1. Общие положения
1.1 Настоящая Политика общества с ограниченной ответственностью «Центр закупочных технологий» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ персональных данных“ (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью “Центр закупочных технологий“ (далее - Оператор, ООО «Центр закупочных технологий»).
1.3 Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4 Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика находится е свободном Доступе подшивке Документации на стенде в каждом подразделении ООО «Центр закупочных технологий».
1.5 Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате КОТОРЫХ становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом с; персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
З) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
З) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Центр закупочных технологий» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
• о осуществление своей деятельности в соответствии с уставом ООО “Центр закупочных технологий”, в том числе заключение и исполнение договоров с контрагентами;
• о исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования
обязательного социального страхования;
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
З. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
- устав ООО «Центр закупочных технологий»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4. 1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные; сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатом в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица) - для целей осуществления своей деятельности в соответствии с уставом ООО «Центр закупочных технологий», осуществления пропускного режима:
• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• замещаемая должность;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.4. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом ООО «Центр закупочных технологий»:
• фамилия, имя, отчество;
• паспортные данные;
• контактные данные;
• замещаемая должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3 Обработка Оператором биометрических персональных данных (сведений, которые характеризую
физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.4 Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами.
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики
осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в ООО Н Центр закупочных технологий“ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ архивном деле в Российской Федерации”, Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев
указанных в Законе о персональных данных.
6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных
Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту
персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1 Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течении 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Центр закупочных технологий».
6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
Общество с ограниченной ответственностью
«Центр закупочных Технологий» (ООО «Центр закупочных технологий») Юридический/почтовый адрес: 350015, г. Краснодар, ул. Красная, д. 124, оф. 506 ОГРН 1192375016767 ИНН2312280727
УТВЕРЖДЕНО
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
Приказ от 2 мая 2023г. №31
Положение об обработке персональных данных
г. Краснодар «02» мая 2023 г.
1. Общие положения
1.1. Положение об обработке персональных данных (далее - Положение) издано и применяется Общество с ограниченной ответственностью «Центр закупочных Технологий» (ООО «Центр закупочных технологий») (далее Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Настоящее Положение определяет, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целью обработки персональных данных является:
- обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Оператора;
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);
- регулирования трудовых отношений с работниками Оператора (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- подготовки, заключения, исполнения и прекращения договоров с контрагентами.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.
1.6. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
1.7. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
1) категория 1: работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;
2) категория 2: клиенты и контрагенты, являющиеся физическими лицами;
З) категория 3: представители и работники клиентов и контрагентов, являющихся юридическими лицами.
1.8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее «куратор ОПД».
1.8.1. Куратор ОПД получает указания непосредственно от
исполнительного органа Оператора и подотчетен ему.
1.9. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
1.10. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Оператором графиками.
1.11. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.12. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.
1.13. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.14. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено в Положении о недопущении Оператором вреда при обработке персональных данных.
1.15. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с Положением Оператора о раскрытии информации.
1.16. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.17. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст, 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 15 (пятнадцати) дней.
1.18. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
1.19. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
1.20. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
1.21. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
2. Структурные подразделения оператора по обработке персональных данных
2.1. Обработку персональных данных организует непосредственно исполнительный орган оператора (далее служба ОПД).
2.2. обработка персональных данных под руководством исполнительного органа оператора:
1) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на исполнительный орган оператора.
2.4. Сотруднику Оператора, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.
Информация может вноситься как в автоматическом режиме при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.5 Обеспечение безопасности ПД, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности:
2.5.1. определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах;
2.5.2. применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
2.5.3. применение процедур оценки соответствия средств защиты информации;
2.5.4. оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;
2.5.5. учет и контроль машинных носителей ПД;
2.5.6. обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
2.5.7. обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер;
2.5.8. восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
2.5.9. установление правил доступа к ПД, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и
учета всех действий, совершаемых с ПД в информационных системах Оператора;
2.5.10 контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем.
2.6. Исполнительный орган оператора обеспечивает:
своевременное обнаружение фактов несанкционированного доступа к ПД и немедленное доведение этой информации до ответственного за организацию обработки ПД;
недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности ПД;
соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД;
при обнаружении нарушений порядка предоставления ПД незамедлительное приостановление предоставления ПД пользователям информационной системы ПД до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей ПД, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищенности ПД, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.6.1. Исполнительный орган оператора принимает все необходимые меры по восстановлению ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.7. Обмен ПД при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.8. Доступ сотрудников Оператора к ПД, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.9. В случае выявления нарушений порядка обработки ПД в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
З. Порядок обеспечения оператором прав субъекта персональных данных
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации от 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Службой ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя Оператора сотрудником Службы ОПД.
3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
З. 7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
3.7.3. Письменное согласие представляется в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.7.4. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч.
ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. З ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных:
- применительно к правоотношениям до 01.07.2011 - в течение 7 (семи) рабочих дней со дня получения возражения;
- применительно к правоотношениям после 01.07.2011 - в течение 30 (тридцати) дней со дня получения возражения.
Оператор уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение 7 (семи) дней.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 7 (семи) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. Порядок обработки персональных данных
4.1. Цель обработки персональных данных определяет исполнительный орган оператора.
4.2. На основании заданной цели определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора.
4.3. Куратор ОПД обязан:
организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;
доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.
4.4. Куратор ОПД вправе:
4.4.1. иметь доступ к информации, касающейся порученной ему обработки ПД;
4.4.2. привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. Запись, систематизация ПД осуществляются только Службой ОПД во взаимодействии со специалистами оператора.
4.6. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) ПД осуществляются только Службой ОПД во взаимодействии со специалистами в порядкед установленном приказом об утверждении Положения об обработке персональных данных.
4.7. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Службой ОПД.
4.8. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Службой ОПД по следующей процедуре:
4.8.1. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.8.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании комиссии Оператора одновременно.
Описи и акты утверждаются заместителем руководителя Оператора только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов Экспертной проверочной комиссией Государственного архива Российской Федерации.
4.8.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
4.8.4. По окончании процедуры уничтожения составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп “ Уничтожено. Акт (дата, N)", заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.
4.8.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5. Взаимодействие с другими операторами при обработке персональных данных с применением системы электронного взаимодействия
5.1. На основании двух- и многосторонних соглашений Оператор осуществляет обработку ПД в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
5.2. По согласованным регламентам Оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Службой ОПД.
5.3. По перечню, утвержденному приказом Оператора, Служба ОПД в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.
5.4. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения ПД.
6. Обязанности руководителя и сотрудников оператора
6.1. Руководитель Оператора:
- оказывает содействие сотрудникам в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Оператора:
- оказывают содействие руководителю оператора в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
7. Контроль, ответственность за нарушение или неисполнение положения
7.1. Контроль за исполнением Положения возложен на руководителя оператора.
7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).
7.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
Общество с ограниченной ответственностью
«Центр Закупочных Технологий» (ООО «Центр Закупочных Технологий»)
Юридический/почтовый адрес: 350015, г. Краснодар, ул. Красная, д. 124, оф. 506 ОГРН 1192375016767 ИНН2312280727
УТВЕРЖДЕНО
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
Приказ от «02» мая 2023г. №31
Перечни
обрабатываемых оператором персональных данных
1. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
1) категория 1: работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;
2) категория 2: клиенты и контрагенты, являющиеся физическими лицами;
3) категория 3: представители и работники клиентов и контрагентов, являющихся юридическими лицами.
2. Персональные данные работников Оператора включают в себя:
персональный идентификатор;
фамилию, имя, отчество субъекта персональных данных;
вид документа, удостоверяющего личность субъекта персональных данных;
серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации и адрес фактического проживания субъекта персональных данных;
почтовый адрес субъекта персональных данных;
контактный телефон, факс (при наличии) субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
ИНН субъекта персональных данных;
номер страхового свидетельства обязательного пенсионного страхования, дату и место рождения;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
сведения о трудовой деятельности;
телефон субъекта персональных данных;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
информацию о владении иностранными языками, степень владения;
сведения о предыдущих местах работы;
сведения о воинском учете и реквизиты документов воинского учета;
военно-учетную специальность;
воинское звание;
годность к военной службе, состав;
специальный учет (состоит или нет);
иные персональные данные, необходимые для формирования и ведения учетного дела военнообязанного.
2. Персональные данные клиентов и контрагентов Оператора включают в себя:
фамилию, имя, отчество;
вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
дату и место рождения;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
почтовый адрес субъекта персональных данных;
контактный телефон, факс (при наличии) субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
ИНН субъекта персональных данных;
номер страхового свидетельства обязательного пенсионного страхования;
телефон субъекта персональных данных.
1.1 Настоящая Политика общества с ограниченной ответственностью «Центр закупочных технологий» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ персональных данных“ (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью “Центр закупочных технологий“ (далее - Оператор, ООО «Центр закупочных технологий»).
1.3 Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4 Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика находится е свободном Доступе подшивке Документации на стенде в каждом подразделении ООО «Центр закупочных технологий».
1.5 Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате КОТОРЫХ становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом с; персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
З) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
З) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Центр закупочных технологий» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
• о осуществление своей деятельности в соответствии с уставом ООО “Центр закупочных технологий”, в том числе заключение и исполнение договоров с контрагентами;
• о исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования
обязательного социального страхования;
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
З. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
- устав ООО «Центр закупочных технологий»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4. 1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные; сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатом в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица) - для целей осуществления своей деятельности в соответствии с уставом ООО «Центр закупочных технологий», осуществления пропускного режима:
• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• замещаемая должность;
• индивидуальный номер налогоплательщика;
• номер расчетного счета;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.4. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом ООО «Центр закупочных технологий»:
• фамилия, имя, отчество;
• паспортные данные;
• контактные данные;
• замещаемая должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3 Обработка Оператором биометрических персональных данных (сведений, которые характеризую
физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.4 Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами.
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики
осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в ООО Н Центр закупочных технологий“ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ архивном деле в Российской Федерации”, Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев
указанных в Законе о персональных данных.
6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных
Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту
персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1 Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течении 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Центр закупочных технологий».
6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
Общество с ограниченной ответственностью
«Центр закупочных Технологий» (ООО «Центр закупочных технологий») Юридический/почтовый адрес: 350015, г. Краснодар, ул. Красная, д. 124, оф. 506 ОГРН 1192375016767 ИНН2312280727
УТВЕРЖДЕНО
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
Приказ от 2 мая 2023г. №31
Положение об обработке персональных данных
г. Краснодар «02» мая 2023 г.
1. Общие положения
1.1. Положение об обработке персональных данных (далее - Положение) издано и применяется Общество с ограниченной ответственностью «Центр закупочных Технологий» (ООО «Центр закупочных технологий») (далее Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Настоящее Положение определяет, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целью обработки персональных данных является:
- обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Оператора;
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);
- регулирования трудовых отношений с работниками Оператора (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- подготовки, заключения, исполнения и прекращения договоров с контрагентами.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.
1.6. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
1.7. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
1) категория 1: работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;
2) категория 2: клиенты и контрагенты, являющиеся физическими лицами;
З) категория 3: представители и работники клиентов и контрагентов, являющихся юридическими лицами.
1.8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее «куратор ОПД».
1.8.1. Куратор ОПД получает указания непосредственно от
исполнительного органа Оператора и подотчетен ему.
1.9. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
1.10. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Оператором графиками.
1.11. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.12. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.
1.13. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.14. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено в Положении о недопущении Оператором вреда при обработке персональных данных.
1.15. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с Положением Оператора о раскрытии информации.
1.16. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.17. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст, 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 15 (пятнадцати) дней.
1.18. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
1.19. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
1.20. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
1.21. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
2. Структурные подразделения оператора по обработке персональных данных
2.1. Обработку персональных данных организует непосредственно исполнительный орган оператора (далее служба ОПД).
2.2. обработка персональных данных под руководством исполнительного органа оператора:
1) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на исполнительный орган оператора.
2.4. Сотруднику Оператора, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.
Информация может вноситься как в автоматическом режиме при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.5 Обеспечение безопасности ПД, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности:
2.5.1. определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах;
2.5.2. применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
2.5.3. применение процедур оценки соответствия средств защиты информации;
2.5.4. оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы;
2.5.5. учет и контроль машинных носителей ПД;
2.5.6. обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
2.5.7. обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер;
2.5.8. восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
2.5.9. установление правил доступа к ПД, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и
учета всех действий, совершаемых с ПД в информационных системах Оператора;
2.5.10 контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем.
2.6. Исполнительный орган оператора обеспечивает:
своевременное обнаружение фактов несанкционированного доступа к ПД и немедленное доведение этой информации до ответственного за организацию обработки ПД;
недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности ПД;
соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПД;
при обнаружении нарушений порядка предоставления ПД незамедлительное приостановление предоставления ПД пользователям информационной системы ПД до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей ПД, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищенности ПД, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.6.1. Исполнительный орган оператора принимает все необходимые меры по восстановлению ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.7. Обмен ПД при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.8. Доступ сотрудников Оператора к ПД, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.9. В случае выявления нарушений порядка обработки ПД в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
З. Порядок обеспечения оператором прав субъекта персональных данных
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации от 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Службой ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя Оператора сотрудником Службы ОПД.
3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
З. 7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
3.7.3. Письменное согласие представляется в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.7.4. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч.
ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. З ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных:
- применительно к правоотношениям до 01.07.2011 - в течение 7 (семи) рабочих дней со дня получения возражения;
- применительно к правоотношениям после 01.07.2011 - в течение 30 (тридцати) дней со дня получения возражения.
Оператор уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение 7 (семи) дней.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 7 (семи) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. Порядок обработки персональных данных
4.1. Цель обработки персональных данных определяет исполнительный орган оператора.
4.2. На основании заданной цели определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора.
4.3. Куратор ОПД обязан:
организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;
доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.
4.4. Куратор ОПД вправе:
4.4.1. иметь доступ к информации, касающейся порученной ему обработки ПД;
4.4.2. привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. Запись, систематизация ПД осуществляются только Службой ОПД во взаимодействии со специалистами оператора.
4.6. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) ПД осуществляются только Службой ОПД во взаимодействии со специалистами в порядкед установленном приказом об утверждении Положения об обработке персональных данных.
4.7. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Службой ОПД.
4.8. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Службой ОПД по следующей процедуре:
4.8.1. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.8.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании комиссии Оператора одновременно.
Описи и акты утверждаются заместителем руководителя Оператора только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов Экспертной проверочной комиссией Государственного архива Российской Федерации.
4.8.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
4.8.4. По окончании процедуры уничтожения составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп “ Уничтожено. Акт (дата, N)", заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.
4.8.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5. Взаимодействие с другими операторами при обработке персональных данных с применением системы электронного взаимодействия
5.1. На основании двух- и многосторонних соглашений Оператор осуществляет обработку ПД в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
5.2. По согласованным регламентам Оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Службой ОПД.
5.3. По перечню, утвержденному приказом Оператора, Служба ОПД в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.
5.4. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения ПД.
6. Обязанности руководителя и сотрудников оператора
6.1. Руководитель Оператора:
- оказывает содействие сотрудникам в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Оператора:
- оказывают содействие руководителю оператора в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
7. Контроль, ответственность за нарушение или неисполнение положения
7.1. Контроль за исполнением Положения возложен на руководителя оператора.
7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).
7.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
Общество с ограниченной ответственностью
«Центр Закупочных Технологий» (ООО «Центр Закупочных Технологий»)
Юридический/почтовый адрес: 350015, г. Краснодар, ул. Красная, д. 124, оф. 506 ОГРН 1192375016767 ИНН2312280727
УТВЕРЖДЕНО
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
Приказ от «02» мая 2023г. №31
Перечни
обрабатываемых оператором персональных данных
1. Категории персональных данных. В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
1) категория 1: работники организации (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры и практиканты;
2) категория 2: клиенты и контрагенты, являющиеся физическими лицами;
3) категория 3: представители и работники клиентов и контрагентов, являющихся юридическими лицами.
2. Персональные данные работников Оператора включают в себя:
персональный идентификатор;
фамилию, имя, отчество субъекта персональных данных;
вид документа, удостоверяющего личность субъекта персональных данных;
серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации и адрес фактического проживания субъекта персональных данных;
почтовый адрес субъекта персональных данных;
контактный телефон, факс (при наличии) субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
ИНН субъекта персональных данных;
номер страхового свидетельства обязательного пенсионного страхования, дату и место рождения;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
сведения о трудовой деятельности;
телефон субъекта персональных данных;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
информацию о владении иностранными языками, степень владения;
сведения о предыдущих местах работы;
сведения о воинском учете и реквизиты документов воинского учета;
военно-учетную специальность;
воинское звание;
годность к военной службе, состав;
специальный учет (состоит или нет);
иные персональные данные, необходимые для формирования и ведения учетного дела военнообязанного.
2. Персональные данные клиентов и контрагентов Оператора включают в себя:
фамилию, имя, отчество;
вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
дату и место рождения;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
семейное положение, состав семьи и сведения о близких родственниках
(в том числе бывших);
почтовый адрес субъекта персональных данных;
контактный телефон, факс (при наличии) субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
ИНН субъекта персональных данных;
номер страхового свидетельства обязательного пенсионного страхования;
телефон субъекта персональных данных.
Политика
общества с ограниченной ответственностью
«Центр закупочных технологий»
в отношении обработки персональных данных
УТВЕРЖДАЮ
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
«02» мая 2023 год
Генеральный директор
ООО «Центр Закупочных Технологий»
Шоров Е.С.
«02» мая 2023 год