) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено Законом № 152-ФЗ или иными применимыми нормативными правовыми актами Российской Федерации;
  • отзыва субъектом персональных данных своего согласия на обработку персональных данных;
  • предъявлении субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Законом № 152-ФЗ;
  • выявления неправомерной обработки Компанией персональных данных (при невозможности обеспечить правомерность обработки).

13.3. Компания в соответствии с требованиями Закона № 152-ФЗ имеет право:

• отстаивать свои интересы в суде;
• обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом № 152- ФЗ;
• осуществлять передачу персональных данных субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) или имеется согласие субъекта на такую передачу;
• поручить обработку персональных данных субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона № 152-ФЗ;
• отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;
• самостоятельно, с учетом требований Закона № 152-ФЗ, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
• реализовывать иные права, предусмотренные законодательством Российской Федерации.

13.4. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания уведомляет Роскомнадзор:

• в течение 24 часов с момента выявления о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, включая сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом;
• в течение 72 часов с момента выявления о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента (при наличии).

14. Защита персональных данных

14.1. В Компании соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

14.2. При обработке персональных данных принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

14.3. С целью обеспечения безопасности персональных данных в Компании осуществляются следующие мероприятия:

• систематическая оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• оценка причинения вреда и (или) нанесения ущерба субъектам персональных данных в случае нарушения законодательства о персональных данных;
• определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах Компании, в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• разграничение доступа к информационным системам персональных данных, материальным носителям (документам), съемным (машинным) носителям персональных данных;
• регистрация и учет действий пользователей и администраторов информационных систем с персональных данных, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;
• предотвращение внедрения в информационные системы Компании вредоносных программ;
• использование защищенных каналов связи;
• резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем;
• исключение возможности бесконтрольного прохода в офисы Компании, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители персональных данных;
• выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности персональных данных, и реагирование на них;
• повышение уровня знаний работников Компании в сфере обработки и обеспечения безопасности персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных и совершенствование системы защиты персональных данных.
• проведение внутренних и внешних проверок (аудитов) соответствия безопасности персональных данных требованиям Политики, внутренних (локальных) документов (актов) Компании, требованиям законодательства о персональных данных;

15. Ответственность

15.1. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Компании.

15.2. За невыполнение требований Политики все работники Компании и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Федеральными законами Российской Федерации.

15.3. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством РФ ответственность.

16. Заключительные положения

16.1. К настоящей политике обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.

16.2. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, пересмотр Политики должен осуществляться не реже 1 (одного) раза в год, а также:

• при изменении законодательства Российской Федерации в области обработки персональных данных;
• в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
• по решению Генерального директора Компании;
• при появлении необходимости в изменении целей, принципов и условий обработки персональных данных в Компании.

16.3. Актуальная редакция Политики размещается на официальном Интернет-сайте Компании https://www.rezalmaz.ru/ для обеспечения возможности неограниченного доступа посетителями веб-сайта.

16.4. В случае возникновения вопросов, связанных с обработкой персональных данных или реализации прав субъекта персональных данных, можно задать их направив соответствующее письменное обращение по почтовому адресу: 125438, г. Москва, Лихоборская набережная, д.14, этаж 1, помещение II, комната 30 или в электронной форме по адресу: info@rezalmaz.ru

16.5. Обращение от субъекта персональных данных или его представителя должно содержать сведения, позволяющие идентифицировать его и его представителя (в случае наличия), а также сведения, позволяющие установить характер отношений с Компанией:

• фамилию, имя, отчество субъекта персональных данных или его представителя;
• серию, номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи документа и выдавшем его органе;
• подпись субъекта персональных данных или его представителя;
• если обращение направлено представителем субъекта персональных данных, оно должно содержать копию документа, подтверждающего его полномочия.

17. Реквизиты и контактная информация

Наименование: Общество с ограниченной ответственностью «РезАлмазСтрой»

Сокращенное наименование: ООО «РАС»

ИНН: 7743872879

КПП: 774301001

ОГРН: 1127747230973

Юридический адрес: 125438, г.Москва, Лихоборская набережная, д.14, этаж 1, помещение II, комната 30

Почтовый адрес: 125438, г.Москва, Лихоборская набережная, д.14, этаж 1, помещение II, комната 30