Приложение №1

к Приказу Обществас ограниченной ответственностью «ДОМОДЕЛ.РУ»








ПОЛИТИКА

обработки и защиты персональных данных в Обществе сограниченной ответственностью «ДОМОДЕЛ.РУ»























Оглавление
1.        Общие положения................................................................................................................. 3
1.1.         О документе...................................................................................................................... 3
1.2.         Список сокращений и аббревиатур................................................................................. 3
1.3.         Список понятий и определений.................................................................................... 3
1.4.         Общие положения по организации обработки и обеспечению безопасности ПДн 6
1.5.         Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн,способы, сроки их обработки и хранения, порядокуничтожения..... 7
1.6.         Улучшение порядка обработки ПДн........................................................................... 8
1.7.         Основные правила обработки ПДн.............................................................................. 9
1.8.         Порядок предоставления доступа работников к ПДн................................................ 9
1.9.         Порядок обработки ПДн, включая сбор, запись и хранение ПДн............................ 9
1.10.      Порядок уничтожения ПДн........................................................................................ 10
2.        Лицо, ответственное за организацию обработки ПДн..................................................... 13
2.1.         Статус лица, ответственного за организацию обработки ПДн............................... 13
2.2.         Функции лица, ответственного за организацию обработки ПДн............................ 13
2.3.         Полномочия лица, ответственного за организацию обработки ПДн...................... 15
2.4.         Ответственность лица, ответственного за организацию обработки ПДн.............. 15
3.        Порядок обмена ПДн с третьим лицами и неопределенным кругом лиц...................... 16
3.1.         Получение ПДн............................................................................................................ 16
3.2.         Передача ПДн.............................................................................................................. 16
3.3.         Трансграничная передача ПДн................................................................................... 17
3.4.         Соглашение о поручении обработки ПДн................................................................. 18
3.5.         Соглашение о защите ПДн......................................................................................... 18
4.        Меры обеспечения конфиденциальности и безопасности ПДн...................................... 20
5.        Порядок взаимодействия с уполномоченными органами................................................ 22
6.        Содержание ответственности за нарушение норм, регулирующих обработку ПДн.... 24
Приложение № 1 к Политике обработки и защиты персональных данных........................... 25

1.             Общие положения1.1.     О документе
1.1.1.     Настоящая Политика обработки и защиты персональных данных в обществе с ограниченной ответственностью «ДОМОДЕЛ.РУ» (далее – Политика) определяет порядок обработки персональных данных субъектов персональных данных в ООО
«ДОМОДЕЛ.РУ».
1.1.2.     Настоящая Политика:
-             разработана в соответствии с действующим законодательством Российской Федерации в области персональных данных;
-             обязательна для исполнения всеми лицами, непосредственно осуществляющими обработкуперсональных данных в ООО «ДОМОДЕЛ.РУ». Нарушение порядка обработки персональных данных, определенного данной Политикой, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с нормами действующего законодательства Российской Федерации.
1.1.3.     Все персональные данные, обрабатываемые Оператором, являются конфиденциальной информацией.
1.2.     Список сокращений и аббревиатур
1.2.1.     В Политике используются следующие сокращения и аббревиатуры:

АРМ

Автоматизированное рабочее место

БД

База данных

ГК РФ

Гражданский кодекс Российской Федерации

ИСПДн

Информационная система персональных данных

Оператор

ООО «ДОМОДЕЛ.РУ»

ПДн

Персональные данные

Политика

Политика обработки и защиты персональных данных Оператора

Роскомнадзор

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (уполномоченный орган по защите прав субъектов персональных данных)

РФ

Российская Федерация

ТК РФ

Трудовой кодекс Российской Федерации

УК РФ

Уголовный кодекс Российской Федерации

ФСБ России

Федеральная служба безопасности Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности)

ФСТЭК

России

Федеральная служба по техническому и экспортному контролю Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации)

152-ФЗ

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»


1.3.     Список понятий и определений
1.3.1. В Политике используются следующие основные понятия и определения:

Автоматизированная обработка ПДн

Обработка ПДн с помощью средств вычислительной техники

АРМ

Комплекс средств вычислительной техники и программного обеспечения, располагающийся, непосредственно на рабочем месте работника и предназначенный для автоматизации его работы в рамках должности

БД

Представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины

Блокирование ПДн

Временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)

Доступ к ПДн

Возможность получения ПДн и их использования

Запись ПДн

Ввод ПДн в электронную вычислительную машину и (или) фиксация ПДн на материальном носителе

Изменение ПДн

Действия, направленные на модификацию значений ПДн

Извлечение ПДн

Действия, направленные на построение структурированных ПДн из неструктурированных                 или                слабоструктурированных машиночитаемых документов

Информация

Сведения     (сообщения,     данные)     независимо     от     формы     их представления.

Информационная система

Взаимосвязанная совокупность модулей (подсистем), информационных ресурсов с содержащейся в них информацией и программно-техническими средствами для хранения и обработки этой информации, предназначенная для удовлетворения конкретных информационных потребностей в рамках бизнес-функций различного уровня, границы которой определяет владелец

ИСПДн

Совокупность содержащихся в базах данных (БД) ПДн и обеспечивающих их обработку информационных технологий и технических средств

Использование ПДн

Действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц, либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц

Конфиденциальность информации

Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

Материальный

носитель информации (ПДн)

Материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации (ПДн), в т.ч. в преобразованном виде

Накопление ПДн

Действия,        направленные        на        формирование        исходного,несистематизированного массива ПДн.

Обновление ПДн

Действия, направленные на приведение записанных ПДн в соответствие с состоянием отображаемых объектов предметной области


Обработка ПДн

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн

Обработка ПДн без использования средствавтоматизации

Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека. Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее

Общедоступные источники ПДн

Содержащиеся в информационных системах или зафиксированные на материальных носителях ПДн, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта этих ПДн

Оператор (ПДн)

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн

Оператор ИСПДн

Физическое или юридическое лицо, осуществляющие деятельность по эксплуатации ИСПДн, в т.ч. по обработке ПДн, содержащихся в ее БД. Если иное не установлено федеральными законами, оператором ИСПДн является собственник (владелец на ином основании) технических средств, используемых для обработки содержащихся в БД ПДн, который правомерно пользуется такими БД, или лицо, с которым этот собственник (владелец) заключил договор об эксплуатации ИСПДн

ПДн

Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн)

Передача ПДн

Предоставление или доступ к ПДн

Помещение

Часть объема здания или сооружения, имеющая определенное назначение и ограниченная строительными конструкциями, в которой: осуществляется обработка ПДн; размещены средства защиты информации и (или) носители ключевой, аутентифицирующей и парольной информации средств криптографической защиты информации.

Предоставление ПДн

Действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц

Распространение ПДн

Действия,    направленные    на    раскрытие    персональных    данных неопределенному кругу лиц

Сбор ПДн

Целенаправленные действия оператора или специально привлеченных оператором для этого третьих лиц по получению ПДн непосредственно от субъекта ПДн или его представителя

Систематизация ПДн

Действия, направленные на объединение и расположение ПДн вопределенной последовательности


Специальные категории ПДн

ПДн, в т.ч., касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

Техническое средство

Изделие, оборудование, аппаратура или их составные части, функционирование которых основано на законах электротехники, радиотехники и (или) электроники, содержащие электронные компоненты и (или) схемы, которые выполняют одну или несколько следующих функций: усиление, генерирование, преобразование, переключение и запоминание

Удаление ПДн

Изъятие     ПДн     из     информационных     систем     с     сохранениемпоследующей возможности их восстановления

Уничтожение ПДн

Действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн

Уточнение ПДн

Действия, направленные на обновление или изменение ПДн

Хранение ПДн

Действия, направленные на неизменность состояния материального носителя ПДн

1.1.     Общие положения по организации обработки и обеспечению безопасности ПДн
1.1.1.     Необходимость формирования порядка организации обработки ПДн обусловлена требованиями действующих нормативных правовых актов, устанавливающими для Оператора обязанности посоответствию объема и содержания обрабатываемых ПДн заявленным целям сбора, уточнению, хранению и уничтожению ПДн, соблюдению условий обработки ПДн, в том числе получению согласия субъектов на обработку их ПДн, установлению схем взаимодействия как внутри Оператора, так и с субъектами ПДн, третьими лицами, регуляторами (уполномоченными органами).
1.1.2.     Одним из элементов указанного порядка в части вопросов организации обработки ПДн является лицо, ответственное за организацию обработки ПДн. Указанное лицо назначается в установленном Оператором порядке, и в его основные обязанности входит, в том числе:
-         осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства о ПДн, в том числе требований к их защите;
-         доведение до сведения работников Оператора положений законодательства РФ в области ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн, требований к их защите;
-         организация приема и обработки обращений и запросов субъектов ПДн или их представителейи (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
1.1.3.     Оператором разрабатывается система локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
1.1.4.     Оператор разрабатывает и размещает в свободном доступе документ, определяющий политику Оператора в отношении обработки и обеспечения безопасности ПДн.
1.1.5.     Оператор направляет в Роскомнадзор уведомление об обработке ПДн. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки ПДн Оператор также уведомляет об этом Роскомнадзор.
1.1.6.     Форма уведомления об обработке (о намерении осуществлять обработку) ПДн, а также форма уведомления об изменении сведений, содержащихся в уведомлении о

намерении осуществлять обработку персональных данных, устанавливается нормативными правовыми актами Роскомнадзора.
Работники Оператора, непосредственно осуществляющие обработку персональных данных, знакомятся с положениями законодательства Российской Федерации о персональных данных, в томчисле с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных, и (или) проходят соответствующее обучение.
1.1.7.     Выполнение требований законодательства РФ в области организации обработки ПДн контролируется лицом, ответственным за организацию обработки ПДн, либо комиссией, формируемой в установленном Оператором порядке, посредством проведения внутреннего контроля.
1.2.     Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн,способы, сроки их обработки и хранения, порядок уничтожения
1.2.1.     Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки, хранения и порядок уничтожения устанавливаются приложением «Реестр процессов обработки персональных данных» к Политике и могут обновляться отдельным приказом Оператора.
1.2.2.     Оператор установил следующие условия прекращения обработки ПДн:
-         достижение целей обработки ПДн и максимальных сроков хранения ПДн;
-         утрата необходимости в достижении целей обработки ПДн;
-         предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-         в случае выявления неправомерной обработки ПДн;
-         отзыв субъектом ПДн согласия на обработку ПДн;
-         получение требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн;
-         ликвидация или реорганизация Оператора;
-         иные условия, предусмотренные действующим законодательством.
1.2.3.     Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение,предоставление, доступ), блокирование, удаление, уничтожение ПДн.
1.2.4.     Оператор может осуществлять обработку специальных категорий ПДн (сведения о состоянии здоровья) для целей:
-         ведения кадрового, бухгалтерского, налогового и воинского учета в отношении работников; принятия управленческих и кадровых решений; контроля над трудовой дисциплиной; выплаты заработной платы, премий и возмещений по понесенным расходам; участия в зарплатномпроекте; предоставления гарантий, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи;
-         обеспечения охраны труда, техники безопасности, пожарной безопасности и защиты от чрезвычайных ситуаций; проведения специальной оценки условий труда; выявления нарушений состояния здоровья и медицинских противопоказаний к работе; проведениямедицинских осмотров и медицинских освидетельствований; расследования, учета и оповещения о несчастных случаях;

-         защита жизни и здоровья физических лиц, имущества и объектов недвижимости от противоправных посягательств, обеспечение внутриобъектового и пропускного режимов на объектах недвижимости Оператора.
1.3.      Улучшение порядка обработки ПДн
1.3.1.     Оператор на регулярной основе улучшает порядок обработки ПДн с учетом регулярных изменений требований действующего законодательства РФ и характеристик процессов организации обработки ПДн, а также по причине выработки новых подходов и практик обработки ПДн.
1.3.2.     Улучшение достигается посредством уточнения (пересмотра) Политики, использования результатов внутреннего контроля и проверок (государственного надзора), корректирующих и предупреждающих действий. Порядок проведения внутреннего контроля и порядок участия в проверках (государственном надзоре) определены в локальных нормативных актах Оператора, регулирующих организацию защиты ПДн.
1.3.3.     Политика и Реестр процессов обработки ПДн пересматриваются по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра. В случае внесения изменений в Реестр процессов обработки ПДн, он подлежит утверждению в новой редакции.
1.3.4.     Оператор проводит мероприятия по устранению причин несоответствий требованиям действующего законодательства РФ в области ПДн и локальных нормативных актов с целью предупредить их повторное возникновение.
1.3.5.     Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям действующего законодательства РФ в области ПДн и локальныхнормативных актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать размеру вреда, который может быть причинен Оператору.
1.3.6.     Критически важным для улучшения порядка управления и обеспечения обработки ПДн являются состав, квалификация и опыт лиц, привлекаемых к данной активности.
1.3.7.     Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, может включать в себя:
-         лицо, ответственное за организацию обработки ПДн;
-         лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, или представителя структурного подразделения Оператора, ответственного за обеспечение безопасности ПДн в ИСПДн;
-         представителей структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора;
-         представителей структурного подразделения Оператора, ответственного за ведение кадрового учета;
-         представителей иных заинтересованных структурных подразделений Оператора, которые вовлечены в обработку и (или) защиту ПДн;
-         иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц (сторонних организаций), обладающих соответствующими компетенциями.
1.3.8.     Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения обработки ПДн, должны соответствовать поставленной перед ними задаче. Указанные лица в своей совокупности должны:
-         знать требования действующего законодательства РФ о ПДн;
-         обладать как минимум базовыми знаниями в сфере управления и обеспечения информационной безопасности;

-         иметь компетенцию по исследованию бизнес-процессов Оператора.
1.3.9.     Контроли несоответствий и рекомендации по устранению несоответствий отражаются в локальных нормативных актах Оператора об организации защиты ПДн.
1.4.         Основные правила обработки ПДн
1.4.1.     Оператором ведется перечень ИСПДн Оператора.
1.4.2.     Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.
1.4.3.     Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки.
1.4.4.     Оператором не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
1.5.         Порядок предоставления доступа работников к ПДн
1.5.1.     Доступ к ПДн имеют работники и подразделения Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих обязанностей.
1.5.2.     Перечень работников и подразделений, допущенных к обработке ПДн, определяется лицом, ответственным за организацию обработки ПДн, и утверждается приказом Оператора.
1.5.3.     Процедура предоставления доступа работника Оператора к ПДн осуществляется на основании утвержденных процедур предоставления доступа к ПДн и процедур ознакомления с процессом обработки ПДн у Оператора. Такие процедуры должны включать фиксацию в соглашении о конфиденциальности с работником соответствующих положений о конфиденциальности ПДн и безопасности ПДн при обработке, и ознакомление работников или их представителей под роспись с документами Оператора, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области.
1.5.4.     В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего ПДн, а также изменении организационно-штатной структуры, непосредственный руководитель работника, обрабатывающего ПДн, уведомляет об этом лицо, ответственное за организацию обработки ПДн. Лицо, ответственное за обработку ПДн пересматривает права доступа работника к ПДн и при необходимости вносятся соответствующие изменения в Перечень лиц, допущенных к обработке ПДн.
1.5.5.     При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию непосредственного руководителя увольняющегося работника Оператора.
1.5.6.     Лицо, ответственное за организацию обработки ПДн, по мере необходимости осуществляет проверку/актуализацию работников допущенных к обработке ПДн, а также списка пользователей ИСПДн, электронного журнала обращений пользователей ИСПДн на получение ПДн (при наличии). В случае выявления работников, допущенных к обработке ПДн, которым такой доступ больше не требуется, права доступа такого работника к ПДн незамедлительно отзываются.
1.5.7.     Допуск работников к обработке ПДн до прохождения процедуры предоставления доступа запрещается.
1.5.8.     Доступ работников к своим ПДн осуществляется в соответствии с положениями 152-ФЗ и трудового законодательства.
1.1.         Порядок обработки ПДн, включая сбор, запись и хранение ПДн
1.1.1.   Обработка ПДн может осуществляться Оператором в случаях, предусмотренных действующим законодательством.

1.1.2.  Оператором применяются следующие способы сбора (получения) ПДн субъектов:
-         заполнение субъектом ПДн соответствующих форм;
-         предоставление субъектом ПДн соответствующих документов;
-         получение ПДн от третьих лиц;
сбор ПДн из общедоступных источников;
-         осуществление записи видеоизображения субъекта ПДн и (или) его речи.
1.1.3.     При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием БД, находящихся на территории РФ, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ, а также обеспечивает соблюдение следующих принципов:
-      сбор Оператором ПДн граждан РФ, в том числе с территории иностранных государств, должен вестись только в БД, находящиеся на территории РФ;
-      передача (в т.ч. трансграничная) Оператором ПДн граждан РФ, после их сбора, можетосуществляться в зарубежные БД при соблюдении следующего условия: в БД, находящихся натерритории РФ, размещены ПДн граждан РФ в равном или большем объеме чем в зарубежной БД, с соблюдением их состава и актуальности.
1.1.4.     Оператор, в случаях предусмотренных 152-ФЗ, ТК РФ, сообщает субъекту ПДн о целях, способахи источниках получения его ПДн, а также о характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать письменное согласие на их получение.
1.1.5.     Оператор может осуществлять запись (ввод) ПДн в ИСПДн – это процедура, связанная скодированием ПДн в компьютерно-читаемую форму и их записью в БД ИСПДн.
1.1.6.     Существуют следующие способы записи ПДн в ИСПДн Оператора:
-         ввод информации при помощи клавиатуры;
-         сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;
-         ввод существующих цифровых файлов;
-         получение информации из других информационных систем.
1.1.7.     ПДн субъектов могут храниться Оператором на материальных носителях информации, содержащих сведения, в том числе, в форме документов – зафиксированной на материальном носителе информации (содержащей ПДн) с реквизитами, позволяющими ее идентифицировать и определить субъекта ПДн. Порядок хранения таких материальных носителей определен в Перечне материальных носителей персональных данных и мест их хранения.
1.2.         Порядок уничтожения ПДн
1.2.1.     ПДн подлежат уничтожению в следующие сроки, определенные 152-ФЗ:
-         при отзыве субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более нетребуется для целей обработки ПДн – в срок, не превышающий 30 календарных дней с датыпоступления указанного отзыва. При этом согласие на обработку ПДн при его отзыве не уничтожается, передается на хранение в соответствии с пунктом 441 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Росархива от 20.12.2019 № 236. По истечении установленного срока хранения согласие на обработку ПДн уничтожается в порядке, предусмотренном Политикой;

-         при достижении цели обработки ПДн или утраты необходимости в достижении этих целей – всрок, не превышающий 30 календарных дней с даты достижения цели обработки ПДн;
-         при истечении сроков хранения ПДн, установленных нормативными правовыми актами РФ – в сроки, установленные локальными нормативными актами Оператора для уничтожения архивных документов;
-         при получении требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн – в срок, не превышающий 10 рабочих дней, если иной срок не установлен в требовании;
-         при выявлении неправомерной обработки ПДн в случае, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн;
-         при получении требования субъекта ПДн или его представителя, если субъект ПДн являетсянесовершеннолетним, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки; В случае получения требования субъекта ПДн или его представителя, если субъект ПДн является несовершеннолетним, что ПДн являются неполными, неточными или неактуальными (устаревшими) – в них вносятся изменения в срок, не превышающих 7 рабочих дней со дня получения таких требований;
-         иные сроки, установленные действующим законодательством.
1.2.2.     При невозможности уничтожения ПДн в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПДн, при достижении целей обработки ПДн, а такжепри отзыве субъектом согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, Оператор осуществляет блокирование ПДн и уничтожает ПДн в течение 6 месяцев, если иной срок не установлен законодательством РФ.
1.10.3   Уничтожение ПДн должно производиться под контролем комиссии, формируемой в установленном Оператором порядке. В случае возникновения необходимости по уничтожению ПДн в обособленных подразделениях Оператора или удаленных местах нахождения работников Оператора лицо, ответственное за организацию обработки ПДн, путем издания соответствующего распоряжения формирует на временной или постоянной основе локальную комиссию в составе не менее двух человек по уничтожению ПДн.
1.10.4   Факт уничтожения ПДн, обработка которых осуществляется Оператором без использованиясредств автоматизации, подтверждается Актом об уничтожении ПДн Факт уничтожения ПДн, обработка которых осуществляется Оператором с использованием средств автоматизации, подтверждается Актом об уничтожении ПДн и выгрузкой из журнала регистрации событий в ИСПДн.
Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения ПДн.
В случае составления Акта об уничтожении в электронной форме, такой акт подписывается электронной подписью в соответствии с требованиями законодательства Российской Федерации об электронной подписи, локальными нормативными актами Оператора, регламентирующими использование электронных подписей в организации.
1.10.5   Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн. Если ПДн невозможно уничтожить без такого повреждения их материальногоносителя, которое будет препятствовать его

дальнейшему использованию по назначению, то уничтожению подлежат и ПДн, и их материальный носитель.
1.10.6   Уничтожение ПДн в ИСПДн, на АРМ и на отчуждаемых машинных носителях информации осуществляется с помощью штатных средств, а также, при необходимости, с применениемспециализированных программных или аппаратных средств.
1.10.7   Уничтожение ПДн на бумажных носителях информации осуществляется в установленном Оператором порядке после передачи в архив и (или) истечении сроков хранения.
Как правило, уничтожение ПДн на бумажном носителе производится путем измельчения, сжигания или преобразования в целлюлозную массу указанного бумажного носителя таким образом, чтобы гарантировать невозможность их восстановления.
1.10.8   Уничтожение ПДн третьим лицом, обрабатывающим ПДн по поручению Оператора, осуществляется в порядке, установленном договором между Оператором и третьим лицом, а также с учетом требований раздела 4 Политики.
Как правило, третьему лицу направляется уведомление о необходимости удаления персональныхданных субъекта персональных данных с предоставлением Оператору подтверждающих факт удаления документов, если договором с третьим лицом не предусмотрено иное.
1.10.9   Для уничтожения (стирания) персональных данных на машинных носителях информации применяются средства и механизмы средств защиты информации информационных систем обеспечивающие невозможность восстановления и повторного использования ПДн.

Дополнительные требования к порядку уничтожения ПДн на материальных носителях могут быть установлены локальными нормативными актами Оператора, в том числе в Перечне материальных носителей персональных данных и мест их хранения у Оператора.

хранения у Оператора.

1.      Лицо, ответственное за организацию обработки ПДн1.1.   Статус лица, ответственного за организацию обработки ПДн
1.1.1.     Оператор назначает лицо, ответственное за организацию обработки ПДн, которое при выполнении своих функций и обязанностей руководствуется настоящей Политикой, приказом о назначениилица, ответственного за организацию обработки ПДн, иными локальными нормативными актами Оператора в сфере организации обработки и обеспечения безопасности ПДн, а также требованиями действующего законодательства РФ о ПДн.
1.1.2.     Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа (генерального директора или иного единоличного исполнительного органа) Оператора и подотчетно ему. Ответственным за организацию по обработке ПДн можетявляться исполнительный орган (генеральный директор или иной единоличный исполнительный орган) Оператора, либо иное лицо, назначенное Оператором.
1.1.3.     Исполнительным органом (генеральным директором или иным единоличным исполнительным органом) Оператора, по предложению лица, ответственного за организацию обработки ПДн, может формироваться рабочая группа (далее – Комиссия по вопросам обработки и защиты ПДн), состоящая из работников Оператора. В состав Комиссии по вопросам обработки и защиты ПДнмогут входить представители подразделений, в которых обрабатываются ПДн. Руководство Комиссией по вопросам обработки и защиты ПДн осуществляется лицом, ответственным за организацию обработки ПДн.
1.1.4.     Решения об инициации Оператором новых процессов обработки ПДн или о внесении изменений всуществующие процессы обработки ПДн согласовываются с лицом, ответственным за организацию обработки ПДн.
1.2.   Функции и обязанности лица, ответственного за организацию обработки ПДн
1.2.1.     Лицо, ответственное за организацию обработки ПДн, выполняет или обеспечивает выполнение следующих функций и обязанностей:
-      осуществление внутреннего контроля над соблюдением Оператором и его работникамизаконодательства РФ о ПДн, в том числе требований к защите ПДн;
-      подготовку перечня структурных подразделений и должностных лиц Оператора, допущенных к обработке ПДн, в том числе в ИСПДн, для выполнения служебных (трудовых) обязанностей;
-      доведение до сведения работников Оператора, включая непосредственно осуществляющихобработку ПДн, положений законодательства РФ о ПДн, в том числе требований к защите ПДн, документов, определяющих политику Оператора в отношении обработки ПДн, локальных нормативных актов Оператора по вопросам обработки ПДн и требований к защите ПДн, иобучение указанных работников;
-      принятие и обработку обращений и запросов субъектов ПДн или их представителей и (или)осуществление контроля за приемом и обработкой таких обращений и запросов. Регистрация обращений и запросов субъектов ПДн, а также их рассмотрение осуществляется в соответствии с установленным у Оператора порядком рассмотрения запросов субъектов ПДн, контрольных и надзорных органов по вопросам обработки ПДн;
-      оценку соответствия содержания и объема обрабатываемых Оператором ПДн целям обработки ПДн;
-      разработку документов, определяющих политику Оператора в отношении обработки ПДн,локальных нормативных актов Оператора по вопросам

обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ о ПДн, атакже устранение последствий таких нарушений;
-      формирование на временной или постоянной основе локальных комиссий по уничтожению ПДн в обособленных подразделениях Оператора или удаленных местах нахождения работников Оператора;
-      проведение мероприятий по внутреннему контролю и (или) аудиту соответствия обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политикой, локальным нормативным актам Оператора;
-      участие в оценке вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
-      установление правил доступа работников Оператора к ПДн, обрабатываемым в ИСПДн;
-      совместно с представителями заинтересованных структурных подразделений Оператора осуществление взаимодействия от имени Оператора с Роскомнадзором и иными уполномоченными органами в случаях, предусмотренных законодательством РФ о ПДн;
-      своевременное формирование и направление в Роскомнадзор уведомления о намеренииОператора осуществлять обработку (об обработке Оператором) ПДн;
-      своевременное формирование и направление в Роскомнадзор уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн. Формирование и направление в Роскомнадзор информационного письма об изменениях в обработке производится не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
-      своевременное формирование и направление в Роскомнадзор уведомлений о намеренииосуществлять трансграничную передачу ПДн, уведомлений о фактах неправомерной или случайной передачи (предоставление, распространение, доступ) ПДн, повлекшей нарушение прав субъектов ПДн и иных уведомлений, предусмотренных действующим законодательством РФ;
-      осуществление регулярного мониторинга фактов включения Оператора в Единый реестр контрольных (надзорных) мероприятий, Единый реестр проверок (https://proverki.gov.ru/portal) на предмет соблюдения обязательных требований в сфере обработки ПДн;
-      организация работы по получению согласия субъектов ПДн на обработку их ПДн в случаях, предусмотренных законодательством РФ о ПДн;
-      ведение учета процессов обработки ПДн Оператором и перечня ИСПДн (включая БД с ПДн), а также поддержание в актуальном состоянии описательной документации для них;
-      ведение учета мест, предназначенных для хранения материальных носителей ПДн, и учета лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;
-      организация режима безопасности помещений, в которых хранятся материальные носители ПДн;
-      совместно с представителями заинтересованных структурных подразделений Оператораосуществление экспертизы локальных нормативных актов Оператора и договоров Оператора с третьими лицами на предмет их соответствия требованиям законодательством РФ о ПДн;

-      своевременное формирование и направление в Роскомнадзор уведомления о прекращении обработки ПДн в течение 10 рабочих дней с даты прекращения обработки ПДн.
1.3.   Права лица, ответственного за организацию обработки ПДн
1.3.1.     Лицо, ответственное за организацию обработки ПДн, обладает следующими правами:
-      требовать от работников Оператора выполнения требований локальных нормативных актов Оператора по вопросам обработки и защиты ПДн, а также законодательства РФ о ПДн;
-      запрашивать и получать от работников Оператора информацию для исполнения своих прав и обязанностей, приведенных в Политике;
-      вносить предложения Оператору о внесении изменений в процессы обработки ПДн итехнологические процессы, связанные с обработкой ПДн в ИСПДн, если это обусловлено необходимостью обеспечения соответствия законодательству РФ о ПДн;
-      вносить предложения Оператору о поощрении или наложении взысканий на работников Оператора в связи с исполнением ими обязанностей, связанных с обработкой и защитой ПДн;
-      давать работникам Оператора и иным лицам, входящим в Комиссию по вопросам обработки и защиты ПДн, поручения и указания по соблюдению требований об обработке и защите ПДн, определяемых законодательством Российской Федерации, Политикой и требованиями локальных нормативных актов Оператора по защите ПДн;
-      правами, предусмотренными приказом о назначении лица, ответственного за организацию обработки ПДн, иными локальными нормативными актами Оператора в сфере организации обработки и обеспечения безопасности ПДн, а также требованиями действующего законодательства РФ о ПДн.

1.4.   Ответственность лица, ответственного за организацию обработки ПДн
1.4.1.     Лицо, ответственное за организацию обработки ПДн, несет следующую ответственность:
-      за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных Политикой, приказом о назначении лица, ответственного за организацию обработки ПДн и(или) иными локальными нормативными актами Оператора, устанавливающими порядок работы с ПНд, в пределах, определенных действующим трудовым законодательством РФ;
-      за правонарушения, совершенные в процессе осуществления своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ;
-      за причинение материального ущерба и морального вреда в пределах, определенных действующим трудовым и гражданским законодательством РФ.

2.      Порядок обмена ПДн с третьим лицами и неопределенным кругом лиц2.1.   Получение ПДн
2.1.1.     ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения выполнения условий, указанных в Политике.
2.2.  Передача ПДн
3.2.1      Передача является способом обработки персональных данных и должна основываться на принципах, установленных законодательством РФ в области персональных данных, а также на положениях локальных нормативных актов Оператора.
3.2.2      ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ либо договором, регламентирующим правоотношения Оператора с субъектом ПДн.
3.2.3      Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме,который позволяет предоставлять минимальный необходимый объем ПДн о субъектах ПДн.
3.2.4      Работники Оператора, передающие ПДн субъектов третьим лицам, могут передавать их с составлением двустороннего акта приема-передачи документов (иных материальных носителей информации), содержащих ПДн субъектов, либо иным способом, позволяющим подтвердить факт и дату передачи ПДн. При использовании любого из указанных способов должны выполняться следующие условия:
-     уведомление получающего ПДн лица об его обязанности использовать полученные ПДн лишь в целях, для которых они сообщены;
-     предупреждение получающего ПДн лица об его ответственности за противоправную обработку ПДн в соответствии с действующим законодательством РФ.
3.2.5      Передача документов (иных материальных носителей информации), содержащих ПДн субъектов, осуществляется при наличии у лица, уполномоченного на их получение, одного из наборов документов:
-  первый набор документов:
-      действующий договор с запрашивающим ПДн лицом, стороной которого либо выгодоприобретателем или поручителем, по которому является Оператор;
-      действующее соглашение Оператора с запрашивающим ПДн лицом, регулирующие порядок организации обработки и обеспечения безопасности ПДн, либо наличие в действующемдоговоре Оператора с запрашивающим ПДн лицом пунктов о соблюдении конфиденциальности ПДн субъекта(ов);
-  второй набор документов:
-      письмо-запрос Оператору от запрашивающего ПДн лица, которое должно включать в себя указание на правовые основания получения доступа к запрашиваемой информации, содержащей ПДн субъекта, ее перечень, цель использования, фамилию, имя, отчество идолжность лица, которому поручается получить данную информацию;
-      действующее соглашение Оператора с запрашивающим ПДн лицом, регулирующие порядок организации обработки и обеспечения безопасности ПДн, наличие которого являетсяфакультативным, так как у Оператора могут

отсутствовать как юридические основания для заключения такого соглашения, так фактическая возможность заключить его.
3.2.6      Полномочия заключать от имени Оператора соглашения с третьими лицами, регулирующие порядок организации обработки и обеспечения безопасности ПДн, определяются как УставомОператора, так и надлежащим образом оформленными и выданными Оператором доверенностями.
3.3    Трансграничная передача ПДн
3.3.1      Оператор имеет право осуществлять трансграничную передачу ПДн.
3.3.2      Приоритетно трансграничная передача персональных данных осуществляется в страны, обеспечивающие адекватный уровень защиты персональных данных. Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждается Роскомнадзором.
3.3.3      Передача в страны, не обеспечивающие адекватный уровень защиты персональных данных, осуществляется в случае, если это необходимо бизнес-процессом Оператора и иные страны не подходят для его организации.
3.3.4      До осуществления трансграничной передачи ПДн Оператор подает уведомление о трансграничнойпередаче ПДн в Роскомнадзор. Уведомление подается по форме и в соответствии с действующими нормативными правовыми актами (онлайн-формой Роскомнадзора).
3.3.5      Оператор самостоятельно или с привлечением третьих лиц осуществляет оценку соблюденияорганами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценку соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке. Оператор вправе поручить составить данную оценку третьему лицу, которому ПДн передаются трансгранично. Оценка соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым ПДн передаются трансгранично, а также оценка соблюдения ими конфиденциальности ПДн и обеспечения безопасности ПДн оформляется в форме акта и хранится у Оператора. В целях составления акта, до подачи уведомления в Роскомнадзор, Оператор запрашивает у органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн следующие сведения (или получает иным образом):
-      сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, мерах по защите передаваемых ПДн и об условиях прекращения их обработки;
-      информацию о правовом регулировании в области ПДн иностранного государства, подюрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача ПДн (в случае, если предполагается осуществление трансграничной передачи ПДн органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн);
-      сведения об органах власти иностранного государства, иностранных физических лицах,иностранных юридических лицах, которым планируется трансграничная

передача ПДн (фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
3.3.6      Взаимодействие с Роскомнадзором по вопросам трансграничной передачи определяется действующими нормативными правовыми актами.
3.3.7      Запрет на трансграничную передачу.
Роскомнадзор вправе запретить трансграничную передачу данных, если это необходимо в целях защиты интересов Российской Федерации.
Если дается запрет на трансграничную передачу, то Оператор обеспечивает уничтожение иностранным лицом ранее переданных ему ПДн в сроки, установленные нормативными правовыми актами или запретом Роскомнадзора. Факт уничтожения иностранным лицом ранеепереданных ему ПДн подтверждается актом об уничтожении, разработанным иностранным лицом. Иностранное лицо направляет акт об уничтожении Оператору в течение 3 дней с моментауничтожения ранее переданных ему персональных данных. Акт об уничтожении, разработанный иностранным лицом и полученный Оператором, направляется Оператором в Роскомнадзор.
3.4  Соглашение о поручении обработки ПДн
3.4.1      В соответствии с ч.3 ст.6 152-ФЗ Оператор вправе поручить обработку ПДн другому лицу (обработчику, контрагенту) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
3.4.2      Поручение обработки ПДн может быть формализовано как в виде отдельного документа между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.
3.4.3      Поручение обработки ПДн должно содержать условия, предусмотренные ч. 3 ст. 6 152-ФЗ.
3.4.4      В поручении обработки ПДн устанавливается, что лицо, осуществляющее обработку ПДн по поручению Оператора, обязано уведомлять Оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных.

3.4.5      Состав и содержание информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных в уведомлениях могут быть ограничены с учетом требований применимого законодательства, а также для соблюдения прав изаконных интересов субъектов ПДн, стороны, которая выявила факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, и третьих лиц.

3.3  Соглашение о защите ПДн
3.3.1      В соответствии с ч.1 ст.6, ст.7, ч.4 ст.18, ч.1 ст.19 152-ФЗ Оператор обязан проявлять должную осмотрительность при передаче ПДн без необходимости поручения их обработки иному лицу (контрагенту).
3.3.2      Проявление должной осмотрительности может быть формализовано как в виде отдельного документа между Оператором и иным лицом, так и в виде составной части заключаемого или заключенного договора между указанными Сторонами.
3.3.3      Необходимость в проявлении должной осмотрительности возникает в том случае, если:
-      передача ПДн не является самостоятельным предметом правоотношений между Сторонами;

-      обработка ПДн ограничена только передачей (предоставлением) ПДн между Сторонами.
3.3.4      Проявление должной осмотрительности должно фиксировать следующие взаимные обязательства между Сторонами:
-      передача ПДн субъектов ведется на законном основании (ч.1 ст.6 152-ФЗ);
-      субъекты ПДн надлежащим образом уведомлены о передаче их ПДн (ч.4 ст.18 152-ФЗ);
-      обеспечивается конфиденциальность передаваемых между Сторонами ПДн (ст.7 152-ФЗ);
-      обеспечивается безопасность передаваемых между Сторонами ПДн при их обработке (ст.19 152-ФЗ).

1.      Меры обеспечения конфиденциальности и безопасности ПДн
 
 
1.1.      Для обеспечения конфиденциальности и безопасности ПДн субъектов ПДн, защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с 152-ФЗ Оператором принимаются необходимые правовые,организационные и технические меры или обеспечивается их принятие, если обработка ПДн осуществляется лицом, действующим по поручению Оператора.
1.2.      Оператором, в частности, принимаются следующие меры, направленные на обеспечение конфиденциальности и безопасности ПДн:
-      назначение лица, ответственного за организацию обработки ПДн и лица, ответственного за обеспечение безопасности ПДн, а также определение их функций и полномочий;
-      разработка и поддержание актуальности комплекта локальных нормативных актов, нормативных документов в отношении обработки и защиты ПДн;
-      периодический внутренний контроль, а также внешний аудит соответствия обработки ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;
-      проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
-      ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и локальными нормативными актами Оператора, инымидокументами в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн;
-      определение угроз безопасности ПДн при их обработке в ИСПДн;
-      применение     прошедших     в    установленном    порядке    процедуру    оценки соответствия средств защиты информации;
-      оценка эффективности принимаемых мер по обеспечению безопасности ПНд до ввода в эксплуатацию ИСПДн;
-      учет работников, допущенных к обработке ПДн;
-      учет материальных носителей ПДн;
-      обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
-      восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-      установление правил доступа к ПДн, обрабатываемым в ИСПДн. А также обеспечениерегистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
-      контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
-      учет возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн;
-      применение технических мер в соответствии с угрозами безопасности ПДн при их обработке в ИСПДн;
-      применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнениекоторых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

-      применением    прошедших    в    установленном    порядке    процедуру    оценки соответствия средств защиты информации.
1.3.      Конкретный порядок обеспечения технической безопасности ПДн определяется отдельными локальными нормативными актами Оператора.
1.4.      Комплекс мероприятий и технических средств по обеспечению безопасности ПДн формируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также установленияуровня защищенности ПДн.

2.      Порядок взаимодействия с уполномоченными органами
2.1.   Обязанности лица, ответственного за организацию обработки ПДн, при взаимодействии с уполномоченными органами:
2.1.1.     Ответственность за взаимодействие с уполномоченными органами, осуществляющими мероприятия по контролю над выполнением Оператором требований к обеспечению надлежащей организации обработки и обеспечению безопасности ПДн, в том числе в ИСПДн, несет лицо, ответственное за организацию обработки ПДн.
2.1.2.     Лицо, ответственное за организацию обработки ПДн, совместно с представителями заинтересованных структурных подразделений Оператора, предоставляет уполномоченному органу запрашиваемую им при проведении проверок информацию.
2.1.3.     При наличии соответствующего журнала лицо, ответственное за организацию обработки ПДн, регистрирует сведения о проведении проверки уполномоченными органами в журнале учета проверок Оператора, проводимых органами государственного контроля (надзора), органами муниципального контроля.
2.1.4.     Лицо, ответственное за организацию обработки ПДн, обязано организовать текущее хранениенижеуказанных документов в течение пяти лет, а по истечении указанного срока обеспечить передачу следующих документов на архивное хранение:
-     запросы и требования уполномоченных органов;
-     ответы Оператора на запросы и требования уполномоченных органов;
-     иные документы и копии иных документов, непосредственно связанные с выполнением Оператором своих обязанностей по рассмотрению запросов и требований уполномоченных органов.
2.2.   Взаимодействие с органами Роскомнадзора, ФСТЭК России, ФСБ России и иными уполномоченными органами:
2.2.1.     При получении Оператором запроса от Роскомнадзора, ФСТЭК России или ФСБ России (далее - уполномоченные органы), касающегося исполнения Оператором законодательства о персональных данных, лицо, ответственное за организацию обработки ПДн:
-      проверяет законность и обоснованность такого запроса;
-      информирует исполнительный орган (генерального директора или иной единоличный исполнительный органа) Оператора, после чего предоставляет запрашиваемую информацию в соответствующий уполномоченный орган.
2.2.2.     При получении иных запросов, выходящих за рамки полномочий уполномоченных органов лицо,ответственное за организацию обработки ПДн, должно подготовить и согласовать с представителями заинтересованных структурных подразделений Оператора письменный ответ онезаконности предъявляемых требований (запроса).
2.2.3.     При включении Оператора в план проверок одного из уполномоченных органов, лицо,ответственное за организацию обработки ПДн, незамедлительно уведомляет о предстоящей плановой проверке исполнительного органа (генерального директора или иного единоличного исполнительного органа) Оператора, всех лиц, допущенных к обработке ПДн Оператором, проводит внутреннюю проверку защищенности ПДн. В процессе проведения проверки ФСТЭК России или ФСБ России лицо, ответственное за организацию обработки ПДн:
-      предоставляет должностным лицам уполномоченных органов информацию, необходимую для реализации проверок;

-      регистрирует сведения о проведении проверки в журнале учета проверок Оператора, проводимых органами государственного контроля (надзора), органами муниципального контроля (при наличии).
2.2.4.     В случае незаконных или выходящих за рамки должностных обязанностей действий должностных лиц уполномоченных органов при проведении проверки лицо, ответственное за организацию обработки ПДн, совместно с представителями заинтересованных структурных подразделенийОператора, готовит предложение об обжаловании действий (бездействий) и решения должностныхлиц уполномоченных органов в порядке, установленным действующим законодательством РФ.

2.2.5.     Взаимодействие с иными уполномоченными органами организуется в порядке, установленном действующим законодательством РФ.

1.      Содержание ответственности за нарушение норм, регулирующих обработку ПДн
1.1.   Работники, виновные в нарушении норм, регулирующих обработку ПДн, могут нестиадминистративную ответственность в соответствии со ст.ст.13.11, 13.12, 13.14, а также иными статьями КоАП РФ.
1.2.   Предоставление ПДн посторонним лицам, в том числе, работникам Оператора, не имеющим права их обрабатывать, распространение ПДн, утрата материальных носителей информации, содержащих ПДн субъекта, а также иные нарушения обязанностей по обработке ПДн,установленных Политикой и другими локальными нормативными актами Оператора, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.
1.3.   Работник, имеющий доступ к ПДн субъектов и совершивший вышеуказанный дисциплинарныйпроступок, несет полную материальную ответственность в случае причинения его действиями ущерба Оператору (п.7 ст.243 ТК РФ).
1.4.   Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст.ст.137, 272, а также другими статьями УК РФ.

Приложение № 1 к Политике обработки изащиты персональных данных











Реестр процессов обработки персональных данных

ООО «ДОМОДЕЛ.РУ»


1.

Подбор персонала (соискателей) на вакантные должности

В рамках цели Оператор осуществляет:

a)

поиск соискателей на замещение вакантных должностей (трудоустройство);

б)

преддоговорное (информационное) взаимодействие с соискателями;

в)

оценка соответствия соискателей применимым требованиям, включая проверку знаний и способностей, проведение опросов;

г)

проверка благонадежности соискателей, включая в себя управление связанными с соискателями юридическими,репутационными и комплаенс рисками, а также

проверка полноты и достоверности предоставленных соискателями сведений;

д)

обязательные предварительные (при поступлении на работу) медицинские осмотры;

е)

формирование кадрового резерва;

ж)

иные действия, вытекающие из заявленной цели обработки персональных данных и (или) направленных на реализациюзаконных интересов Оператора,

государственных органов, государственных внебюджетных фондов, иных заинтересованных лиц.

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество(при наличии); адрес

электронной почты, номер телефона, должность.

ПДн, входящие в категорию «Специальные категории персональных данных»необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

соискатели

ПДн, входящие в категорию «Иные персональные данные»:

фамилия, имя, отчество (при наличии); сведения об изменении фамилии, имени илиотчества; семейное положение; пол, день, месяц, год рождения; место рождения (страна, область, район, город); гражданство; сведения о паспорте (серия и номер, дата выдачи, кем выдан, код подразделения); СНИЛС; ИНН; адрес фактического проживания (регион, город, район, улица, индекс, дом, корпус, строение, квартира, ближайшая станция метро); адрес регистрации по месту жительства (город, регион, район, улица, индекс, дом, корпус, строение, квартира, ближайшая станция метро);номер мобильного телефона; номер домашнего телефона, адрес электронной почты; сведения об образовании (годы обучения, наименование образовательной организации, реквизиты документа об образовании (специальность, квалификация); навыки; сведения о знании иностранных языков; сведения о достижениях; опыт работы (название организации, период работы, город нахождения работодателя, адрес нахождения работодателя, телефон работодателя, должность, сведения о рабочих обязанностях, причина увольнения); сведения о работе по совместительству; сведения о наличии гражданства другого государства;

сведения о судебных спорах с потенциальным работодателем или его дочернимиобществам; предпринимательский статус соискателя; сведение о наличии денежных обязательств (алименты, исполнительные документы,

налоговые задолженности, ипотека и т.п.); сведения о нахождении на учете в центрезанятости; фотографии документов (паспорт, ИНН, СНИЛС, документ об образовании).

ПДн, входящие в категорию «Специальные категории персональных данных»необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

соискатели в резерве

ПДн, входящие в категорию «Иные персональные данные»:

фамилия, имя, отчество (при наличии); сведения об изменении фамилии, имени илиотчества; семейное положение; пол, день, месяц, год рождения; место рождения (страна, область, район, город); гражданство; сведения о паспорте (серия и номер, дата выдачи, кем выдан, код подразделения); СНИЛС; ИНН; адрес фактического проживания (регион, город, район, улица, индекс, дом, корпус, строение, квартира, ближайшая станция метро);



 

 

адрес регистрации по месту жительства (город, регион, район, улица, индекс, дом, корпус, строение, квартира, ближайшая станция метро); номер мобильноготелефона; номер домашнего телефона, адрес электронной почты; сведения об образовании (годы обучения, наименование образовательной организации, реквизиты документа об образовании (специальность, квалификация); навыки; сведения о знании иностранных языков; сведения о достижениях; опыт работы (название организации, период работы, город нахождения работодателя, адрес нахождения работодателя, телефон работодателя, должность, сведения о рабочих обязанностях, причина увольнения); сведения о работе по совместительству; сведения о наличии гражданства другого государства;

сведения о судебных спорах с потенциальным работодателем или его дочернимиобществам; предпринимательский статус соискателя; сведение о наличии денежных обязательств (алименты, исполнительные документы,

налоговые задолженности, ипотека и т.п.); сведения о нахождении на учете в центрезанятости; фотографии документов (паспорт, ИНН, СНИЛС, документ об образовании).

 

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются

 

родственники соискателя

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество(при наличии); год рождения; степень родства

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

 

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

 

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

 

2.

перечень действий с ПДн1

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление,изменение), извлечение, использование,

передача (предоставление, доступ), блокирование, удаление, уничтожение персональныхданных

3.

способы обработки ПДн

смешанные: с передачей по внутренней сети, с передачей по сети «Интернет»

4.

правовое основание обработки ПДн

обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его

персональных данных

5.

сроки обработки и хранения ПДн

Соискатели - 3 месяца2 после отказа в приеме на работу или направленияпредложения о выходе на работу Соискатели в резерве – 3 года

Работники – 30 дней с момента решения о трудоустройстве соискателя

Родственники соискателя – 30 дней с момента решения о трудоустройстве соискателя

6.

порядок уничтожения ПДн

определено в Политике










2 Согласно ч.6 ст.64 и абз.2 ч.3 ст.391 ТК РФ отказ работодателя заключить трудовой договор с соискателем может быть обжалован в суд и будетрассматриваться как индивидуальный трудовой спор, а ч.1 ст.392 ТК РФ установлен срок в 3 месяца для реализации работником (соискателем) своего права на обращение в суд за разрешением индивидуального трудового спора. Если ПДн соискателя зафиксированы в первичных учетных документах, фиксирующих факт оказания услуг по поиску и подбору персонала, то их обработка может осуществляться 5 лет для налогового учета (пп.8 п.1 ст.23 НК РФ) и для бухгалтерского учета (ч.1 ст.29 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»).

2

Обеспечение соблюдения трудового законодательства РФ

 

В рамках цели Оператор осуществляет:

а)

обеспечение соблюдения требований законодательства РФ и иных применимых нормативных правовых актов, содействиеработникам в трудоустройстве, получении образования и продвижения по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и

обеспечения сохранности имущества;

б)

начисление оплаты труда работникам, в том числе на банковский счет работника;

в)

организацию и ведение кадрового сопровождения (кадровой работы, кадрового учета и т.д).;

г)

осуществление расчетов по налогам и сборам с соответствующими бюджетами и по обязательным платежам вгосударственные внебюджетные фонды;

д)

обеспечение соблюдения обязательных требований законодательства РФ в области обязательного медицинскогострахования;

е)

организацию проведения медицинских осмотров, экспертиз профессиональной пригодности и медицинскихосвидетельствований для определения возможности

выполнения персоналом трудовой функции, а также для диагностики и предупреждения профессиональных заболеваний;

ж)

организацию проведения обучения (включая инструктаж), повышение квалификации, профессиональной переподготовки,проверки знаний в отношении охраны

труда, безопасности, гражданской обороны и защиты от чрезвычайных ситуаций;

з)

исполнение Оператором принятых на себя обязательств в отношении работников (включая уволенных работников);

и)

проведение специальной оценки условий труда (СОУТ) и оценки профессиональных рисков (ОПР);

к)

обеспечение и организацию командирования работников Оператора;

л)

осуществление воинского учета;

м)

обеспечение работников Оператора оборудованием, инструментами, технической документацией и иными средствами,необходимыми для исполнения ими трудовых

обязанностей (включая изготовление визитных карточек);

н)

обеспечение взаимодействия между работниками Оператора, включая ведение телефонного справочника;

о)

учет времени, фактически отработанного работником, учет места выполнения трудовой функции;

п)

обеспечение соблюдения конфиденциальности служебной (коммерческой) информации при выполнении работниками трудовойфункции;

р)

организацию и отправку поздравлений и подарков несовершеннолетним близким родственникам работников Оператораперсональных данных;;

т)

осуществление иных действий, вытекающих из заявленной цели обработки персональных данных и/или направленных нареализацию законных интересов Оператора.

1.

категории субъектов ПДН, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»:

фамилия, имя, отчество (при наличии); сведения об изменении фамилии, имени, отчества (при наличии); день, месяц, год рождения; место рождения; пол;гражданство; адрес электронной почты; адрес фактического проживания; адрес регистрации по месту жительства; номер домашнего, мобильного телефона; СНИЛС и номер документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа; ИНН; семейное положение; социальное положение, имущественное положение; сведения о воинской обязанности (воинском звании, воинском учете, полное кодовое обозначение ВУС); сведения о наличии специальных разрешений (на управление транспортном, на управление самоходной техникой); сведения о социальных льготах; сведения о налоговых вычетах; сведения об обязательном страхование и о полисе обязательного медицинского страхования (ОМС); сведения о разрешении на въезд в Российскую Федерацию, сведения о разрешительной

документации на работу в Российской Федерации; сведения о паспорте иностранного гражданина; сведения о заграничном паспорте иностранного гражданина; сведения о сертификате о знании русского языка, истории и законодательства; сведения оразрешении на временное проживание; сведения о виде на жительство; сведения о патенте на работу; сведения о миграционной карте; сведения о временном удостоверении личности лица без гражданства в Российской Федерации; сведения о свидетельстве о предоставлении временного убежища на

территории Российской Федерации; сведения о свидетельстве о рассмотренииходатайства о признании беженцем на







 

 

территории Российской Федерации по существу; сведения об удостоверение беженца; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; данные водительского удостоверения;сведения о характере и условиях труда по основному месту работы, если работа связана с вредными или опасными условиями; сведения о предыдущих местах работы, о стаже работы и занимаемых должностях, основаниях увольнений, данные трудовой книжки или сведений о трудовой деятельности; сведения о

приеме на работу и переводах на другую работу и иных событиях, относящихся ктрудовой деятельности субъекта персональных данных, в том числе сведения об условиях трудового договора; сведения об образовании, данные

документов об образовании, о квалификации, наличии специальных знаний,профессиональной подготовке, повышении квалификации, об ученой степени;сведения о знании иностранных языков; сведения о составе семьи и наличии детей, которые могут понадобиться Оператору для ведения кадрового делопроизводства, предоставления льгот,

предусмотренных трудовым и налоговым законодательством; сведения о наградах (поощрениях), почетных званиях; сведения о доходах с предыдущих мест работы (еслимною предоставлены справки о заработной плате с предыдущих мест работы); реквизиты банковской карты, номер расчетного счета, номер лицевого счета (для перечисления заработной платы и иных выплат, причитающихся субъекту персональных данных как работнику у Оператора);

сведения о состоянии здоровья; сведения об инвалидности из справки медико-социальнойэкспертизы и индивидуальной программой реабилитации инвалида.

ПДн, входящие в категорию «Специальные категории персональных данных»сведенияо состоянии здоровья1;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

родственники работника2

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество(при наличии); год рождения;

степень родства

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

уволенные работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (при наличии); год рождения, месяц рождения; дата рождения; место рождения; семейное положение; социальное положение, имущественное положение; пол; адрес электронной почты; адрес фактического проживания, адрес регистрации по месту жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа,удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации;

профессия (должность); сведения о трудовой деятельности; сведения об образовании; реквизиты банковской карты; номер расчетного счета; номер лицевого счета

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

2.

правовое основание обработкиПДн

- обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его

персональных данных;







1 Оператор вправе обрабатывать сведения о здоровье работника, содержащиеся в документах, подтверждающих 
временную нетрудоспособность гражданина (листкахнетрудоспособности), для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (п. 2.3 и п. 8 ч. 2 ст. 10 Закона о персональных данных; ст. 88 и 183 ТК РФ; ч. 6 ст. 13
Федерального закона от 29 декабря 2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»).
2 Оператор вправе обрабатывать ПДн родственников работников без получения их согласия на обработку ПДн в объеме, определенном в личной карточке работника (унифицированная форма № Т-2) и карточке гражданина, подлежащего воинскому учету (приказ Министра обороны Российской Федерации от 22.11.2021 № 700).


 

 

-  обработка персональных данных необходима для достижения целей,предусмотренных международным договором Российской Федерации или законом,для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-  обработка персональных данных необходима для исполнения договора, сторонойкоторого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться

выгодоприобретателем или поручителем;

-  обработка персональных данных необходима для осуществления прав и законныхинтересов оператора или третьих лиц

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование,

передача (предоставление, доступ), блокирование, удаление, уничтожение персональныхданных

4.

способы обработки ПДн

смешанные: с передачей по внутренней сети, с передачей по сети «Интернет»

5.

сроки обработки и хранения ПДн

работники – период действия трудового договора, а также в соответствии со сроками,установленными Приказом Росархива от 20.12.2019 № 236, после расторжения трудового договора;

родственники работников Оператора – период действия трудового договора сработником, а также в соответствии со сроками, установленными Приказом Росархива от 20.12.2019 № 236, после расторжения трудового договора;

уволенные работники Оператора – в соответствии со сроками, установленнымиПриказом Росархива от 20.12.2019 № 236 и законодательством Российской Федерации

6.

порядок уничтожения ПДн

определено в Политике

3

Ведение бухгалтерского и налогового учета

 

В рамках цели Оператор осуществляет:

а)

обеспечение соблюдения требований законодательства РФ и иных применимых нормативных правовых актов в сферебухгалтерского и налогового учета

б)

исполнение требований законодательства РФ и иных применимых нормативных правовых актов к проведению аудитабухгалтерской (финансовой) отчетности

в)

составление бухгалтерской и налоговой отчетности

г)

исполнение обязанностей, предусмотренных применимым законодательством РФ в части предоставления отчетности(бухгалтерской, налоговой, иной) в

компетентные государственные органы, учреждения, государственные внебюджетные фонды, органы государственнойстатистики и выполнение иных обязанностей, функций, требований, предусмотренных положениями применимого законодательства РФ

д)

ведение регистров бухгалтерского (налогового) учета в типовых учетных системах

ж)

осуществление иных действий, вытекающих из заявленной цели обработки персональных данных и/или направленных нареализацию законных интересов Оператора.

1.

категории субъектов ПДН, категории и перечень обрабатываемых ПДн

работники

– ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (при наличии); сведения об изменении фамилии, имени, отчества (приналичии), день, месяц, год рождения; место рождения; семейное положение; социальное положение, имущественное положение; пол; адрес электронной почты; адрес фактического проживания, адрес регистрации по месту жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; профессия,должность; сведения о трудовой деятельности; сведения об образовании; реквизитыбанковской карты; номер расчетного счета; номер лицевого счета; сведения о стаже;сведения о посещении; сведения об участии в гражданско-процессуальном производстве; сведения о банкротстве; сведения о достижениях и спортивной активности; сведения о наличии специальных разрешений (на управление транспортном, на управление самоходной техникой);сведения об учетных записяхсоциальных сетей; сведения о паспорте иностранного гражданина; сведения озаграничном паспорте иностранного гражданина; сведения о разрешении на временноепроживание; сведения о временном удостоверении личности лица без гражданства в Российской Федерации; сведения о свидетельстве о предоставлении временногоубежища на территории Российской Федерации; сведения о свидетельстве орассмотрении ходатайства о признании беженцем на территории Российской Федерации по существу; сведения об удостоверение беженца; сведения о виде на жительство; сведения о патенте на работу, выданный по месту трудоустройства; сведения о миграционной карте; сведения о сертификате о знании русского языка, истории и законодательства.

ПДн, входящие в категорию «Специальные категории персональных данных»:сведения о состоянии здоровья1;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются;

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

Уволенные работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество(при наличии); год рождения, месяц рождения; дата рождения; место рождения; семейное положение; социальное положение, имущественное

положение; пол; адрес электронной почты; адрес фактического проживанияместажительства, адрес регистрации по месту жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской

Федерации; профессия (должность); сведения о трудовой деятельности; сведения обобразовании; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.






1 Оператор вправе обрабатывать сведения о здоровье работника, содержащиеся в документах, 
подтверждающих временную нетрудоспособность гражданина (листкахнетрудоспособности), для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (п. 2.3 и п. 8 ч. 2 ст. 10 Закона о персональных данных; ст. 88 и 183 ТК РФ; ч. 6 ст. 13
Федерального закона от 29 декабря 2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»).


 

контрагенты

ПДн, входящие в категорию «Иные персональные данные»: ФИО; данные об измененииФИО; дата рождения: ИНН; пол; гражданство; паспорт (серия и номер, кем выдан, дата выдачи, код подразделения); место рождения; номер мобильного телефона; адресэлектронной почты; сведения об образовании; семейное положение; адрес фактического проживания места регистрации; адрес регистрации по месту жительства фактического места проживания; ФИО родственников и степень их родства; данные о работодателе (наименование компании, адрес компании, почтовый адрес); сведения о стаже; сведения о доходах; сведение об имуществе (наличие в собственности объектов недвижимости или транспортных средств, данные из выписки из ЕГРН); должность; сведения о запрашиваемой у банка сумме; ОГРНИП; наименование Банка (Банк-кредитор, Банк-Эскроу-агент); сведения о выбранной ипотечной ставке; сведения о сумме первоначального взноса; сведения о займодавце; сведения об использовании материнского капитала; сведения о предоставлении субсидий; реквизиты банковского счета; сведения об объекте недвижимости (сведения о жилом\нежилом помещении, название ЖК, сведения о машино-месте, адрес нахождения помещения,

стоимость объекта, кадастровый номер); реквизиты сопутствующих договоров(договоры целевого жилищного найма, кредитного договора, договор аренды, договор обеспечения обязательств по кредитному договору); сумма

возвращаемых клиенту средств; СНИЛСС; сведения о кредитной истории; кредитнаяоценка и скоринговые баллы; информация об интересе клиента к продуктам Банка.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

 

представители контрагентов

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество(при наличии); пол; гражданство; паспорт (серия и номер, кем выдан, дата выдачи, код подразделения); место рождения; адрес места регистрации по

месту жительства; адрес фактического места проживания; наименованиеорганизации; должность; реквизиты доверенности.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: необрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

 

 

 

 

2.

правовое основание обработкиПДн

-  обработка персональных данных осуществляется с согласия субъектаперсональных данных на обработку его персональных данных;

-  обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом,для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-  обработка персональных данных необходима для исполнения договора, сторонойкоторого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться

выгодоприобретателем или поручителем;

-  обработка персональных данных необходима для осуществления прав и законныхинтересов оператора или третьих лиц

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование,

передача (предоставление, доступ) персональных данных, блокирование, удаление,уничтожение



4.

способы обработки ПДн

смешанные: с передачей по внутренней сети, с передачей по сети «Интернет»

5.

сроки обработки и хранения ПДн

5 лет + в соответствии со сроками Приказа Росархива от 20.12.2019 № 236

6.

порядок уничтожения ПДн

определено в Политике


4.

Осуществление уставной деятельности

В рамках цели Оператор осуществляет:

a)

осуществление деятельности, предусмотренной уставом юридического лица

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество;дата рождения; место рождения,

гражданство; адрес регистрации по месту жительства; адрес фактического проживания; реквизиты основного документа, удостоверяющего личность; должность

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

представители контрагентов

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество;номер мобильного телефона; адрес

электронной почты; должность; место работы; реквизиты доверенности.

ПДн, входящие в категорию «Специальные категории персональных данных»необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

2.

правовое основание обработкиПДн

- обработка персональных данных необходима для достижения целей, предусмотренныхмеждународным договором Российской Федерации или законом, для осуществления ивыполнения возложенных законодательством Российской Федерации на оператора

функций, полномочий и обязанностей;

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.

способы обработки ПДн

смешанные, с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки и храненияПДн

в рамках исполнения нормативных правовых документов, определяющих сроки архивногохранения.

6.

порядок уничтожения ПДн

определено в Политике.


5.

Подготовка, заключение и исполнение гражданско-правового договора с контрагентами

В рамках цели Оператор осуществляет:

a)

ведение договорной работы, в том числе заключение, исполнение, изменение и прекращение договоров и соглашений сконтрагентами

b)

учет, хранение, уничтожение носителей информации

c)

организация, осуществление и управление процедурами закупок (товаров, работ, услуг) у контрагентов

d)

принятие мер должной осмотрительности в отношении потенциальных действующих контрагентов, включающее в себяуправление связанными с контрагентами

финансовыми, коммерческими, юридическими, регуляторными и иными комплаенс рисками, а также проверку полноты идостоверности предоставленных сведений

e)

делегирование (оформление) полномочий на представление интересов

f)

иные действия, вытекающие из заявленной цели обработки ПДн и (или) направленных на реализацию законных интересовОператора

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (приналичии); сведения о документе,

удостоверяющего личность; номер телефона; адрес электронной почты; должность;организация.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

контрагенты

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (приналичии); наименование организации; должность; номер телефона, адрес электронной почты;ссылки на социальные сети и (или) службы мгновенных сообщений (при наличии); номерЕГРИП; адрес регистрации; сведения, содержащиеся в доверенности (при наличии), в томчисле: фамилия, имя, отчество (при наличии); год, месяц, дата рождения; данныедокумента, удостоверяющего личность; адрес регистрации;

должность.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

представители контрагентов

ПДн, входящие в категорию «Иные персональные данные»: – фамилия, имя, отчество (при наличии); наименование организации; должность; данные документа, удостоверяющего полномочия действовать от имени юридического лица; номер телефона, адрес электроннойпочты; ссылки на социальные сети и (или) службы мгновенных сообщений (при наличии);сведения, содержащиеся в доверенности (при наличии), в том числе: фамилия, имя, отчество (при наличии); год, месяц, дата рождения;

данные документа, удостоверяющего личность; адрес регистрации; должность.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

2.

правовое основаниеобработки ПДн

-   обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-  обработка персональных данных необходима для достижения целей, предусмотренныхмеждународным договором Российской Федерации или законом, для осуществления ивыполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-    обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.



3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение.

4.

способы обработки ПДн

смешанные: с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки и храненияПДн

в течение срока действия договора;

в рамках исполнения нормативных правовых документов, определяющих сроки архивногохранения.

6.

порядок уничтожения ПДн

определено в Политике.

6.

Подготовка, заключение и исполнение гражданско-правового договора с клиентами

В рамках цели Оператор осуществляет:

a)

ведение договорной работы, в том числе заключение, исполнение, изменение и прекращение договоров и соглашений склиентами

b)

учет, хранение, уничтожение носителей информации

c)

организация, осуществление и управление процедурами предоставления товаров, работ, услуг клиентам

d)

принятие мер должной осмотрительности в отношении потенциальных действующих клиентов, включающее в себяуправление связанными с клиентами юридическими, регуляторными и иными комплаенс рисками, а также проверку полноты и достоверности предоставленных сведений

e)

делегирование (оформление) полномочий на представление интересов

f)

иные действия, вытекающие из заявленной цели обработки ПДн и (или) направленных на реализацию законных интересовОператора

1.

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (приналичии); сведения о документе,

удостоверяющего личность; номер телефона; адрес электронной почты; должность;организация.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

клиенты

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество;дата рождения; данные документа, удостоверяющего личность; СНИЛС; адрес местажительства; данные документа, устанавливающего право собственности

на помещение; номер лицевого счета; номер единого лицевого счета; номер помещения; номермобильного телефона; электронная почта; фамилия, имя, отчество представителя собственника; сведения о доверенности представителя собственника.

ПДн, входящие в категорию «Специальные категории персональных данных»необрабатываются.

ПДн, входящие в категорию «Общедоступные»не обрабатываются.

2.

правовое основаниеобработки ПДн

-   обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-  обработка персональных данных необходима для достижения целей, предусмотренныхмеждународным договором Российской Федерации или законом, для осуществления ивыполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение.

4.

способы обработки ПДн

смешанные: с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки и храненияПДн

в течение срока действия договора;

в рамках исполнения нормативных правовых документов, определяющих сроки архивногохранения.

6.

порядок уничтожения ПДн

определено в Политике.


7.

Ведение общедоступных источников

В рамках цели Оператор осуществляет:

а)

размещение контактной информации работников на корпоративном портале home.pik.ru

б)

размещение контактной информации работников в справочнике адресов в сервисе «Яндекс. Почта 360 для бизнеса»

в)

повышение эффективности и производительности коммуникации внутри организации, в том числе с контрагентами

1.

категории субъектов ПДН, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»: не обрабатываются;

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются;

ПДн, входящие в категорию «Общедоступные персональные данные»: фамилия, имя, отчество (при наличии); число, месяц рождения; контактные номера телефонов;корпоративный адрес электронной почты; должность (профессия); стаж работы; место работы, перечень должностных обязанностей; профессиональные успехи и заслуги; структурное подразделение; информация об участии в различных проектах, касающихсяпрофессиональной деятельности; сведения о пройденных оценочных процедурах; наименование пройденных программ обучения; информация об индивидуальных достижениях (культурных, спортивных, об участии или победе в корпоративных мероприятиях); фотоизображение; аккаунт в Телеграм; город пребывания;

способ ведения трудовой книжки; участие в кадровом электронном документообороте; периодотпуска; сведения о себе.

представители контрагентов

ПДн, входящие в категорию «Иные персональные данные»: не обрабатываются;

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются;

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются;

ПДн, входящие в категорию «Общедоступные персональные данные»: фамилия, имя, отчество (при наличии); число, месяц рождения; контактные номера телефонов;корпоративный адрес электронной почты; должность (профессия); стаж работы; переченьдолжностных обязанностей; профессиональные успехи и заслуги; структурноеподразделение; информация об участии в различных проектах, касающихся профессиональной деятельности; сведения о пройденных оценочных процедурах; наименование пройденных программ обучения; информация об индивидуальных достижениях (культурных, спортивных, об участии или победе в корпоративных мероприятиях); фотоизображение; аккаунт вТелеграм; город пребывания; способ ведения

трудовой книжки; участие в кадровом электронном документообороте; период отпуска;сведения о себе.

2.

правовое основание обработкиПДн

- обработка персональных данных осуществляется с согласия субъекта персональных данныхна обработку его персональных

данных;

3.

перечень действий с ПДн

запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение персональных данных

4.

способы обработки ПДн

смешанные, с передачей по внутренней сети, с передачей по сети «Интернет»

5.

сроки обработки и храненияПДн

Работники: в течение периода действия трудового договора

Представители контрагентов: срок обработки ограничен договором на подключение кобщедоступному источнику.

6.

порядок уничтожения ПДн

определено в Политике



8.

Продвижение товаров, работ, услуг на рынке

В рамках цели Оператор осуществляет:

a)

предоставление информации об оказываемых работах и услугах

b)

осуществление информационного взаимодействия с потенциальными клиентами

c)

рассмотрение поступающих обращений и заявок

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

пользователи сайта

ПДн, входящие в категорию «Иные персональные данные»: ФИО; адрес электронной почты; номер мобильного телефона; гражданство; дата рождения; паспорт (серия и номер паспорта, кем выдан, дата выдачи, код подразделения); сведения об изменении паспорта; адрес регистрации по месту жительства; комментарий в обращении пользователя; дата и время экскурсии; сведения,собираемые метрическими программами; информация о Банке; информация о цене объекта;информация об ипотечной

ставке; СНИЛС; ИНН; стоимость квартиры; сведения о предполагаемом кредитном продукте ипредмете кредитования.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные персональные данные»не обрабатываются.

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество; фотография;должность (профессия).

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные персональные данные»: не обрабатываются.

2.

правовое основаниеобработки ПДн

-   обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-       обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем

3.

перечень действий сПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.

способы обработки ПДн

смешанные, с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки ихранения ПДн

Пользователи: до момента расторжениядоговора с пользователем; до момента окончания действия согласия (3 года).

Работники: в течение периода действия трудового договора

6.

порядок уничтоженияПДн

определено в Политике.

9.

Обеспечение пропускного режима на территорию Оператора

В рамках цели Оператора осуществляет:

а)

управление ситуационной осведомленностью в чрезвычайных (аварийных) ситуациях

б)

обеспечение сохранности имущества и защиты физических лиц от противоправных посягательств

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество (приналичии); должность; организация;

фотография.

ПДн, входящие в категорию «Специальные категории персональных данных»: необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

посетители

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество(при наличии); данные документа,

удостоверяющего личность; фотография.

ПДн, входящие в категорию «Специальные категории персональных данных»необрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»не обрабатываются.

ПДн, входящие в категорию «Общедоступные»: не обрабатываются.

2.

правовое основаниеобработки ПДн

-   обработка персональных данных осуществляется с согласия субъекта персональных данныхна обработку его персональных данных;

-  обработка персональных данных необходима для осуществления прав и законных интересовоператора или третьих лиц.

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение, использование,

блокирование, удаление, уничтожение персональных данных.

4.

способы обработки ПДн

смешанные, с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки и храненияПДн

в течение срока, необходимого для ведения журнала учета посетителей;

в течение срока, установленного номенклатурой дел в зависимости от типа документа, вкотором содержатся персональные данные.

6.

порядок уничтожения ПДн

определено в Политике.


10.

Исполнение обязательных актов органов государственной власти

В рамках цели Оператор осуществляет:

а)

участие в проверках государственных органов

б)

исполнение предписаний от органов государственной власти и судебных решений

1.

категории субъектов ПДн, категории и перечень обрабатываемых ПДн

работники

ПДн, входящие в категорию «Иные персональные данные»: фамилия, имя, отчество; дата рождения; данные документа,

удостоверяющего личность; должность.

ПДн, входящие в категорию «Специальные категории персональных данных»: не обрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

ПДн, входящие в категорию «Общедоступные персональные данные»не обрабатываются.

контрагенты

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество; дата рождения; данные документа,

удостоверяющего личность; должность; название организации.

ПДн, входящие в категорию «Специальные категории персональных данных»не обрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»не обрабатываются.

ПДн, входящие в категорию «Общедоступные персональные данные»не обрабатываются.

представители контрагентов

ПДн, входящие в категорию «Иные персональные данные»фамилия, имя, отчество; номер мобильного телефона; адрес

электронной почты; должность; название организации; реквизиты доверенности.

ПДн, входящие в категорию «Специальные категории персональных данных»не обрабатываются.

ПДн, входящие в категорию «Биометрические персональные данные»не обрабатываются.

ПДн, входящие в категорию «Общедоступные персональные данные»не обрабатываются.

2.

правовое основание обработки ПДн

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской

Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

3.

перечень действий с ПДн

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача

(предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.

способы обработки ПДн

смешанные, с передачей по внутренней сети, с передачей по сети «Интернет».

5.

сроки обработки и хранения ПДн

в рамках исполнения нормативных правовых документов, определяющих сроки архивного хранения.