Вернуться на главную

ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Политика общества с ограниченной ответственностью «АИР МАГИСТРАЛЬ» по обработке персональных данных
1. Общие положения

1. Настоящая Политика общества с ограниченной ответственностью «АИР МАГИСТРАЛЬ» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «АИР МАГИСТРАЛЬ» (далее – Оператор). Обработка персональных данных работников ООО «АИР Магистраль» дополнительно регулируется локальными нормативными актами работодателя.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайтах Оператора:
  1. https://airmagistral.ru/
  2. https://airmagistral.tech/
  3. https://гаврош-прицеп.рф
1.5. Основные понятия, используемые в Политике:
-персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
-оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
-обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение;
-автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
-распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
-предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
-блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
-уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
-обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
-информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
-трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.6.3. Не включение в настоящую Политику каких-либо прав и (или) обязанностей Оператора, установленных законодательством о персональных данных, локальными нормативными актами, не может рассматриваться как отказ от реализации этих прав или исполнения этих обязанностей.
1.7. Основные права субъекта персональных данных.
1.7.1. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
5) отозвать сове согласие на обработку персональных данных.
1.7.2. Не включение в настоящую Политику каких-либо прав и (или) обязанностей субъекта персональных данных, установленных законодательством о персональных данных, не может рассматриваться как отказ от реализации этих прав или исполнения этих обязанностей.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных, категории субъектов персональных данных, объем и категории обрабатываемых персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Цели обработки персональных данных, категории субъектов персональных данных, объем и категории обрабатываемых персональных данных приведены в списке:

2.3.1. Категории персональных данных, обработку которых осуществляет оператор:
  • фамилия, имя, отчество (при наличии), в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения;
  • год рождения;
  • месяц рождения;
  • дата рождения;
  • место рождения;
  • семейное положение;
  • социальное положение;
  • доходы;
  • пол;
  • адрес электронной почты;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • данные водительского удостоверения;
  • данные документа, удостоверяющего личность за пределами Российской Федерации;
  • данные документа, содержащиеся в свидетельстве о рождении;
  • реквизиты банковской карты;
  • номер расчетного счета;
  • номер лицевого счета;
  • профессия;
  • должность;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), включая работу по совместительству, предпринимательскую и иную деятельность, гражданскую службу;
  • отношение к воинской обязанности, сведения о воинском учете, включая серию, номер документа воинского учета, дату его выдачи и наименование органа, выдавшего документ воинского учета, категорию годности к воинской службе, категорию пребывания в запасе, иные сведения, необходимые для осуществления ведения воинского учета;
  • сведения об образовании, включая наименование образовательной организации, года её окончания, квалификации, специальности и (или) направления подготовки, профессиональной переподготовке, повышении квалификации, наименования и реквизиты документов об образовании (квалификации, профессиональной переподготовке);
  • фото-видео изображение лица;
  • данные голоса человека;
  • дата регистрации по месту жительства (пребывания);
  • реквизиты свидетельства о государственной регистрации актов гражданского состояния;
  • сведения о составе семьи и о близких родственниках (в том числе бывших супругах) с указанием даты рождения члена семьи и (или) близких родственников;
  • информация о владении иностранными языками, степень владения;
  • сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан);
  • сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
  • сведения об обязательствах по исполнительным документам.
Специальные категории персональных данных (для отдельных категорий работников):
  • сведения о состоянии здоровья;
  • сведения о судимости.
2.3.1.1. Цель обработки персональных данных: ведение кадрового и бухгалтерского учета, включая исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, содействие работникам в получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников, ведение воинского учета.
2.3.1.2. Категории субъектов персональных данных: Работники, родственники работников, уволенные работники, контрагенты, представители контрагентов, клиенты, законные представители.

2.3.2. Категории персональных данных, обработку которых осуществляет оператор:
  • фамилия, имя, отчество;
  • дата рождения;
  • адрес электронной почты;
  • номер телефона;
  • должность;
  • гражданство;
  • данные документа, удостоверяющего личность.
2.3.2.1. Цель обработки персональных данных: Обеспечение соблюдения трудового законодательства РФ.
2.3.2.2. Категории субъектов персональных данных: Работники.

2.3.3. Категории персональных данных, обработку которых осуществляет оператор:
  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • доходы;
  • адрес регистрации;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • данные документа, содержащиеся в свидетельстве о рождении;
  • реквизиты банковской карты;
  • номер расчетного счета;
  • номер лицевого счета;
  • профессия;
  • должность;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).
2.3.3.1. Цель обработки персональных данных: Обеспечение соблюдения налогового законодательства РФ.
2.3.3.2. Категории субъектов персональных данных: Работники, уволенные работники, контрагенты, представители контрагентов, клиенты, законные представители.

2.3.4. Категории персональных данных, обработку которых осуществляет оператор:
  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • семейное положение;
  • социальное положение;
  • доходы;
  • пол;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • данные водительского удостоверения;
  • данные документа, содержащиеся в свидетельстве о рождении;
  • должность;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
  • отношение к воинской обязанности, сведения о воинском учете.
2.3.4.1. Цель обработки персональных данных: Обеспечение соблюдение пенсионного законодательства РФ.
2.3.4.2. Категории субъектов персональных данных: Работники; уволенные работники; контрагенты.

2.3.5. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • дата рождения;
  • адрес электронной почты;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • ИНН;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • данные водительского удостоверения;
  • реквизиты банковской карты;
  • номер расчетного счета
  • номер лицевого счета;
  • должность;
  • сведения об образовании.
2.3.5.1. Цель обработки персональных данных: Подготовка, заключение и исполнение договоров гражданско-правового характера.
2.3.5.2. Категории субъектов персональных данных: Контрагенты, представители контрагентов, клиенты, выгодоприобретатели по договорам, законные представители.

2.3.6. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • фамилия, имя, отчество;
  • дата рождения;
  • пол;
  • адрес места жительства;
  • адрес регистрации;
  • номер телефона;
  • СНИЛС;
  • гражданство;
  • данные документа, удостоверяющего личность
2.3.6.1. Цель обработки персональных данных: Осуществление добровольного медицинского страхования для работников и членов их семей.
2.3.6.2. Категории субъектов персональных данных: Работники, родственники работников, законные представители, контрагенты, работники контрагентов.

2.3.7. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • фамилия, имя, отчество;
  • адрес электронной почты;
  • номер телефона;
  • сведения, собираемые посредством метрических программ;
  • файлы вложений, иная информация, которую субъект персональных данных предоставил при заполнении формы на сайте Оператора;
  • иные данные, содержащие в себе техническую информацию, получаемые https-сервером при доступе субъектов персональных данных к сайту Оператора (файлы cookie), в том числе:
  • источник захода на сайт и информация поискового или рекламного запроса;
  • данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
  • пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
  • данные, характеризующие аудиторные сегменты;
  • параметры сессии;
  • данные о времени посещения;
  • идентификатор пользователя, хранимый в cookie.
2.3.7.1. Цель обработки персональных данных: Продвижение товаров, работ, услуг на рынке, включая обеспечение взаимодействия субъекта персональных данных с Оператором для обмена письмами, получение и направление рассылок, в том числе предложений о заключении различных видов договоров.
2.3.7.2. Категории субъектов персональных данных: Контрагенты, представители контрагентов, клиенты, посетители сайта.

2.3.8. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • фамилия, имя, отчество;
  • данные документа, удостоверяющего личность;
  • фото-видео изображение лица;
  • данные голоса человека.
2.3.8.1. Цель обработки персональных данных: Обеспечение пропускного режима на территорию оператора.
2.3.8.2. Категории субъектов персональных данных: Работники, соискатели, родственники работников, контрагенты, представители контрагентов, клиенты, выгодоприобретатели по договорам, учащиеся, студенты, законные представители.

2.3.9. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • фамилия, имя, отчество;
  • дата рождения;
  • пол;
  • адрес электронной почты;
  • номер телефона;
  • гражданство;
  • данные водительского удостоверения;
  • профессия;
  • сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), включая работу по совместительству, предпринимательскую и иную деятельность, гражданскую службу;
  • сведения об образовании, включая наименование образовательной организации, года её окончания, квалификации, специальности и (или) направления подготовки, профессиональной переподготовке, повышении квалификации, наименования и реквизиты документов об образовании (квалификации, профессиональной переподготовке);
Специальные категории персональных данных (для отдельных категорий соискателей, претендующих на должность, где предоставление таких данных необходимо в силу закона):
  • сведения о состоянии здоровья;
  • сведения о судимости.
2.3.9.1. Цель обработки персональных данных: Подбор персонала (соискателей) на вакантные должности Оператора.
2.3.9.2. Категории субъектов персональных данных: Соискатели.

2.3.10. Категории персональных данных, обработку которых осуществляет оператор:
фамилия, имя, отчество;
  • фамилия, имя, отчество;
  • дата рождения;
  • номер телефона;
  • данные документа, удостоверяющего личность;
  • специальность;
  • наименование образовательной организации
Специальные категории персональных данных:
  • сведения о состоянии здоровья.
2.3.10.1. Цель обработки персональных данных: Обеспечение прохождения ознакомительной, производственной и преддипломной практики по договорам с образовательными учреждениями.
2.3.10.2. Категории субъектов персональных данных: Учащиеся, студенты, законные представители.

2.4. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством о персональных данных.
2.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ и настоящей политикой.
2.6. Трансграничная передача персональных данных Оператором не осуществляется.
2.7. Обработка файлов cookie при посещении сайтов Оператора.
2.7.1. Файлы cookie – это фрагменты данных (текстовые технические файлы), которые сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве субъекта персональных данных. Cookies отражают предпочтения посетителей сайта или их действия (активность) на сайте.
2.7.2. При работе с сайтом пользователи (субъекты персональных данных) могут ознакомиться с тем, какие именно файлы cookie обрабатываются на устройстве, с которого совершается вход на сайт, и (или) удалить уже загруженные ранее файлы cookie путем изменения настроек своего браузера.
2.7.3. Для достижения заявленных в Политике целей Оператор вправе использовать сторонние аналитические сервисы (например, сервис веб-аналитики «Яндекс Метрика»[1], и т.п.).
Учитывая, что Оператор не является лицом, имеющим какие-либо права на сервис, кроме права пользования с учетом функционала, предоставленного обладателем прав на указанный сервис, Оператор дополнительно извещает Субъекта на Сайте или в Политике о том, какие данные обрабатываются с использованием указанного сервиса. Обработка собираемых данных cookie с использованием соответствующего веб-сервиса производится в порядке, установленном условиями использования такого сервиса.

[1] В случае использования сервиса веб-аналитики «Яндекс Метрика», Оператор сообщает, что для данного сервиса установлены следующие положения, касающиеся использования сервиса: условия использования сервиса https://yandex.ru/legal/metrica_termsofuse/ru/, пользовательское соглашение https://yandex.ru/legal/rules/, политика конфиденциальности https://yandex.ru/legal/confidential/.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
• устав Оператора;
• договоры, заключаемые между Оператором и субъектами персональных данных, в том числе для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• согласия субъектов персональных данных на обработку их персональных данных.
3.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3.1. Для субъектов персональных данных, которые являются посетителями сайта, форма согласия приведена в приложении № 1 к настоящей Политике. Согласие на обработку персональных данных оформляется путем заполнения специальной формы на сайте Оператора, которая предусматривает предоставление персональных данных с проставлением соответствующей отметки, подтверждающей согласие субъекта на обработку персональных данных, предоставленных субъектом при заполнении указанной формы.
3.3.2. Согласие субъектов персональных данных, которые являются клиентами, контрагентами Оператора, или их законными представителями, выгодоприобретателями по договорам с Оператором предоставляется по форме, согласно приложению № 2 к настоящей Политике.
Согласие субъектов персональных данных, которые являются учащимися, студентами, их законными представителями, предоставляется по форме, согласно приложениям № 3, 4 к настоящей Политике.
3.3.3. Формы согласий на обработку персональных данных, цели обработки и категории персональных данных могут быть изменены в зависимости от характера правоотношений субъекта персональных данных и Оператора.
3.3.4. Форма согласия на обработку персональных данных работников устанавливается локальным нормативным актом Оператора.
3.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных в следующих случаях:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
4) иные случаи и условия, предусмотренные законодательством Российской Федерации.

4. Способы, сроки обработки и хранения персональных данных


4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных (в том числе с передачей по внутренней сети Оператора, а также с передачей по сети Интернет с помощью средств вычислительной техники);
• смешанная обработка персональных данных.
4.3. Обработка персональных данных для каждой цели обработки, указанной в разделе 2 настоящей Политики, осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
4.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Перечень таких должностных лиц устанавливается локальным нормативным актом Оператора.
4.5. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
4.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
4.8. Оператор осуществляет обработку персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
4.9. Документы, содержащие персональные данные, хранятся в бумажном виде в папках, в специально отведенном, запирающемся шкафу, обеспечивающем защиту от несанкционированного доступа.
4.10. Персональные данные хранятся также в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей на уровне локальной компьютерной сети и на уровне базы данных. Пароли устанавливаются ответственным лицом Оператора и сообщаются индивидуально работникам, имеющим доступ к персональным данным субъектов персональных данных.
4.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
4.12. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236).
4.13. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
4.14. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение 3 рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия. Заявление об отзыве согласия субъекта персональных данных оформляется согласно приложениям № 9, 10 к настоящей Политике.
4.15. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
4.16. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

5. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

5.1. Оператор уничтожает персональные данные в порядке и на условиях, предусмотренных законодательством о персональных данных.
5.2. Персональные данные подлежат уничтожению в следующих случаях:
• при достижении целей обработки персональных данных или в случае утраты необходимости в достижении целей обработки персональных данных, если иное не предусмотрено законодательством о персональных данных;
• при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
• при выявлении факта неправомерной обработки персональных данных;
• при отзыве субъектом персональных данных согласия, если иное не предусмотрено законодательством о персональных данных;
• при достижении максимальных сроков хранения документов, содержащих персональные данные.
5.3. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено законодательством о персональных данных, либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных законодательством о персональных данных.
5.4. Персональные данные, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.5. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
5.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях.
5.7. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
5.8. Уничтожение персональных данных осуществляет комиссия Оператора в соответствии с локальным нормативным актом (приказом).
5.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные либо путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.8.3. Комиссия подтверждает уничтожение персональных данных следующими способами:
• актом об уничтожении персональных данных если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
5.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение 3 лет с момента уничтожения персональных данных.

6. Актуализация, исправление персональных данных, ответы на запросы субъектов персональных данных

6.1. Оператор осуществляет актуализацию и исправление персональных данных при подтверждении факта неточности персональных данных либо при направлении субъектом или его законным представителем запроса на актуализацию/исправление персональных данных.
6.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.5. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 рабочих дней., если иные сроки не установлены Законом о персональных данных.
При необходимости продления срока предоставления ответа на запрос/обращение Оператор направляет Субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
6.6. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.7. Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Рекомендуемые формы обращений/запросов субъектов персональных данных и их представителей приведены в приложениях № 5 – 8 к настоящей Политике. Необходимость использования той или иной формы определяется субъектом и (или) его представителем самостоятельно, в зависимости от сути обращения / запроса.
6.8. Запрос может быть направлен в форме электронного документа на электронную почту Оператора, указанную на соответствующем сайте, и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.9. Оператор предоставляет сведения субъекту персональных данных или его представителю по соответствующему запросу в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.10. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.11. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

7. Сведения о реализуемых требованиях к защите персональных данных

7.1. Оператор обеспечивает конфиденциальность персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, а также от иных неправомерных действий в отношении обрабатываемых персональных данных.
7.2. Для реализации указанных требований к защите персональных данных Оператором приняты следующие меры:
• приказом назначено ответственное лицо за организацию обработки персональных данных;
• издан и размещен в свободном доступе документ, определяющий политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• установлены требования к защите персональных данных при их обработке в информационных системах персональных данных согласно определенным типам угроз безопасности, персональных данных;
• осуществлена защита машинных носителей информации, на которой хранятся и (или) обрабатываются персональные данные;
• используется лицензионное программное обеспечение;
• на персональных компьютерах установлены средства антивирусной защиты;
• применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
• ограничен доступ лиц в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, и хранятся носители информации;
• сайт защищен от проникновения;
• производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• производится учет машинных носителей персональных данных;
• приняты соответствующие меры по защите от несанкционированного доступа к персональным данным;
• осуществляется внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
• произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей;
• работники Оператора, непосредственно осуществляющие обработку персональных данных субъектов, ознакомлены под роспись с положениями законодательства Российской Федерации, в том числе с требованиями к их защите, документом, определяющим политику Оператора в отношении обработки персональных данных субъектов, локальными актами по вопросам их обработки.
7.3. Информация, относящаяся к персональным данным субъекта персональных данных, является конфиденциальной и охраняется законом.
7.4. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами. Кроме того, они могут привлекаться к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

Приложения:
1. Форма согласия посетителя сайта на обработку персональных данных.
2. Форма согласия на обработку персональных данных для отдельных категорий субъектов персональных данных.
3. Форма согласия на обработку персональных данных для студентов, учащихся.
4. Форма согласия на обработку персональных данных для законных представителей студентов, учащихся.
5. Форма запроса на получение информации, касающейся обработки его персональных данных (для субъекта персональных данных).
6. Форма запроса на получение информации, касающейся обработки его персональных данных (для представителя субъекта персональных данных).
7. Форма запроса на уточнение / блокирование / уничтожение персональных данных (для субъекта персональных данных).
8. Форма запроса на уточнение / блокирование / уничтожение персональных данных (для представителя субъекта персональных данных).
9. Форма заявления об отзыве согласия на обработку персональных данных (для субъекта персональных данных).
10. Форма заявления об отзыве согласия на обработку персональных данных (для представителя Субъекта персональных данных).