Политика обработки персональных данных в Обществе с ограниченной ответственностью "Браво Софт" (ООО "Браво Софт")
I. Общие положения
1.1. Настоящий документ определяет цели, основные принципы, правила, порядок обработки персональных данных ООО "Браво Софт" (оператор, организация), а также содержит сведения о передаче персональных данных организациям и о реализуемых требованиях к защите персональных данных.
1.2. Положения настоящей Политики обязательны для исполнения работниками ООО "Браво Софт", имеющими доступ к персональным данным.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает ООО "Браво Софт".
II. Основные понятия
В настоящей Политике используются следующие понятия:
1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
3) биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
4) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
5) контрагент - российское или иностранное юридическое или физическое лицо, с которым ООО "Браво Софт" состоит в договорных отношениях или планирует вступить в договорные отношения, за исключением трудовых отношений;
6) конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
7) материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;
8) неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника без использования средств вычислительной техники;
9) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (в том числе вымарывание), уничтожение персональных данных;
10) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
11) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
12) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";
13) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
14) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
15) специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
16) субъекты персональных данных - пользователи услуг, контрагенты, работники, их близкие родственники, кандидаты для приема на работу (соискатели), а также иные лица, чьи персональные данные стали известны ООО "Браво Софт" при осуществлении своей деятельности;
17) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
18) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители персональных данных;
19) работник - лицо, заключившее трудовой договор с организацией;
20) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
21) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Основные права и обязанности Оператора и субъекта персональных данных
3.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве РФ.
3.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в сроки, установленные законодательством РФ;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.3. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством РФ;
2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) предоставлять свои персональные данные и согласие на их обработку свободно, своей волей и в своем интересе;
4) отозвать согласие на обработку своих персональных данных;
5) обжаловать в соответствии с законодательством РФ действий (бездействия) Оператора при обработке персональных данных.
IV. Цели сбора и обработки персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3. Обработка персональных данных осуществляется в следующих целях:
1) обеспечения кадровой работы, реализации трудовых и иных непосредственно связанных с ними отношений, в том числе содействия работникам в трудоустройстве, содействия в выполнении осуществляемой работы, поощрения и стимулирования труда, обеспечения ключами электронной подписи, обеспечения пропускного и внутриобъектового режимов на территорию организации, получения образования и продвижения по службе, контроля количества и качества выполняемой работы, содействия в обучении и профессиональном (должностном) росте работников, учета результатов исполнения ими должностных обязанностей, предоставления, обеспечения различного вида льгот, гарантий и компенсаций, обеспечения безопасных условий труда и охраны здоровья работников, противодействия коррупции, ведение кадрового и бухгалтерского учета;
2) исполнения требований налогового, пенсионного и страхового законодательства, а также законодательства об обязательных видах страхования;
3) индивидуальный (персонифицированный) учет застрахованных лиц в системе обязательного пенсионного страхования и социального страхования;
4) исполнения требований законодательства о безопасности, обороне и транспортной безопасности, защиты государственной тайны и обеспечения мобилизационной готовности;
5) обеспечения личной безопасности работников и обеспечения сохранности имущества организации;
6) повышения эффективности корпоративного взаимодействия в организации;
7) обеспечения реализации иных функций, полномочий и обязанностей, предусмотренных законодательством и нормативными правовыми актами РФ, а также Уставом организации, в том числе при исполнении условий договоров на проведение работ и оказание услуг в соответствии с предметом деятельности организации;
8) рассмотрение обращений граждан;
9) организации доступа к информации о деятельности организации, размещаемой в информационно-телекоммуникационной сети "Интернет".
4.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
V. Принципы и правила обработки персональных данных
5.1. Обработка персональных данных в ООО "Браво Софт" осуществляется с соблюдением следующих принципов и правил:
VI. Правовые основания обработки персональных данных
6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор (организация) осуществляет обработку персональных данных, в том числе:
1) Конституция РФ;
2) Трудовой кодекс РФ;
3) Гражданский кодекс РФ;
4) Налоговый кодекс РФ;
5) согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством РФ;
6) достижение целей, предусмотренных законом, осуществление и выполнение возложенных на организацию законодательством РФ и Уставом функций, полномочий и обязанностей;
7) судебные акты, акты другого органа или должностного лица, подлежащие исполнению в соответствии с положениями законодательства РФ об исполнительном производстве;
8) договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договор, заключенный по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
9) обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
10) осуществление прав и законных интересов организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
11) обработка персональных данных в статистических или иных исследовательских целях при условии их обязательного обезличивания;
12) обработка персональных данных в целях опубликования или обязательного раскрытия информации в соответствии с законодательством РФ.
VII. Перечень действий с персональными данными
7.1. ООО "Браво Софт" осуществляет обработку персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.
7.2. Хранение персональных данных осуществляется в течение срока, определенного законодательством РФ.
VIII. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
8.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
8.2. Организацией осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
1) работники;
2) члены семьи, близкие родственники работника, дети (в том числе усыновленные и находящиеся под опекой (попечительством), а также супруг(а) (в том числе бывшие) субъектов персональных данных, если это предусмотрено требованиями законодательства и иных нормативных правовых актов РФ;
3) уволенные работники (в части информации, полученной Оператором в период трудовых отношений между работником и Оператором и в соответствии с законодательством РФ);
4) соискатели работы (лицо, ищущее работу) - лица, претендующие на занятие (замещение) должностей в организации;
5) посетители - лица, персональные данные которых требуются для оформления пропуска на территорию (в помещения) организации или иных аналогичных целей;
6) лица, являющиеся стороной заключенных с организацией гражданско-правовых договоров, в том числе договоров на проведение работ и оказание услуг в соответствии с установленным предметом деятельности;
7) лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством РФ на организацию функций, полномочий и обязанностей;
8) пользователи официального сайта организации в информационно-телекоммуникационной сети "Интернет".
8.3. Обработка организацией персональных данных субъектов персональных данных, осуществляется в целях, указанных в настоящей Политики.
8.4. Для достижения указанных целей организация обрабатывает следующие персональные данные:
1) персональные данные работников и соискателей работы:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения);
- число, месяц, год рождения;
- место рождения;
- сведения о гражданстве (в том числе предыдущие и иные гражданства);
- вид, серия, номер документа, удостоверяющего личность гражданина РФ, наименование органа, код подразделения органа (при наличии), выдавшего его, дата выдачи;
- адрес и дата регистрации по месту жительства (месту пребывания) и адрес фактического проживания;
- номер контактного телефона и/или сведения о других способах связи;
- адрес электронной почты (при наличии);
- реквизиты свидетельства обязательного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты полиса обязательного медицинского страхования;
- реквизиты полиса добровольного медицинского страхования;
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших): родителях (мать, отец), детях, о супруге (бывшем или бывшей супруге), дата (число, месяц, год) рождения, место рождения, адрес регистрации по месту жительства (пребывания) (фактического проживания), гражданство, место работы (полное наименование и адрес в пределах места нахождения организации), должность);
- сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность;
- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименования органов, их выдавших);
- сведения об образовании с указанием полного наименования образовательной организации, года ее окончания, квалификации, специальности и (или) направления подготовки, наименования и реквизитов документа об образовании;
- сведения о послевузовском профессиональном образовании (аспирантура, адъюнктура, докторантура (полное наименование образовательной или научной организации, год окончания), ученая степень, ученое звание (когда присвоены), номера дипломов, аттестатов) (при наличии);
- сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (полное наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
- сведения о владении иностранными языками, уровень владения;
- сведения об отсутствии заболеваний, препятствующих назначению на должность или исполнению должностных обязанностей (для отдельных категорий работников);
- сведения об инвалидности, сроке действия установленной инвалидности;
- сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
- сведения о государственных наградах, иных наградах, знаках отличия (кем награжден (награждена) и когда), поощрениях (кем поощрен (поощрена) и когда);
- сведения о профессиональной переподготовке и (или) повышении квалификации;
- сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
- сведения о заработной плате и иных доходах, включая сведения о доходах по прежнему месту работы;
- сведения о социальных льготах и гарантиях;
- номер банковской карты;
- номер расчетного счета;
- фотография;
- иные сведения, содержащие персональные данные, в соответствии с законодательством РФ;
- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения;
- иные сведения, которые представлены пользователем официального сайта организации в информационно-телекоммуникационной сети "Интернет".
2) персональные данные членов семьи и близких родственников работников организации, если это предусмотрено требованиями законодательства РФ и связано с трудовыми отношениями с работником, с предоставлением ему льгот, гарантий и компенсаций:
- фамилия, имя, отчество;
- степень родства;
- год рождения;
- адрес проживания;
- иные персональные данные в соответствии с требованиями законодательства РФ.
3) персональные данные посетителей:
- фамилия, имя, отчество;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, его выдавшего;
- фотография;
- иные персональные данные в соответствии с требованиями законодательства РФ.
4) персональные данные субъектов персональных данных, которые являются стороной заключенных с организацией гражданско-правовых договоров:
- перечень персональных данных определяется требованиями, которые установлены законодательством и нормативными правовыми актами РФ к отдельным видам договоров, в том числе договоров на проведение работ или оказание услуг, осуществляемых в соответствии с Уставом организации (оказания услуг, а также другие виды договоров).
5) персональные данные уволенных работников:
- персональные данные, полученные организацией в период трудовых отношений между работником и организацией и в соответствии с законодательством РФ;
- иные персональные данные в соответствии с требованиями законодательства РФ.
6) персональные данные лиц, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством РФ на организацию функций, полномочий и обязанностей:
- перечень персональных данных определяется требованиями, которые установлены законодательством и нормативными правовыми актами РФ в соответствии с Уставом организации.
7) персональные данные пользователей официального сайта организации в информационно-телекоммуникационной сети "Интернет":
- фамилия, имя, отчество;
- число, месяц, год рождения;
- номер контактного телефона и/или сведения о других способах связи;
- адрес электронной почты (при наличии);
- данные учетной записи: логины, пароли и другая информация, предназначенная для аутентификации и доступа к Сайту;
- информация об устройстве: тип используемого устройства, тип операционной системы устройства, версия ОС, технические характеристики устройства;
- IP-адрес;
- информация, сохраненная в файлах Cookies, информация о браузере, дата и время доступа к Сайту;
- информация об использовании и история просмотров;
- иные сведения, содержащие персональные данные, в соответствии с законодательством РФ;
- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения;
- иные сведения, которые представлены пользователем официального сайта организации в информационно-телекоммуникационной сети "Интернет".
8.5. Порядок уничтожения персональных данных, содержащихся на бумажных и электронных носителях, при достижении целей их обработки или при наступлении иных законных оснований, устанавливаются локальными нормативными актами организации.
8.6. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
IX. Порядок и условия обработки персональных данных
9.1. Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в Политике, и осуществляется в соответствии с требованиями норм действующего законодательства РФ, а также с согласия субъекта персональных данных, полученного в установленном порядке, если иное не предусмотрено законодательством РФ.
Обработка персональных данных, избыточных по отношению к заявленной цели их обработки, не допускается.
9.2. Обработка персональных данных организацией осуществляется как автоматизированным способом с помощью средств вычислительной техники, так и неавтоматизированным способом без использования средств вычислительной техники на бумажных носителях при непосредственном участии человека.
9.3. Порядок обработки персональных данных субъектов персональных данных в информационных системах и на бумажных носителях определяется внутренними локальными нормативными актами организации.
9.4. К обработке персональных данных допускаются работники организации, в функциональные обязанности которых входит обработка персональных данных. Данные работники имеют право обрабатывать персональные данные, которые необходимы им для исполнения своих трудовых обязанностей и к которым у них есть доступ. Доступы к персональным данным субъектов установлены внутренними документами организации (локальными нормативными актами, приказами).
9.5. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных в организации.
9.6. Получение персональных данных.
9.6.1 Получение персональных данных организацией осуществляется непосредственно от субъекта персональных данных. Если персональные данные субъекта персональных данных, возможно, получить только у третьей стороны, то субъект персональных данных уведомляется об этом заранее и от него получают письменное согласие.
9.6.2 Обработка персональных данных организацией осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
9.6.3 При обработке персональных данных соблюдается их конфиденциальность.
9.7. Передача персональных данных.
9.7.1. Порядок передачи персональных данных внутри организации определяется на основании установленного доступа к персональным данным субъектов персональных данных работникам организации, который определяется локальными нормативными актами по обработке персональных данных соответствующих категорий субъектов персональных данных.
9.7.2. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством РФ.
9.7.3 Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства РФ.
9.7.4. Распространение персональных данных работников производится с их согласия, персональных данных остальных категорий субъектов персональных данных - в соответствии с требованиями законодательства РФ.
9.8. Защита персональных данных от неправомерного их использования или утраты осуществляется в соответствии с требованиями действующего законодательства РФ и обеспечивается за счет собственных средств. Условия и прядок защиты персональных данных субъектов определяется локальными нормативными актами организации.
9.9. Обеспечение безопасности персональных данных осуществляется в соответствии с требованиями к защите персональных данных, установленными законодательством и иными нормативными правовыми актами РФ, а именно:
- угрозы безопасности персональных данных при их обработке в информационных системах персональных данных определяются соответствующими локальными нормативными актами организации;
- принимаются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах;
- машинные носители персональных данных учитываются в установленном порядке;
- меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них осуществляются в соответствии с законодательством РФ;
- правила доступа к персональным данным, обрабатываемым в информационной системе, устанавливаются соответствующими локальными нормативными актами организации;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.10. Обработка персональных данных прекращается в случае достижения целей, указанных в Политике, истечение срока действия согласия или отзыва согласия субъекта обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка должна быть прекращена.
9.11. Субъект персональных данных вправе обращаться с требованием об уточнении его персональных данных, о блокировании или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.12. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, предоставляются Оператором субъекту персональных данных или его представителю в сроки, установленные законодательством РФ. Данный срок может быть продлен на основании данных мотивированного уведомления субъекта персональных с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.13. При обращении субъекта персональных данных в организацию с требованием о прекращении обработки персональных данных, обработка персональных данных прекращается, в сроки, установленные законодательством РФ, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, на основании мотивированного уведомления субъекта персональных данных с указанием причин продления срока.
9.14. Хранение персональных данных субъектов осуществляется на бумажных носителях и в информационных системах. Порядок хранения персональных данных субъектов персональных данных вышеуказанными способами определяется локальными нормативными актами организации.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
9.15. Персональные данные на бумажных носителях хранятся в организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством РФ, а также в соответствии с локальными нормативными актами организации.
9.16. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
9.17. Уничтожение персональных данных осуществляется, когда цели обработки персональных данных достигнуты или, когда субъект персональных данных отозвал свое согласие, а также, в случаях и порядке, предусмотренных законодательством РФ.
9.18. Уничтожение персональных данных осуществляется из информационных систем и с бумажных носителей, в которых содержатся персональные данные. Порядок уничтожения персональных данных субъектов персональных данных определяется локальными нормативными актами организации.
X. Заключительные положения
10.1. За нарушение порядка обработки персональных данных организация может быть привлечена к ответственности, предусмотренной законодательством РФ.
10.2. Работники, имеющие доступ к персональным данным, и осуществляющие их обработку, несут ответственность за нарушение порядка обработки персональных данных в соответствии с законодательством РФ.
10.3. Политика вступает в силу с момента ее утверждения.
10
10.4. Политика является общедоступным документом (размещена на официальном сайте https://bravosoftwork.ru/.
I. Общие положения
1.1. Настоящий документ определяет цели, основные принципы, правила, порядок обработки персональных данных ООО "Браво Софт" (оператор, организация), а также содержит сведения о передаче персональных данных организациям и о реализуемых требованиях к защите персональных данных.
1.2. Положения настоящей Политики обязательны для исполнения работниками ООО "Браво Софт", имеющими доступ к персональным данным.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает ООО "Браво Софт".
II. Основные понятия
В настоящей Политике используются следующие понятия:
1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
3) биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
4) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
5) контрагент - российское или иностранное юридическое или физическое лицо, с которым ООО "Браво Софт" состоит в договорных отношениях или планирует вступить в договорные отношения, за исключением трудовых отношений;
6) конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
7) материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных;
8) неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии работника без использования средств вычислительной техники;
9) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление (в том числе вымарывание), уничтожение персональных данных;
10) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
11) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
12) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";
13) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
14) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
15) специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
16) субъекты персональных данных - пользователи услуг, контрагенты, работники, их близкие родственники, кандидаты для приема на работу (соискатели), а также иные лица, чьи персональные данные стали известны ООО "Браво Софт" при осуществлении своей деятельности;
17) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
18) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители персональных данных;
19) работник - лицо, заключившее трудовой договор с организацией;
20) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
21) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Основные права и обязанности Оператора и субъекта персональных данных
3.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве РФ.
3.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в сроки, установленные законодательством РФ;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.3. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством РФ;
2) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) предоставлять свои персональные данные и согласие на их обработку свободно, своей волей и в своем интересе;
4) отозвать согласие на обработку своих персональных данных;
5) обжаловать в соответствии с законодательством РФ действий (бездействия) Оператора при обработке персональных данных.
IV. Цели сбора и обработки персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3. Обработка персональных данных осуществляется в следующих целях:
1) обеспечения кадровой работы, реализации трудовых и иных непосредственно связанных с ними отношений, в том числе содействия работникам в трудоустройстве, содействия в выполнении осуществляемой работы, поощрения и стимулирования труда, обеспечения ключами электронной подписи, обеспечения пропускного и внутриобъектового режимов на территорию организации, получения образования и продвижения по службе, контроля количества и качества выполняемой работы, содействия в обучении и профессиональном (должностном) росте работников, учета результатов исполнения ими должностных обязанностей, предоставления, обеспечения различного вида льгот, гарантий и компенсаций, обеспечения безопасных условий труда и охраны здоровья работников, противодействия коррупции, ведение кадрового и бухгалтерского учета;
2) исполнения требований налогового, пенсионного и страхового законодательства, а также законодательства об обязательных видах страхования;
3) индивидуальный (персонифицированный) учет застрахованных лиц в системе обязательного пенсионного страхования и социального страхования;
4) исполнения требований законодательства о безопасности, обороне и транспортной безопасности, защиты государственной тайны и обеспечения мобилизационной готовности;
5) обеспечения личной безопасности работников и обеспечения сохранности имущества организации;
6) повышения эффективности корпоративного взаимодействия в организации;
7) обеспечения реализации иных функций, полномочий и обязанностей, предусмотренных законодательством и нормативными правовыми актами РФ, а также Уставом организации, в том числе при исполнении условий договоров на проведение работ и оказание услуг в соответствии с предметом деятельности организации;
8) рассмотрение обращений граждан;
9) организации доступа к информации о деятельности организации, размещаемой в информационно-телекоммуникационной сети "Интернет".
4.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
V. Принципы и правила обработки персональных данных
5.1. Обработка персональных данных в ООО "Браво Софт" осуществляется с соблюдением следующих принципов и правил:
1) обработка осуществляется на законной и справедливой основе;
2) обработка ограничивается достижением конкретных, заранее определенных и законных целей;
3) обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5) при обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;
6) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
7) обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
5.2. При обработке персональных данных обеспечивает их конфиденциальность и безопасность.VI. Правовые основания обработки персональных данных
6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор (организация) осуществляет обработку персональных данных, в том числе:
1) Конституция РФ;
2) Трудовой кодекс РФ;
3) Гражданский кодекс РФ;
4) Налоговый кодекс РФ;
5) согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством РФ;
6) достижение целей, предусмотренных законом, осуществление и выполнение возложенных на организацию законодательством РФ и Уставом функций, полномочий и обязанностей;
7) судебные акты, акты другого органа или должностного лица, подлежащие исполнению в соответствии с положениями законодательства РФ об исполнительном производстве;
8) договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договор, заключенный по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
9) обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
10) осуществление прав и законных интересов организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
11) обработка персональных данных в статистических или иных исследовательских целях при условии их обязательного обезличивания;
12) обработка персональных данных в целях опубликования или обязательного раскрытия информации в соответствии с законодательством РФ.
VII. Перечень действий с персональными данными
7.1. ООО "Браво Софт" осуществляет обработку персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.
7.2. Хранение персональных данных осуществляется в течение срока, определенного законодательством РФ.
VIII. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
8.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
8.2. Организацией осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
1) работники;
2) члены семьи, близкие родственники работника, дети (в том числе усыновленные и находящиеся под опекой (попечительством), а также супруг(а) (в том числе бывшие) субъектов персональных данных, если это предусмотрено требованиями законодательства и иных нормативных правовых актов РФ;
3) уволенные работники (в части информации, полученной Оператором в период трудовых отношений между работником и Оператором и в соответствии с законодательством РФ);
4) соискатели работы (лицо, ищущее работу) - лица, претендующие на занятие (замещение) должностей в организации;
5) посетители - лица, персональные данные которых требуются для оформления пропуска на территорию (в помещения) организации или иных аналогичных целей;
6) лица, являющиеся стороной заключенных с организацией гражданско-правовых договоров, в том числе договоров на проведение работ и оказание услуг в соответствии с установленным предметом деятельности;
7) лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством РФ на организацию функций, полномочий и обязанностей;
8) пользователи официального сайта организации в информационно-телекоммуникационной сети "Интернет".
8.3. Обработка организацией персональных данных субъектов персональных данных, осуществляется в целях, указанных в настоящей Политики.
8.4. Для достижения указанных целей организация обрабатывает следующие персональные данные:
1) персональные данные работников и соискателей работы:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения);
- число, месяц, год рождения;
- место рождения;
- сведения о гражданстве (в том числе предыдущие и иные гражданства);
- вид, серия, номер документа, удостоверяющего личность гражданина РФ, наименование органа, код подразделения органа (при наличии), выдавшего его, дата выдачи;
- адрес и дата регистрации по месту жительства (месту пребывания) и адрес фактического проживания;
- номер контактного телефона и/или сведения о других способах связи;
- адрес электронной почты (при наличии);
- реквизиты свидетельства обязательного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты полиса обязательного медицинского страхования;
- реквизиты полиса добровольного медицинского страхования;
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших): родителях (мать, отец), детях, о супруге (бывшем или бывшей супруге), дата (число, месяц, год) рождения, место рождения, адрес регистрации по месту жительства (пребывания) (фактического проживания), гражданство, место работы (полное наименование и адрес в пределах места нахождения организации), должность);
- сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность;
- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименования органов, их выдавших);
- сведения об образовании с указанием полного наименования образовательной организации, года ее окончания, квалификации, специальности и (или) направления подготовки, наименования и реквизитов документа об образовании;
- сведения о послевузовском профессиональном образовании (аспирантура, адъюнктура, докторантура (полное наименование образовательной или научной организации, год окончания), ученая степень, ученое звание (когда присвоены), номера дипломов, аттестатов) (при наличии);
- сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (полное наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
- сведения о владении иностранными языками, уровень владения;
- сведения об отсутствии заболеваний, препятствующих назначению на должность или исполнению должностных обязанностей (для отдельных категорий работников);
- сведения об инвалидности, сроке действия установленной инвалидности;
- сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
- сведения о государственных наградах, иных наградах, знаках отличия (кем награжден (награждена) и когда), поощрениях (кем поощрен (поощрена) и когда);
- сведения о профессиональной переподготовке и (или) повышении квалификации;
- сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
- сведения о заработной плате и иных доходах, включая сведения о доходах по прежнему месту работы;
- сведения о социальных льготах и гарантиях;
- номер банковской карты;
- номер расчетного счета;
- фотография;
- иные сведения, содержащие персональные данные, в соответствии с законодательством РФ;
- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения;
- иные сведения, которые представлены пользователем официального сайта организации в информационно-телекоммуникационной сети "Интернет".
2) персональные данные членов семьи и близких родственников работников организации, если это предусмотрено требованиями законодательства РФ и связано с трудовыми отношениями с работником, с предоставлением ему льгот, гарантий и компенсаций:
- фамилия, имя, отчество;
- степень родства;
- год рождения;
- адрес проживания;
- иные персональные данные в соответствии с требованиями законодательства РФ.
3) персональные данные посетителей:
- фамилия, имя, отчество;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, его выдавшего;
- фотография;
- иные персональные данные в соответствии с требованиями законодательства РФ.
4) персональные данные субъектов персональных данных, которые являются стороной заключенных с организацией гражданско-правовых договоров:
- перечень персональных данных определяется требованиями, которые установлены законодательством и нормативными правовыми актами РФ к отдельным видам договоров, в том числе договоров на проведение работ или оказание услуг, осуществляемых в соответствии с Уставом организации (оказания услуг, а также другие виды договоров).
5) персональные данные уволенных работников:
- персональные данные, полученные организацией в период трудовых отношений между работником и организацией и в соответствии с законодательством РФ;
- иные персональные данные в соответствии с требованиями законодательства РФ.
6) персональные данные лиц, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством РФ на организацию функций, полномочий и обязанностей:
- перечень персональных данных определяется требованиями, которые установлены законодательством и нормативными правовыми актами РФ в соответствии с Уставом организации.
7) персональные данные пользователей официального сайта организации в информационно-телекоммуникационной сети "Интернет":
- фамилия, имя, отчество;
- число, месяц, год рождения;
- номер контактного телефона и/или сведения о других способах связи;
- адрес электронной почты (при наличии);
- данные учетной записи: логины, пароли и другая информация, предназначенная для аутентификации и доступа к Сайту;
- информация об устройстве: тип используемого устройства, тип операционной системы устройства, версия ОС, технические характеристики устройства;
- IP-адрес;
- информация, сохраненная в файлах Cookies, информация о браузере, дата и время доступа к Сайту;
- информация об использовании и история просмотров;
- иные сведения, содержащие персональные данные, в соответствии с законодательством РФ;
- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных;
- иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения;
- иные сведения, которые представлены пользователем официального сайта организации в информационно-телекоммуникационной сети "Интернет".
8.5. Порядок уничтожения персональных данных, содержащихся на бумажных и электронных носителях, при достижении целей их обработки или при наступлении иных законных оснований, устанавливаются локальными нормативными актами организации.
8.6. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
IX. Порядок и условия обработки персональных данных
9.1. Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в Политике, и осуществляется в соответствии с требованиями норм действующего законодательства РФ, а также с согласия субъекта персональных данных, полученного в установленном порядке, если иное не предусмотрено законодательством РФ.
Обработка персональных данных, избыточных по отношению к заявленной цели их обработки, не допускается.
9.2. Обработка персональных данных организацией осуществляется как автоматизированным способом с помощью средств вычислительной техники, так и неавтоматизированным способом без использования средств вычислительной техники на бумажных носителях при непосредственном участии человека.
9.3. Порядок обработки персональных данных субъектов персональных данных в информационных системах и на бумажных носителях определяется внутренними локальными нормативными актами организации.
9.4. К обработке персональных данных допускаются работники организации, в функциональные обязанности которых входит обработка персональных данных. Данные работники имеют право обрабатывать персональные данные, которые необходимы им для исполнения своих трудовых обязанностей и к которым у них есть доступ. Доступы к персональным данным субъектов установлены внутренними документами организации (локальными нормативными актами, приказами).
9.5. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных в организации.
9.6. Получение персональных данных.
9.6.1 Получение персональных данных организацией осуществляется непосредственно от субъекта персональных данных. Если персональные данные субъекта персональных данных, возможно, получить только у третьей стороны, то субъект персональных данных уведомляется об этом заранее и от него получают письменное согласие.
9.6.2 Обработка персональных данных организацией осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
9.6.3 При обработке персональных данных соблюдается их конфиденциальность.
9.7. Передача персональных данных.
9.7.1. Порядок передачи персональных данных внутри организации определяется на основании установленного доступа к персональным данным субъектов персональных данных работникам организации, который определяется локальными нормативными актами по обработке персональных данных соответствующих категорий субъектов персональных данных.
9.7.2. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством РФ.
9.7.3 Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства РФ.
9.7.4. Распространение персональных данных работников производится с их согласия, персональных данных остальных категорий субъектов персональных данных - в соответствии с требованиями законодательства РФ.
9.8. Защита персональных данных от неправомерного их использования или утраты осуществляется в соответствии с требованиями действующего законодательства РФ и обеспечивается за счет собственных средств. Условия и прядок защиты персональных данных субъектов определяется локальными нормативными актами организации.
9.9. Обеспечение безопасности персональных данных осуществляется в соответствии с требованиями к защите персональных данных, установленными законодательством и иными нормативными правовыми актами РФ, а именно:
- угрозы безопасности персональных данных при их обработке в информационных системах персональных данных определяются соответствующими локальными нормативными актами организации;
- принимаются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах;
- машинные носители персональных данных учитываются в установленном порядке;
- меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них осуществляются в соответствии с законодательством РФ;
- правила доступа к персональным данным, обрабатываемым в информационной системе, устанавливаются соответствующими локальными нормативными актами организации;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.10. Обработка персональных данных прекращается в случае достижения целей, указанных в Политике, истечение срока действия согласия или отзыва согласия субъекта обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка должна быть прекращена.
9.11. Субъект персональных данных вправе обращаться с требованием об уточнении его персональных данных, о блокировании или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.12. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, предоставляются Оператором субъекту персональных данных или его представителю в сроки, установленные законодательством РФ. Данный срок может быть продлен на основании данных мотивированного уведомления субъекта персональных с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.13. При обращении субъекта персональных данных в организацию с требованием о прекращении обработки персональных данных, обработка персональных данных прекращается, в сроки, установленные законодательством РФ, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, на основании мотивированного уведомления субъекта персональных данных с указанием причин продления срока.
9.14. Хранение персональных данных субъектов осуществляется на бумажных носителях и в информационных системах. Порядок хранения персональных данных субъектов персональных данных вышеуказанными способами определяется локальными нормативными актами организации.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
9.15. Персональные данные на бумажных носителях хранятся в организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством РФ, а также в соответствии с локальными нормативными актами организации.
9.16. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
9.17. Уничтожение персональных данных осуществляется, когда цели обработки персональных данных достигнуты или, когда субъект персональных данных отозвал свое согласие, а также, в случаях и порядке, предусмотренных законодательством РФ.
9.18. Уничтожение персональных данных осуществляется из информационных систем и с бумажных носителей, в которых содержатся персональные данные. Порядок уничтожения персональных данных субъектов персональных данных определяется локальными нормативными актами организации.
X. Заключительные положения
10.1. За нарушение порядка обработки персональных данных организация может быть привлечена к ответственности, предусмотренной законодательством РФ.
10.2. Работники, имеющие доступ к персональным данным, и осуществляющие их обработку, несут ответственность за нарушение порядка обработки персональных данных в соответствии с законодательством РФ.
10.3. Политика вступает в силу с момента ее утверждения.
10
10.4. Политика является общедоступным документом (размещена на официальном сайте https://bravosoftwork.ru/.