Политика обработки персональных данных

1.1. Положение  об обработке персональных данных (далее – «Положение») подготовлено и применяется ООО «Любимое дело» (ОГРН 1233800001511), далее  –  «Общество») в соответствии  с  п.  2 ч. 1 ст.  18.1  Федерального  закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящее Положение определяет политику, порядок и условия Общества в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.2. Основные понятия, используемые в данном Положении:

• персональные данные (далее – ПД) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• субъект персональных данных - работники Общества, клиенты и контрагенты Общества (физические лица), представители/работники клиентов и контрагентов Общества (юридических лиц);
• оператор персональных данных (оператор) - Общество, его аффилированные лица и субподрядчики;
• обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4. Целью обработки персональных данных является:

• обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
• осуществление деятельности по оказанию юридических услуг, участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• продвижение товаров, работ, услуг Общества на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, заключения гражданско-правовых договоров и рассмотрения обращений физических лиц;
• обеспечение работы программных продуктов, изготовленных, распространяемых либо предлагаемых Обществом, в том числе для оказания соответствующих услуг при исполнении Обществом гражданско-правовых договоров, заключенных с его контрагентами;
• обеспечение соблюдения налогового законодательства РФ;
• обеспечение кадровой работы, в том числе в целях содействия работникам Общества в выполнении возложенных на них трудовых функций, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения работниками Общества должностных обязанностей, контроля количества и качества выполняемой работы, обеспечения личной безопасности работников и обеспечения сохранности имущества, обеспечения работникам Компании установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.

1.5. Обработка организована Обществом на принципах:

• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Общества;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.

1.7. Обработка персональных данных Обществом осуществляется с использованием средств автоматизации и без использования средств автоматизации. Перечень автоматизированных средств обработки персональных данных и перечень обрабатываемых персональных данных устанавливается приказом.

1.8. В соответствии с поставленными целями и задачами Общество до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения, именуемого далее «Лицо, ответственное за обработку ПД».

1.9. Лицо, ответственное за обработку ПД получает указания непосредственно от единоличного исполнительного органа Общества и подотчетен ему.

1.10. Сотрудники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с настоящим Положением и изменениями к нему, иными локальными актами по вопросам обработки персональных данных.

1.11. При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.12. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Обществом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.

1.13. Условия обработки персональных данных Обществом:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.14. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения:

• согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Указанные в данном требовании персональные данные могут обрабатываться только Оператором;
• субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.

1.15. Общество на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Лицо, обрабатывающее ПД по договору принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим положением и законодательством о персональных данных.

1.16. Контроль за соблюдением сотрудниками Общества требований законодательства и положений локальных нормативных актов Общества, а также аудит соблюдения Обществом требований законодательства и положений локальных нормативных актов Общества осуществляет Лицо, ответственное за обработку ПД.

1.17. Оператор, помимо обработки персональных данных, может также собирать обезличенные данные субъекта персональных данных (в том числе, но не ограничиваясь: файлы cookie, IP-адрес). Указанные агрегированные данные субъектов персональных данных собираются в целях улучшения Сайта, проведения статистических, маркетинговых и иных исследований, связанных с предоставлением своих персонифицированных услуг, либо услуг третьих лиц. Эти данные не содержат информации, позволяющей установить субъекта персональных данных, и могут передаваться партнерам (например, Яндекс.Метрика) для статистической обработки.

2.1. Оператор для осуществления своей деятельности и для выполнения своих обязательств может обрабатывать персональные данные следующих категорий субъектов персональных данных:

• клиенты — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с клиентами и для выполнения требований законодательства. К ним также относятся данные, предоставленные потенциальными клиентами, представителями клиентов, уполномоченными представлять клиентов лицами; руководителями и главными бухгалтерами юридических лиц, являющихся клиентами Оператора, лицами, заключившими с Оператором гражданско-правовые договоры на оказание услуг/выполнение работ; работниками партнеров Оператора и других юридических лиц, имеющих договорные отношения с Оператором, с которыми взаимодействуют представители Оператора в рамках своей деятельности;
• персональные данные клиента, предоставленные при регистрации на Сайте, в том числе при осуществлении Клиентом заказов, заполнения анкет, а также при использовании сервисов, форм связи, размещенных на Сайте;
• персональные данные иных физических лиц, в том числе пользователей Сайта, выразивших согласие на обработку Оператором их персональных данных, или данные физических лиц, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных международным договором Российской Федерации или законодательством.

2.2. Субъект, попадающий в перечень лиц, указанных в п. 2.1., дает согласие на обработку следующих персональных данных: фамилии, имени, отчества (в том числе в английской транскрипции); электронный почтовый адрес, номера телефонов.

3.1. Информация в вышеуказанных целях собирается в следующих случаях и следующими способами:

4.1. Обработку персональных данных, прием, обработку обращений и запросов субъектов персональных данных или их представителей организует Лицо, ответственное за обработку ПД.
4.2. Общество осуществляет обработку ПД работников и соискателей на вакантную должность в Обществе в соответствии с трудовым законодательством.
4.3. Обработка ПД осуществляется при продаже билета на мероприятие, а также при взаимодействии посетителя Сайта с ООО «Любимое дело».
4.4. ПД обрабатываемыми являются:

• имя субъекта персональных данных;
• фамилия, отчество (при наличии) субъекта персональных данных (при необходимости);
• контактный телефон, факс (при наличии) субъекта персональных данных;
• адрес электронной почты субъекта персональных данных;
• реквизиты банковской карты; номер расчетного счета; номер лицевого счета субъекта персональных данных (при необходимости);
• информация, собирающаяся автоматически и необходимая для обеспечения взаимодействия с сайтом (например, IP-адрес, дата и время URL-перехода, коды аналитики, cookie, пиксельные ярлыки, веб-маяки, тип браузера, сведения об операционной системе, сведения о посещениях и т.д.).

4.5. Перечень обрабатываемых персональных данных работников, перечень лиц и подразделений, обрабатывающих ПД устанавливается приказом.
4.6. Сотруднику Общества, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Общества в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Общества.
Информация может вноситься как в автоматическом режиме – при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме – при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
4.7. Обеспечение безопасности ПД, обрабатываемых в информационных системах Общества, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности:

• определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах;
• применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Общества, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
• применение процедур оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;
• учет машинных носителей ПД;
• обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
• обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер;
• восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к ПД, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах Общества;
• контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем.

4.8. Лицо, ответственное за обработку ПД принимает все необходимые меры по восстановлению ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
4.9. Обмен ПД при их обработке в информационных системах Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.10. В случае выявления нарушений порядка обработки ПД в информационных системах Общества уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
4.11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, установленных законодательством РФ.

5.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

5.2. Общество обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате.

5.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

5.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие может быть устным или письменным.

5.6. Для письменного согласия достаточно простой письменной формы. Нажатием кнопки «Согласен» на сайте Общества, субъект персональных данных подтверждает свое предварительное согласие на обработку свои персональных данных, простая письменная форма считается соблюденной.

5.7. Общество обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.8. Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

5.9. Общество в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

5.10. Трансграничная передача персональных данных не осуществляется. Все операции по обработке осуществляются исключительно на территории Российской Федерации.

6.1. Лицо, ответственное за обработку ПД, обязано:

• организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Обществом, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
• осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;
• доводить до сведения сотрудников Общества положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
• организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов. Оператор предоставляет сведения по запросу субъекта персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;
• в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.

6.2. Лицо, ответственное за обработку ПД, вправе:

• иметь доступ к информации, касающейся порученной ему обработки ПД и включающей:
• цели обработки ПД;
• категории обрабатываемых ПД;
• категории субъектов, персональные данные которых обрабатываются;
• правовые основания обработки ПД;
• перечень действий с персональными данными, общее описание используемых в Обществе способов обработки ПД;
• описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• дату начала обработки ПД;
• срок или условия прекращения обработки ПД;
• сведения о наличии или об отсутствии трансграничной передачи ПД в процессе их обработки;
• сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации;
• привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Общества с возложением на них соответствующих обязанностей и закреплением ответственности.

6.3. В соответствии с целями, задачами, условиями Общество осуществляет сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД по следующим процедурам: 

• получения оригиналов необходимых документов;
• копирования оригиналов документов;
• внесения сведений в учетные формы (на бумажных и электронных носителях, в т.ч. на сайте Общества и при использовании субъектом персональных данных программного обеспечения Общества);
• формирования персональных данных в ходе кадровой работы.

6.4. В соответствии с поставленными целями и задачами хранение, извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Лицом, ответственным за обработку ПД.

7.1. Обработка персональных данных в Обществе прекращается в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
• при достижении целей их обработки (за некоторыми исключениями);
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
• при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных, требование направляется по адресу: 664022, Иркутская область, г. Иркутск, ул. Седова, стр. 42/2, помещ. 10 (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
• при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

7.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. 
7.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
7.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

8.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. 

8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

8.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.8. Хранение ПД осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПД, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8.9. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Лицом, ответственным за обработку ПД, по следующей процедуре:

8.10. Лицом, ответственным за обработку ПД, ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее – «описи дел»), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).

8.11. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются Лицом, ответственным за обработку ПД, одновременно.

8.12. Описи и акты утверждаются единоличным исполнительным органом Общества только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов.

8.13. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются Лицом, ответственным за обработку ПД.

8.14. По окончании процедуры уничтожения составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата)», заверяется подписью Лица, ответственным за обработку ПД.

8.15. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

8.16. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9.1. На основании двух- и многосторонних соглашений Общество осуществляет обработку ПД в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия.
9.2. В рамках системы электронного взаимодействия Общество на основании поступивших запросов направляет информацию, включающую персональные данные субъектов.
9.3. В рамках системы электронного взаимодействия Общество вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.
9.4. Прекращение действия соглашения с другой организацией является основанием для уничтожения Обществом обработанных в рамках такого соглашения ПД.

10.1. Единоличный исполнительный орган Общества:

• оказывает содействие лицу, ответственному за обработку ПД, в выполнении им своих обязанностей;
• организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Общества, а также причин и условий, способствовавших совершению нарушения.

10.2. Сотрудники Общества:

• оказывают содействие Лицу, ответственному за обработку ПД, в выполнении им своих обязанностей;
• незамедлительно доводят до сведения своего непосредственного руководителя и Лица, ответственное за обработку ПД, сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Общества другими сотрудниками Общества или контрагентами Общества.

11.1. Принимаемые Оператором меры, направленные на обеспечение выполнения обязанностей, установленных законодательством, установлены на среднем уровне, что является соразмерным уровнем вреда, который может быть причинен Оператором субъектам персональных данных.
11.2. Контроль за исполнением Положения возложен на Единоличный исполнительный орган Общества.
11.3. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.
11.4. Руководители структурных подразделений Общества несут персональную ответственность за исполнение обязанностей их подчиненными.