1.1. Настоящее Положение об обработке персональных данных в ООО «Толкфинанс» (далее - Положение) разработано во исполнение требований главы 14 Трудового кодекса Российской Федерации, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение является локальным нормативным актом общества с ограниченной ответственностью «Толкфинанс» (далее - Оператор), регулирующим вопросы обработки персональных данных, в том числе устанавливающим цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

1.3. Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.4. Основные понятия, используемые в Положении:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - ООО «Толкфинанс» (ОГРН 1167746688944; ИНН 7734387717; адрес: 121205, г. Москва, б-р Большой, Сколково Инновационного Центра тер., д. 42 стр. 1, этаж 0 помещение 137 рабочее место 28); телефон: +7-985-368-03-25; е-mail: finance@talkbank.io), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

сервис – совокупность графических и информационных материалов, а также программ для электронных вычислительных машин и баз данных, в том числе программно-аппаратный комплекс TalkBank Platform, расположенных по сетевому адресу www.talkbank.io (включая поддомены) и в чат-ботах с функционалом:
- для осуществления взаимодействия с Пользователем или Клиентом, включая обмен информацией и совершение отдельных операций;
- иным функционалом, указанным в Сервисе;

чат-бот - часть Сервиса, работающая в Мессенджере, с помощью которой реализуется функционал Сервиса, в том числе @Talkbankbot;

мессенджер – программы для электронных вычислительных машин, включая мобильные приложения, позволяющие осуществлять мгновенный обмен текстовыми и звуковыми сообщениями, фотографиями, видеозаписями и иными медиафайлами;

клиент – физическое лицо, заключившее и (или) исполняющее гражданско-правовой договор с Оператором или третьими лицами посредством использования Сервиса;

пользователь – физическое лицо, зарегистрированное в Сервисе.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
   
   
2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
   
   
3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
   
   

1.5.2. Оператор обязан:

1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
   
   
2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
   
   
3. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в порядке и сроки, предусмотренные Законом о персональных данных;
   
   
4. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
   
   

1.6. Основные права субъекта персональных данных.

Субъект персональных данных имеет право:

1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
   
   
2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
   
   
3. дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
   
   
4. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
   
   
5. субъекты персональных данных, являющиеся работниками Оператора, имеют права, предусмотренные Трудовым кодексом Российской Федерации.
   
   

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Оператор определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, в Приложении № 1 к настоящему Положению, которое является его неотъемлемой частью.

2.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в Приложении № 1 к настоящему Положению. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.4. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

2.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов и документов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
  
• Гражданский кодекс Российской Федерации;
  
• Трудовой кодекс Российской Федерации;
  
• Налоговый кодекс Российской Федерации;
  
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
  
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
• устав ООО «Толкфинанс»;
  
• гражданско-правовые договоры, заключаемые между Оператором и субъектами персональных данных;
  
• согласие субъектов персональных данных на обработку их персональных данных;
  
• поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных.
  
  

4.1. Для каждой цели, определенной в Приложении № 1 к настоящему Положению, Оператор вправе обрабатывать персональные данные субъектов персональных данных следующими способами:

• сбор;
  
• запись;
  
• систематизация;
  
• накопление;
  
• хранение;
  
• уточнение (обновление и изменение);
  
• извлечение;
  
• использование;
  
• передача третьим лицам (распространение, предоставление, доступ);
  
• обезличивание;
  
• блокирование;
  
• удаление;
  
• уничтожение.
  
  

4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

4.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

• неавтоматизированная обработка персональных данных;
  
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  
• смешанная обработка персональных данных.
  
  

4.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных, либо иные лица, которым Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных.

4.5. Обработка персональных данных для каждой цели обработки осуществляется путем:

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
  
• внесения персональных данных в таблицы, реестры и информационные системы Оператора;
  
• использования иных способов обработки персональных данных, предусмотренных пунктом 4.1. настоящего Положения.
  
  

4.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

4.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

4.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

4.8.1. Персональные данные, содержащиеся на бумажных и электронных носителях, в том числе в электронных документах, хранятся Оператором в течение сроков хранения архивных документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»).

4.8.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4.9. Обработка персональных данных осуществляется до момента наступления одного из следующих событий:

• выявлен факт неправомерной обработки персональных данных – обработка прекращается в течение трех рабочих дней с даты выявления такого факта;
  
• достигнута цель их обработки - обработка прекращается в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или действующим законодательством РФ;
  
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия - обработка прекращается в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или действующим законодательством РФ;
  
• при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных) – обработка прекращается в срок не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если Оператором направлено уведомление о причинах продления).
  
  

4.10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
  
  

4.11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5.1.1. Обработка персональных данных работников Оператора осуществляется в соответствии с настоящим Положением, с учетом особенностей, предусмотренных главой 14 Трудового кодекса Российской Федерации и настоящим разделом 5 Положения.

5.1.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников осуществляются посредством:

- получения оригиналов документов либо их копий;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- создания документов, содержащих персональные данные, на бумажных и электронных носителях;
- внесения персональных данных в информационные системы персональных данных.

Персональные данные работника Оператор получает непосредственно от работника. Оператор вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника.

5.1.3. Передача (распространение, предоставление, доступ) персональных данных работников осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных, Трудовым кодексом Российской Федерации и настоящим Положением.

5.1.4. Работник предоставляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

5.1.5. При изменении персональных данных работник письменно уведомляет Оператора о таких изменениях в разумный срок, не превышающий 14 дней.

5.1.6. По мере необходимости Оператор истребует у работника дополнительные сведения. Работник предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

5.2.1. Хранение персональных данных работников осуществляется в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) и на бумажных носителях.

5.2.2. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:

- в цифровой информационной системе хранение персональных данных осуществляется в электронном виде на персональном компьютере либо в локальной компьютерной сети с ограничением прав доступа;
- в информационной системе на основе бумажных носителей хранение персональных данных осуществляется на материальных носителях (в папках, скоросшивателях, личных делах) в специально отведенном шкафу (сейфе), обеспечивающем защиту от несанкционированного доступа.

5.2.3. Оператор назначает лицо, ответственное за хранение и обработку кадровых документов.

5.2.4. В случае принятия Оператором решения о введении электронного документооборота в сфере трудовых отношений (статья 22.1. Трудового кодекса Российской Федерации) все документы, содержащие персональные данные работников, хранятся в информационной системе в электронном виде без дублирования на бумажном носителе, за исключением случаев, предусмотренных статьями 22.1. - 22.3. Трудового кодекса Российской Федерации. Порядок ведения электронного документооборота в сфере трудовых отношений регулируется трудовым законодательством Российской Федерации и локальными нормативными актами Оператора.

5.2.5. Помимо электронного документооборота персональные данные работников хранятся в электронном виде в иных информационных системах (в частности, программа 1С, базы данных и реестры). Доступ к персональным данным работников, содержащимся в информационных системах Оператора, осуществляется по индивидуальным паролям.

5.2.6. Доступ к персональным данным работника имеют руководитель Оператора, а также работники его секретариата, заместитель руководителя, главный бухгалтер, лицо, ответственное за ведение кадрового документооборота, а также непосредственный руководитель работника. Работники бухгалтерии, ИТ-специалисты имеют доступ к тем персональным данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя Оператора или его заместителя.

5.3.1. Персональные данные работников используются для целей, связанных с выполнением работниками трудовых функций и соблюдением требований трудового законодательства. Оператор использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы, о допуске его к информации, составляющей служебную или коммерческую тайну, иных вопросов.

5.3.2. При принятии решений, затрагивающих интересы работника, Оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, Оператор предлагает работнику представить письменные разъяснения.

5.4.1. Передача персональных данных работника осуществляется с учетом специфики конкретной информационной системы:

- в цифровой информационной системе передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
- в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работника Оператора, ответственного за хранение и обработку кадровых документов.

5.4.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.4.3. Оператор не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.4.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, Оператор обязан отказать лицу в выдаче информации.

5.4.5. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.4.5. Оператор обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное требование не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

5.4.6. Работники и их представители должны быть ознакомлены под роспись с настоящим Положением, а также иными документами Оператора, устанавливающими порядок обработки и защиты персональных данных работников.

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператор направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

6.2. Запрос субъекта персональных данных на доступ к его персональным данным должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  
• подпись субъекта персональных данных или его представителя.
  
  

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.3. Запросы и обращения субъекта персональных данных (его представителя) направляются в письменном виде на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II. Электронное обращение направляется субъектом персональных данных (его представителем) на электронную почту Оператора по адресу: finance@talkbank.io.

6.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных (далее – Роскомнадзор) Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.6. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор принимает меры, предусмотренные разделом 8 настоящего Положения.

6.7. Условия и сроки уничтожения персональных данных Оператором:

• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение тридцати дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение тридцати дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение тридцати дней.

6.8. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

7.1. Уничтожение персональных данных осуществляется путем уничтожения носителей, содержащих персональные данные субъектов персональных данных, и должно соответствовать следующим правилам:

• быть конфиденциальным, исключая возможность последующего восстановления;
  
• оформляться юридически, в частности, актом об уничтожении персональных данных;
  
• уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в соответствии с п. 6.7. настоящего Положения, не допуская случайного или преднамеренного уничтожения актуальных носителей.
  
  

7.2. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются в специально отведенном для этих целей помещении комиссией по уничтожению персональных данных, состав которой утверждается приказом руководителя Оператора (далее – Комиссия), либо лицом, которому Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных.

7.3. Лица, указанные в п. 7.2. настоящего Положения, несут персональную ответственность за правильность и полноту уничтожения персональных данных.

7.4. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.5. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

• уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шрёдера (уничтожителя документов), установленного в помещении Оператора (помещении лица, которому Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных), либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
  
• уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  
• подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  
• в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
  
  

7.6. Факт уничтожения персональных подтверждается актом об уничтожении персональных данных, который подписывается ответственными лицами и утверждается руководителем Оператора. Данный документ является документом конфиденциального характера и подлежит хранению в течение трех лет с момента уничтожения персональных данных.

8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе следующие меры:

8.2. Работники и иные лица, обязанности которых предусматривают обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

8.3. Материальные носители, содержащие персональные данные, хранятся в шкафах (сейфах), запирающихся на ключ. Помещения, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется только работникам, уполномоченным на обработку персональных данных.

8.4. Оператором используются следующие информационные системы:

- корпоративная электронная почта;
- система корпоративного электронного документооборота;
- система автоматизированного бухгалтерского и кадрового учета (программа 1С);
- система поддержки рабочего места пользователя;
- система контроля удаленным доступом.

Доступ к персональным данным, содержащимся в информационных системах Оператора, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети (персонального компьютера) и на уровне информационной системы. Пароли устанавливаются индивидуально для каждого работника, который имеет доступ к персональным данным.

8.5. Работники Оператора и иные лица, обязанности которых предусматривают обработку персональных данных, обязаны сообщать Оператору о любых случаях несанкционированного доступа к персональным данным.

8.6. Оператор проводит внутренние расследования в следующих ситуациях:

- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.

8.7. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

- за соблюдением работниками и иными лицами, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов Оператора;
- соответствием указанных актов требованиям законодательства в области персональных данных.

Внутренний контроль проходит в виде внутренних проверок.

8.7.1. Внутренние плановые проверки проводятся не реже 1 раза в 3 года в сроки, определяемые приказом руководителя Оператора.

8.7.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

8.7.3. По итогам внутренней проверки оформляется докладная записка на имя руководителя Оператора. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.

8.7.4. Внутренний контроль может осуществляться с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

8.8. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

8.8.1. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:

- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

8.8.2. В течение 72 часов Оператор осуществляет следующие действия:

- уведомляет Роскомнадзор о результатах внутреннего расследования;
- предоставляет сведения о лицах, действия которых стали причиной инцидента (при наличии).

8.8.3. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Оператор уведомляет также Роскомнадзор, если последний направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

8.8.4. Для проведения внутреннего расследования по решению руководителя Оператора создается комиссия или назначается ответственное лицо. Результаты внутреннего расследования инцидента оформляются актом (докладной запиской) на имя руководителя Оператора. В документе описываются: суть и причины инцидента; вред, причиненный правам субъекта (нескольким субъектам) персональных данных; сведения о лицах, действия которых стали причиной инцидента (при наличии); принятые меры по устранению последствий инцидента.

8.9. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Порядок взаимодействия с ГосСОПКА определяется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

9.1. Настоящее Положение вступает в силу с момента его утверждения и действует до его отмены.

9.2. Настоящее Положение может быть отменено или изменено на основании приказа руководителя Оператора.

9.3. Контроль за исполнением требований настоящего Положения осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

9.4. Лица, виновные в нарушении настоящего Положения, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

9.5. Неотъемлемой частью настоящего Положения является:

- Приложение № 1.