Политика оператора в отношении обработки персональных данных

1. Общие положения

1.1. Политика оператора в отношении обработки персональных данных (далее — Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика обработки персональных данных в ООО «Фабрика Мастерфайбр» является основополагающим документом, регулирующим вопросы обработки персональных данных.

1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих вопросы обработки персональных данных.

1.4. Политика разработана в целях реализации требований законодательства РФ в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.5. Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.6. Политика устанавливает:

• цели обработки персональных данных;
• классификацию персональных данных и субъектов персональных данных;
• перечень действий с персональными данными;
• общие принципы обработки персональных данных;
• основные подходы к системе управления процессом обработки персональных данных.

1.7. Положения настоящей Политики являются основой для организации работы по обработке персональных данных, в том числе, для разработки внутренних нормативных документов (регламентов, методик, инструкций и пр.), регламентирующих процесс обработки персональных данных.

1.8. Положения настоящей Политики являются обязательными для исполнения всеми Работниками, имеющими доступ к персональным данным.

1.9. В рамках данной Политики используются следующие термины и определения:

Автоматизированная обработка персональных данных

обработка ПДн с помощью средств вычислительной техники.

Административно-хозяйственная деятельность

процессы, направленные на текущее обеспечение деятельности Организации товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса.

Близкие родственники

родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.

Информационная система персональных данных (далее – ИСПДн)

совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Клиенты

физические лица (заемщики, владельцы счета, выгодоприобретатели и пр.) состоящие или состоявшие в договорных и иных гражданско-правовых отношениях или находящиеся в преддоговорных отношениях, а также их представители, поручители, близкие родственники, супруги; работники, руководители и главные бухгалтеры контрагентов и других юридических лиц, имеющих договорные отношения с организацией или находящиеся в преддоговорных отношениях.

Конфиденциальность персональных данных

обязанность организации как оператора, получившего доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ.

Обработка персональных данных

любое действие (операция) организации или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

В рамках Федерального закона № 152-ФЗ установлены следующие определения:

• Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
• Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных).

Работник организации – физическое лицо, заключившее с Организацией трудовой договор.

Субъект персональных данных (Субъект ПДн) – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Цели сбора персональных данных

2.1. Обработка ПДн в Организации осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ; заключения и исполнения гражданско-правовых договоров.

2.2. Целями обработки ПДн Работников являются: подбор кандидатов на вакантные должности, содействие в поиске работы и трудоустройстве, ведение кадрового делопроизводства, бухгалтерского и воинского учетов, обеспечения личной безопасности и качества выполняемой работы, соблюдения налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а так же единого социального налога, пенсионного законодательства, нормативных актов Организации при определении соответствия квалификационным требованиям и требованиям в отношении деловой репутации, прочими нормативными правовыми актами.

2.3. Целями обработки ПДн клиентов являются: действующим законодательством Российской Федерации, а также заключения, исполнения и прекращения договоров с физическими и юридическими лицами, исполнения обязательств по договорам в соответствии с законодательством Российской Федерации.

2.4. Обработка ПДн в Организации осуществляется на основе принципов:

• законности заранее определенных конкретных целей и способов обработки персональных данных;
• обеспечения надлежащей защиты персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения персональных данных в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки;
• уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

3. Объем и категории обрабатываемых персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Организация как оператор обрабатывает персональные данные следующих категорий Субъектов ПДн:

3.1 Работников, а также кандидатов на трудоустройство в части, в которой это необходимо:

• фамилия, имя, отчество;
• дата и место рождения;
• гражданство;
• пол;
• сведения о документе, удостоверяющем личность (вид, серия, номер, орган, выдавший документ, код подразделения, срок действия);
• адрес (места жительства (регистрации), почтовый, места пребывания, фактического проживания);
• адреса средств связи (номера телефонов);
• адрес личной электронной почты (e-mail);
• реквизиты банковских счетов (номера банковского счета и реквизиты карты, указанные работником для выплаты заработной платы);
• данные миграционной карты и/или иного документа, подтверждающего право Субъекта — иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;
• сведения о составе семьи, о ближайших родственниках;
• сведения об образовании, о профессии и специальности;
• сведения о предыдущих местах работы и стаже работы на них;
• сведения семейном положении (женат/замужем/холост/не замужем/разведен/разведена);
• сведения о занимаемой должности;
• сведения о воинском учете;
• данные о наградах, поощрениях, почетных званиях;
• сведения о присвоении ИНН;
• сведения страхового свидетельства обязательного пенсионного страхования;
• сведения об отсутствии судимости — только в отношении круга лиц и в случаях, определенных законодательством РФ;
• сведения об отсутствии дисквалификации — только в отношении круга лиц и в случаях, определенных законодательством РФ;
• сведения о размере и источниках доходов от трудовой деятельности и деятельности в рамках договоров гражданско-правового характера;
• сведения о заработной плате и приравненных к ней доходах;
• сведения об участии в органах управления юридических лиц, в т.ч. в качестве единоличного исполнительного органа, в коллегиальном исполнительном органе;
• сведения о размерах начисленного, удержанного и оплаченного НДФЛ;
• сведения о наличии налоговых льгот;
• изображение работника (в том числе, фотографии);

3.2 Контрагентов, Клиентов, а также потенциальных Клиентов в части, в которой это необходимо:

• фамилия, имя, отчество;
• дата и место рождения;
• гражданство;
• должность;
• сведения о документе, удостоверяющем личность (вид, серия, номер, орган, выдавший документ, код подразделения, срок действия);
• фото- и видеоизображения, полученные в месте обслуживания получателей финансовых услуг в связи с выполнением действий, предусмотренных заключенными с Клиентами договорами;
• адрес (места жительства (регистрации), почтовый, места пребывания, фактического проживания);
• адреса средств связи (номера телефонов, факсов, электронные адреса почты);
• реквизиты счетов, в т.ч.: банковских, клиентских счетов в рамках договоров;
• данные миграционной карты и/или иного документа, подтверждающего право Субъекта — иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;
• сведения о присвоении ИНН;

3.3 В Организации не обрабатывает биометрические ПДн с целями регистрации и идентификации Субъекта ПДн в «Единой системе идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – ЕСИА).

3.4 В Организации не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

4. Перечень действий с персональными данными

4.1 Организация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.2 Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, в том числе посредством информационно-телекоммуникационной сети Интернет, осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

4.3 Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

4.4 Сроки обработки персональных данных в Организации определяются в соответствии с нормативно-правовыми актами Российской Федерации, внутренними документами Организации, условиями договоров и иных соглашений, заключенных с Субъектами ПДн.

4.5 Хранение персональных данных осуществляется не дольше, чем этого требует каждая цель обработки персональных данных, если иной срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором с Субъектом ПДн. Персональные данные на бумажных носителях хранятся Организации в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденным приказом Росархива от 20.12.2019 № 236. Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.

4.6 Обрабатываемые в Организации персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований определяется отдельным локальным нормативным документом.

5. Права и обязанности

5.1 Субъект ПДн имеет следующие права:

5.1.1 Субъект ПДН имеет право на получение информации, касающейся обработки ПДн соответствующего Субъекта ПДн, в том числе содержащей:

• подтверждение факта обработки ПДн.
• правовые основания и цели обработки ПДн.
• цели и применяемые способы обработки ПДн.
• наименование и место нахождения Организации, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании Федерального закона № 152-ФЗ.
• обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ.
• сроки обработки ПДн, в том числе сроки их хранения.
• порядок осуществления Субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ.
• информацию об осуществленной или о предполагаемой трансграничной передаче данных.
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;

5.1.2 Субъект ПДн имеет право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

5.1.3 Субъект ПДн имеет нижеприведенные права при принятии решений на основании исключительно автоматизированной обработки их персональных данных:

• запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных следующем пункте;
• решение, порождающее юридические последствия в отношении Субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме Субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов Субъекта ПДн.

5.1.4 Субъекта ПДн имеет право на обжалование действий или бездействия оператора:

• если Субъект ПДн считает, что Организация осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, Субъект ПДн вправе обжаловать действия или бездействие Организации а в уполномоченный орган по защите прав Субъектов ПДн – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.
• Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

5.2 Организация имеет право:

• обрабатывать персональные данные Субъекта ПДн в соответствии с заявленной целью;
• требовать от Субъекта ПДн предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта ПДн, а также в иных случаях, предусмотренных законодательством о персональных данных;
• ограничить доступ Субъекта ПДн к его персональным данным в случае, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать ПДН из общедоступных источников;
• осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных;
• отказать в предоставлении Субъекту ПДн информации, указанной в п.5.1.1 настоящей Политики в случаях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами РФ.

5.3 Обработка ПДн в целях продвижения услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия Субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия Субъекта ПДн, если оператор не докажет, что такое согласие было получено.

5.4 Обязанности Организации:

5.4.1 При сборе персональных данных Организация обязана в сроки, определенные статьей 20 Федерального закона № 152-ФЗ, предоставить Субъекту персональных данных или его представителю по его запросу информацию, касающуюся обработки ПДн соответствующего Субъекта ПДн, в том числе содержащей:

• подтверждение факта обработки ПДн.
• правовые основания и цели обработки ПДн.
• цели и применяемые способы обработки ПДн.
• наименование и место нахождения Организации, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
• обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ.
• сроки обработки ПДн, в том числе сроки их хранения.
• порядок осуществления Субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ.
• информацию об осуществленной или о предполагаемой трансграничной передаче данных.
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
• иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.

5.4.2 Если в соответствии с Федеральным законом № 152-ФЗ предоставление персональных данных и (или) получение Организацией согласия на обработку персональных данных являются обязательными, Организация обязана разъяснить Субъекту ПДн юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

5.4.3 Если персональные данные получены не от Субъекта ПДн, Организация до начала обработки таких персональных данных обязан предоставить Субъекту ПДн следующую информацию:

• наименование либо фамилию, имя, отчество и адрес оператора или его представителя.
• цель обработки персональных данных и ее правовое основание.
• перечень персональных данных.
• предполагаемые пользователи персональных данных.
• установленные настоящим Федеральным законом права Субъекта персональных данных.
• источник получения персональных данных.

5.4.4 Организация освобождается от обязанности предоставить Субъекту персональных данных сведения в случаях, если:

• Субъект ПДн уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
• персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн;
• предоставление Субъекту ПДн сведений нарушает права и законные интересы третьих лиц;
• обработка персональных данных, разрешенных Субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона № 152-ФЗ.

5.4.5 Организация обязана разъяснить Субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Субъектом ПДн своих прав и законных интересов. Организация обязана рассмотреть возражение и уведомить субъекта ПДн о результатах рассмотрения такого возражения в сроки, установленные статьей 16 Федерального закона № 152-ФЗ.

5.4.6 Организация обязана предоставить безвозмездно Субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту ПДн в сроки, определенные в статье 20 Федерального закона 152-ФЗ, а также в случае предоставления сведений, подтверждающих, что персональные данные являются неполными, неточными, неактуальными или незаконно полученными (не являются необходимыми для заявленной цели обработки):

• внести необходимые изменения в такие персональные данные в случае, если они являются неполными, неточными, неактуальными;
• уничтожить такие персональные данные в случае, если они являются незаконно полученными или не являются необходимыми для заявленной цели обработки,

5.4.6.1 Организация обязана уведомить Субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

5.4.7 В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте ПДн или персональных данных Субъекту ПДн или его представителю при их обращении либо при получении запроса Субъекта ПДн или его представителя Организация обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в сроки, определенные статьей 20 Федерального закона № 152-ФЗ.

5.4.8 Организация обязана прекратить по требованию Субъекта ПДн обработку его ПДн или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), в сроки, определенные Федеральным законом № 152-ФЗ, если иное не предусмотрено законодательством Российской Федерации.

5.4.9 При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети «Интернет», Организация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5.4.10 Организация обязана исполнить в сроки, определенные статьей 21 Федерального закона № 152 ФЗ, блокирование персональных данных на период проверки в случае выявления неправомерной обработки или выявления неточных персональных данных при обращении Субъекта ПДн или его представителя либо по их запросу, либо по запросу Роскомнадзор, если блокирование персональных данных не нарушает права и законные интересы Субъекта ПДн или третьих лиц в случае выявления неточных персональных данных. В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных Субъектом ПДн или его представителем либо Роскомнадзор, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в установленные Федеральным законом № 152-ФЗ сроки и снять блокирование персональных данных.

5.4.11 В случае выявления неправомерной обработки персональных данных, осуществляемой Организацией или лицом, действующим по поручению Организации, Организация в установленные сроки, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки персональных данных невозможно, Организация обязана уничтожить такие персональные данные или обеспечить их уничтожение в сроки, определенные статьей 21 Федерального закона № 152-ФЗ. Об устранении допущенных нарушений или об уничтожении персональных данных Организация уведомляет Субъекта ПДн или его представителя, а в случае, если обращение Субъекта ПДн или его представителя либо запрос Роскомнадзор были направлены Роскомнадзор также указанный орган.

5.4.12 Взаимодействие с Роскомнадзор по вопросам обработки и защиты персональных данных Субъектов ПДн, персональные данные которых обрабатываются Организацией, осуществляется в соответствии с требованиями Федерального закона № 152-ФЗ и законодательства Российской Федерации.

6. Организация системы управления процессом обработки персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав Субъектов персональных данных о своем намерении осуществлять обработку персональных данных в порядке, определенном статьей 22 Федерального закона № 152-ФЗ.

6.1 Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством о персональных данных.

6.2 Организация вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Организацией и третьим лицом, в котором должны быть определены:

• перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

6.3 Организация осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.4 Организация несет ответственность перед Субъектом персональных данных за действия лиц, которым Организация поручает обработку персональных данных Субъекта персональных данных.

6.5 Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Организации, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

6.6 Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных, Организация вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Организацией и Субъектом персональных данных, либо если Организация вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ с учетом изменений и дополнений, Федеральным законом № 149 ФЗ или другими федеральными законами и нормативными актами РФ.

6.7 Обработка персональных данных осуществляется с соблюдением Конфиденциальности персональных данных,

6.8 Организация обеспечивает Конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.

6.9 Обеспечение безопасности обрабатываемых персональных данных осуществляется Организацией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов, а также настоящей Политикой. Система информационной безопасности Организации непрерывно развивается и совершенствуется на базе требований Политики информационной безопасности Организации.

6.10 Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ.

6.11 Организация обеспечивает неограниченный доступ к Политике путем ее публикации на официальном сайте в сети Интернет https://masterfibre.com.

7. Порядок и условия обработки персональных данных

7.1 Обработка персональных данных Субъекта ПДн осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством о персональных данных.

7.2 Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя Субъекта ПДн, полномочия данного представителя на дачу согласия от имени Субъекта ПДн проверяются Банком.

7.3 Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва Субъектом ПДн согласия на обработку ПДн Организация вправе продолжить обработку ПДн без согласия Субъекта ПДн при наличии оснований, предусмотренных законодательством РФ. При отсутствии оснований для продолжения обработки ПДн Организация прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в сроки, определенные Федеральным законом № 152-ФЗ, Полученные Организацией ПДн хранятся в бумажном и электронном виде.

7.4 Работники, имеющие доступ к ПДн, получают только ПДн, которые необходимы им для выполнения конкретных трудовых функций.

7.5 Организация за свой счет обеспечивает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

7.6 Организация обязуется не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта, за исключением случаев, предусмотренных законодательством РФ или при поступлении запроса от уполномоченных государственных органов.

7.7 Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, осуществляется только в случаях наличия согласия в письменной форме Субъекта ПДн на трансграничную передачу его ПДн, исполнения договора, стороной которого является Субъект ПДн, а также в иных предусмотренных законодательством случаях.

7.8 Автоматизированная обработка ПДн осуществляется в ИСПДн. Защита ПДн в ИСПДн производится согласно действующему законодательству.

7.9 Обработка ПДн осуществляется как с использованием, так и без использования средств автоматизации.

8. Обработка запросов Субъекта персональных данных

8.1 Для обеспечения соблюдения установленных законодательством прав субъектов ПДн в Организации разработаны внутренние нормативные документы, определяющие порядок работы с обращениями и запросами Субъектов ПДн.

8.2 Запрос оформляется в произвольной форме, но должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Организацией, подпись Субъекта ПДн или его представителя. Запрос передается по адресам нахождения Организации. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9. Обеспечение безопасности персональных данных

9.1 Организация предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности при обработке ПДн от случайного или несанкционированного доступа к ним, уничтожения, изменения, копирования, предоставления, распространения, блокирования доступа к ним, а также от иных неправомерных и несанкционированных действий в отношении персональных данных.

9.2 Меры по обеспечению безопасности ПДн включают в себя, но не ограничиваются:

• назначением приказом Директора Организации лиц (лица), ответственных (ответственного) за организацию обработки и защиты ПДн;
• разработкой Политики в отношении обработки ПДн и иных нормативных документов по вопросам обработки ПДн, а также нормативных документов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• определением во внутренних документах Организации угроз безопасности ПДн при их обработке в информационных системах ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них в соответствии с внутренними нормативными документом Организации по управлению инцидентами;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• осуществлением ответственным за обработку ПДн и комиссией по ПДн контроля за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике оператора в отношении обработки персональных данных, локальным актам оператора;
• оценкой вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен Субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
• ознакомлением Работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, с документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучением указанных работников;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• реализацией парольной защиты при осуществлении доступа к ресурсам, обрабатываемым в ИСПДн.
• организацией защиты ресурсов ПДн от воздействия вредоносного кода.
• обеспечением пропускного режима.

9.3 Организация в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

10. Ответственность за реализацию положений Политики

10.1 Работники Организации, осуществляющие обработку ПДн, а также лица, ответственные за организацию и обеспечение безопасности ПДн в Организации, несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, нормативных документов Организации, иных требований, предусмотренных законодательством РФ в области ПДн.

11. Пересмотр Политики

11.1 Организация проводит пересмотр положений настоящей Политики и ее актуализацию по мере необходимости, но не реже одного раза в 5 лет, а также:

• при изменении положений законодательства РФ в области ПДн (до момента внесения изменений настоящая Политика действует в части, не противоречащей действующему законодательству РФ).
• в случае выявления несоответствий, затрагивающих обработку и (или) защиту ПДн.
• в случае выявления недостатков при внешних проверках регулирующих органов или проводимых аудитах, оценках соответствия.
• по результатам контроля выполнения требований по обработке и (или) защите ПДн.
• при изменении бизнес-процессов Организации, затрагивающих обработку ПДн.