Политика в отношении обработки персональных данных

 

1. Область применения

1.1 Настоящая политика в отношении обработки персональных данных (далее – Политика) устанавливает основные цели, способы и условия обработки персональных данных.

1.2 В ООО «ТМХ-Электротех» организуется обработка персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, а также иными нормативными правовыми актами Российской Федерации в области обработки и защиты персональных данных, настоящей Политикой, Регламентом обработки персональных данных и другими локальными нормативными актами ООО «ТМХ-Электротех», регламентирующими порядок работы с персональными данными. Настоящая Политика действует в отношении всех персональных данных, которые обрабатываются в ООО «ТМХ-Электротех».

1.3 Критерием оценки достижения цели является соответствие условий обработки персональных данных в ООО «ТМХ-Электротех» требованиям законодательства Российской Федерации.

1.4 Исполнение положений настоящей Политики является обязательным для всех работников ООО «ТМХ-Электротех» и третьих лиц, участвующих в процессе обработки персональных данных в ООО «ТМХ-Электротех», при условии принятия такими третьими лицами требований настоящей Политики.

 

2. Нормативные ссылки

В настоящей Политике использованы ссылки на следующие нормативные акты:

2.1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

2.2 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

2.3 Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2.4 Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.5 Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».

2.4 Стандарт СТО СМК 070-2025 по защите персональных данных, утвержденный приказом от 30.06.2025 № 863.

2.5 Политика информационной безопасности ООО «ТМХ-Электротех», утвержденная приказом от 02.06.2023 № 337.

2.6 Регламент обработки персональных данных.

2.7 Регламент блокирования и уничтожения персональных данных.

2.8 Инструкция по работе с обращениями субъектов персональных данных и запросами государственных органов.

 

3. Определения и сокращения

 

3.1 ДБиЗИ: Дирекция по безопасности и защите информации.

3.2 ОбществоОбщество с ограниченной ответственностью «Электротехническая компания ТМХ» (ООО «ТМХ-Электротех»).

3.3 ДпУПиТ: Дирекция по управлению персоналом и трансформации.

3.4 Автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники.

3.5 Безопасность персональных данных: Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, в том числе в информационных системах персональных данных.

3.6 Блокирование персональных данных: Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.7 Защита персональных данных: Комплекс организационных и технических мероприятий, необходимых и достаточных для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3.8 Защищаемое помещение: Помещение, предназначенное для обработки, в частности хранения, коммерческой тайны и персональных данных, доступ в которое предоставляется в рамках должностных обязанностей.

3.9 Защищаемые хранилища: Металлические запираемые опечатываемые ящики, шкафы, сейфы.

3.10 Информационная система персональных данных (ИСПДн): Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.11 Материальные носители ПДн: Материальные объекты, используемые для хранения персональных данных, содержащихся на бумажных, электронных, магнитных носителях информации, оптических дисках и иных носителях информации.

3.12 Облачные сервисы: Сеть компьютеров-серверов, которые позволяют клиентам пользоваться своими ресурсами через интернет: хранить файлы и обмениваться ими, работать в онлайн-офисах, производить вычисления (яндекс диск, mail диск, google диск и т.д.).

3.13 Обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

3.14 Оператор персональных данных: Государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.15 Персональные данные (ПДн): Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

3.16 Персональные данные, разрешенные субъектом персональных данных для распространения: Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

3.17 Предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.18 Распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

3.19 Смешанная обработка персональных данных: Совокупность автоматизированного и неавтоматизированного способов обработки персональных данных.

3.20 Субъект персональных данных: Физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

3.21 Трансграничная передача персональных данных: Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.22 Уничтожение персональных данных: Действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.23 Угрозы безопасности персональных данных: Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

 

4. Основные положения

4.1 Целью настоящей Политики является обеспечение соответствия процессов обработки ПДн в Обществе требованиям законодательства Российской Федерации.

4.2 Обработка ПДн в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой, Регламентом обработки персональных данных и законодательством Российской Федерации в области ПДн.

4.3 ПДн обрабатываются Обществом на законных основаниях с согласия субъектов ПДн либо без их согласия в случаях, предусмотренных законодательством Российской Федерации.

4.4 Основные права и обязанности Общества:

4.4.1 Общество имеет право:

  • предоставлять ПДн субъектов ПДн третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.) и настоящей Политикой;
  • отказывать в предоставлении информации об обрабатываемых ПДн
     в случаях, предусмотренных законодательством Российской Федерации;
  • использовать ПДн субъекта ПДн без его согласия, в случаях, предусмотренных законодательством Российской Федерации;
  • самостоятельно определять состав и перечень мер, необходимых
     и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации;
  • поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн
     по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством о ПДн, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
  • в случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации.

4.4.2 Общество обязано:

  • организовывать обработку ПДн в соответствии с требованиями законодательства Российской Федерации;
  • обеспечивать конфиденциальность и безопасность ПДн субъектов ПДн;
  • отвечать на обращения и запросы субъектов ПДн в соответствии
     с требованиями законодательства Российской Федерации;
  • по требованию субъекта ПДн уточнять его ПДн, блокировать или уничтожать их, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • уведомлять субъекта ПДн относительно обработки его ПДн
     в соответствии с обязанностями, возложенными на Общество как на оператора ПДн;
  • сообщать государственным органам по их запросам необходимую информацию.

4.5 Субъект ПДн имеет право:

  • запрашивать информацию, касающуюся обработки его ПДн;
  • требовать уточнения его ПДн, их блокирования или уничтожения
     в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку ПДн;
  • обжаловать действия или бездействия Общества;

принимать иные предусмотренные законодательством Российской Федерации меры по защите своих прав.

 

5. Цели обработки персональных данных

5.1 Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

5.2 Обработке подлежат только те ПДн, которые отвечают целям их обработки.

5.3 Обработка ПДн Обществом осуществляется в следующих целях:

  • взаимодействие с контрагентами и представителями контрагентов;
  • ведение кадрового, налогового и бухгалтерского учета;
  • организация повышения квалификации работников;
  • обеспечение возможности пользования работниками Общества сервисами корпоративной связи;
  • обеспечение рабочего процесса;
  • метрологический учет оборудования;
  • организация пропускного режима на территорию;
  • предоставление топливной карты для использования в сети автозаправочных станций;
  • организация закупки проездных билетов и бронирование отелей для командируемых;
  • поиск кандидатов на вакантные должности;
  • обеспечение прохождения ознакомительной, производственной и преддипломной практики на основании договора с учебным заведением.

5.4 Обработка ПДн субъектов ПДн может осуществляться исключительно в соответствии с требованиями законодательства Российской Федерации.

 

6. Правовые основания обработки персональных данных

6.1 Правовыми основаниями обработки ПДн являются:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем (или поручителем) по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие
     в качестве условия заключения договора бездействие субъекта ПДн;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

 

7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

7.1 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в разделе 5 настоящей Политики. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

7.2 Для каждой цели обработки ПДн устанавливаются соответствующие:

  • категории и перечень обрабатываемых ПДн;
  • категории субъектов, ПДн которых могут обрабатываться;
  • способы, сроки обработки ПДн и их хранения;
  • порядок отзыва ПДн;
  • порядок уничтожения ПДн.

7.3 В Обществе обрабатываются иные категории ПДн, не являющиеся специальными, биометрическими или общедоступными, детализация которых содержится в Перечне персональных данных, обрабатываемых в Обществе.

7.4 Общество может обрабатывать ПДн следующих категорий субъектов ПДн:

  • кандидаты для приема на работу;
  • действующие работники;
  • бывшие работники;
  • члены семей работников;
  • лица, посещающие офис по приглашению Общества;
  • студенты, проходящие практику в Обществе;
  • контрагенты;
  • представители контрагентов;
  • потенциальные контрагенты;
  • физические лица, заключившие либо желающие заключить договор
     с Обществом.

7.5 Обработка Обществом биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.

7.6 В Обществе не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.7 Объем и категории обрабатываемых ПДн, категории субъектов ПДн, цели и правовые основания обработки ПДн, а также сроки хранения ПДн приведены в Перечне персональных данных, обрабатываемых в Обществе (Приложение 1 к Регламенту обработки персональных данных).

 

8. Порядок и условия обработки персональных данных

8.1 Обработка ПДн осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.

8.2 Общество осуществляет обработку ПДн в соответствии с целями их обработки следующими способами:

  • неавтоматизированная обработка ПДн;
  • автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка ПДн.

8.3 Обработка ПДн без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

8.4 Обработка ПДн с использованием средств автоматизации осуществляется в ИСПДн, перечень которых утверждается приказом генерального директора Общества.

8.5 Обработка ПДн субъектов ПДн производится Обществом строго
 в соответствии со следующими принципами:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, Общество не обрабатывает избыточные ПДн;
  • при обработке обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
  • обеспечивается принятие мер по удалению или уточнению неполных, или неточных данных;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством Российской Федерации, настоящей Политикой, Регламентом обработки персональных данных или договором, стороной которого, выгодоприобретателем или поручителем,
     по которому является субъект ПДн;
  • обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

8.6 Обработка ПДн осуществляется Обществом на условиях, определенных правовыми основаниями обработки ПДн в соответствии с п. 6.1 настоящей Политики.

8.7 Общество получает ПДн субъектов следующими способами:

  • лично от субъекта ПДн;
  • от третьих лиц при заключении договора;
  • по поручению на обработку ПДн;
  • из заключенного договора, одной из сторон или выгодоприобретателем/поручителем которого является субъект ПДн.

8.8 Общество совершает действия с ПДн в зависимости от цели их обработки согласно следующему перечню:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • блокирование;
  • удаление;
  • уничтожение.

8.9 К обработке ПДн допускаются работники Общества, в должностные обязанности которых добавляются пункты по обработке ПДн.

8.10 Лица, указанные в п. 8.9 настоящей Политики, до начала обработки ПДн должны подписать Обязательство о неразглашении ПДн.

8.11 Не допускается раскрытие третьим лицам и распространение ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

8.12  Согласия на распространение или передачу ПДн оформляются отдельно от иных согласий субъекта ПДн на обработку его ПДн.

8.13 При поручении обработки ПДн третьему лицу Общество заключает соответствующий договор поручения с данным лицом. При этом Общество в таком поручении обязует третье лицо, осуществляющее обработку ПДн, соблюдать требования обработки ПДн, предусмотренные законодательством Российской Федерации.

8.14 Третье лицо (контрагент), осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его ПДн.

8.15 В случаях, когда Общество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество.

8.16 В случае если Общество осуществляет обработку ПДн по поручению другого оператора, указанный оператор обязан получить согласие субъекта ПДн на обработку его ПДн.

8.17 Общество обязуется и обязует иных лиц, получивших доступ к ПДн в рамках поручения на обработку ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

8.18 Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности ПДн при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПДн;
  • назначает лицо, ответственное за организацию обработки ПДн
     в Обществе;
  • назначает лицо, ответственное за обеспечение безопасности ПДн
     в ИСПДн Общества – администратора безопасности ИСПДн;
  • утверждает перечень лиц, осуществляющих обработку ПДн в Обществе без применения средств автоматизации и с применением таковых;
  • утверждает перечень ИСПДн Общества;
  • утверждает перечень помещений, предназначенных для хранения ПДн в Обществе;
  • создает необходимые условия для работы с ПДн;
  • организует учет документов, содержащих ПДн;
  • организует работу с информационными системами, в которых обрабатываются ПДн;
  • хранит ПДн в условиях, при которых обеспечивается их сохранность
     и исключается неправомерный доступ к ним;
  • организует обучение работников Общества, осуществляющих обработку ПДн.
 
8.19 Требования к защите ПДн при их обработке, в том числе в ИСПДн Общества установлены стандартом СТО СМК 070-2025 по защите персональных данных.
 

9. Сроки обработки и хранения персональных данных

9.1 ПДн субъектов могут быть получены, обрабатываться и передаваться на хранение, как на бумажных носителях, так и в электронном виде. ПДн субъектов, зафиксированные на материальных носителях, хранятся в защищаемых хранилищах.

9.2 Обработка ПДн осуществляется в защищаемых помещениях работниками, в должностные обязанности которых входит обработка ПДн.

9.3 ПДн субъектов, обрабатываемые с использованием средств автоматизации, хранятся в локальной вычислительной сети Общества.

9.4 При обработке ПДн в Обществе не допускается хранение и размещение документов, содержащих ПДн, в облачных сервисах.

9.5 Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на материальных носителях.           

9.6 Сроки хранения материальных носителей ПДн регламентируются Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», по которому Общество обязано обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных законодательством Российской Федерации.

9.7 Общество обеспечивает раздельное хранение ПДн на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.

9.8 Контроль за хранением и использованием материальных носителей ПДн, не допускающий несанкционированное использование, уточнение, распространение и уничтожение ПДн, находящихся на данных носителях, осуществляют руководители структурных подразделений Общества, в которых осуществляется обработка ПДн.

9.9 Условием прекращения обработки ПДн в Обществе является достижение целей обработки ПДн, истечение срока действия согласия субъекта ПДн на обработку его ПДн или отзыв такого согласия, нормативные требования действующего законодательства Российской Федерации,  ликвидация Общества, а также выявление неправомерной обработки ПДн.

 

10. Порядок уничтожения персональных данных

10.1 Общество уничтожает ПДн и при необходимости обеспечивает уничтожение ПДн третьими лицами, осуществляющими такую обработку на основании заключенного между ними и Обществом договора (в том числе поручения на обработку) в следующих случаях:

  • при достижении цели обработки ПДн либо утраты необходимости в достижении цели обработки ПДн;
  • по истечении срока действия согласия субъекта ПДн в случае, если обработка ПДн Общества осуществляется и допустима только на основании согласия на обработку ПДн;
  • при отзыве согласия субъекта ПДн на обработку его ПДн, если сохранение ПДн более не требуется для заявленных целей обработки ПДн и такая обработка осуществляется исключительно на основании согласия на обработку ПДн;
  • при поступлении в адрес Общества обращения субъекта ПДн или запроса государственного органа в соответствии с разделом 11 настоящей Политики;
  • по истечении срока действия договора, стороной которого либо выгодоприобретателем (поручителем) по которому является субъект ПДн,
     и в отсутствии иных надлежащих правовых оснований обработки ПДн;
  • при выявлении неправомерной обработки ПДн (в случае если они являются неполными устаревшими, неточными, незаконно полученными или
     не являются необходимыми для заявленной цели обработки) и при невозможности обеспечить правомерность такой обработки;
  • по истечении установленного законодательством Российской Федерации срока обработки ПДн.

10.2 В случаях, указанных в п. 10.1 настоящей Политики, Общество осуществляет уничтожение ПДн в порядке и в сроки, установленные в Регламенте блокирования и уничтожения персональных данных.

10.3 Уничтожение ПДн в зависимости от способа осуществления их обработки и вида материального носителя ПДн может осуществляться Обществом одним из следующих способов:

  • для бумажных носителей – осуществляется путем измельчения на мелкие части бумажного носителя, исключающего возможность последующего восстановления информации (разрезание, сжигание, механическое уничтожение);
  • для электронных носителей – осуществляется путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или уничтожением данных с электронных носителей с использованием встроенных средств и/или средств гарантированного уничтожения информации;
  • для ИСПДн – осуществляется путем уничтожения ПДн с сетевого хранилища и/или в информационной системе.

10.4 Акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн (при автоматизированной и смешанной обработке ПДн) является подтверждением уничтожения ПДн Обществом.

 

11. Рассмотрение обращений субъектов персональных данных и запросов государственных органов

11.1 Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Обществом;
  • правовые основания и цели обработки ПДн;
  • применяемые Обществом способы обработки ПДн;
  • наименование и место нахождения Общества, сведения о лицах
     (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании законодательства Российской Федерации;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен законодательством Российской Федерации;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Обществом обязанностей, установленных законодательством Российской Федерации;
  • иные сведения, предусмотренные законодательством Российской Федерации.

11.2 Субъект ПДн вправе направлять обращения Обществу об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные меры для защиты своих прав.

11.3 Право субъекта ПДн на доступ к своим ПДн может быть ограничено в соответствии с требованиями законодательства Российской Федерации, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

11.4 Общество обязано сообщить государственным органам по их запросам необходимую информацию. Передача ПДн государственным органам осуществляется в соответствии с требованиями законодательства Российской Федерации.

11.5 Порядок работы структурных подразделений Общества с обращениями субъектов ПДн, а также запросами государственных органов определен в Инструкции по работе с обращениями субъектов персональных данных и запросами государственных органов.

 
 

12. Трансграничная передача персональных данных

12.1 Общество вправе осуществлять трансграничную передачу ПДн в порядке, предусмотренном законодательством Российской Федерации.

12.2 Общество до осуществления трансграничной передачи ПДн оценивает соблюдение конфиденциальности ПДн и обеспечение безопасности ПДн при их обработке органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн.

12.3 Порядок осуществления трансграничной передачи ПДн в соответствии с требованиями законодательства Российской Федерации установлен в Регламенте обработки персональных данных.

 

13. Обязанности Общества

13.1 Общество до начала обработки персональных данных уведомило Роскомнадзор о своем намерении осуществлять обработку ПДн.

13.2 В случае изменения сведений, указанных в уведомлении в Роскомнадзор о намерении осуществлять обработку ПДн, Общество не позднее 15 (пятнадцатого) числа месяца, следующего за месяцем, в котором возникли такие изменения, обязано уведомить Роскомнадзор обо всех произошедших за указанный период изменениях.

13.3 В случае прекращения обработки ПДн Общество обязано уведомить об этом Роскомнадзор в течение 10 (десяти) рабочих дней с даты прекращения обработки ПДн.

13.4 Общество до начала осуществления деятельности по трансграничной передаче ПДн обязано уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу ПДн. Указанное уведомление направляется отдельно
 от уведомления о намерении осуществлять обработку персональных данных согласно п. 13.1 настоящей Политики.

13.5 Уведомления, указанные в п.п. 13.1-13.4, направляются в виде документа на бумажном носителе или в форме электронного документа и подписываются лицом, обладающим правом подписи от имени Общества.

13.6 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, руководитель ДБиЗИ обязан с момента выявления инцидента работниками Общества, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор в соответствии со Стандартом СТО СМК 070-2025
 по защите персональных данных.

13.7 Подготовка и подача в установленном законодательством Российской Федерации порядке уведомлений, указанных в п.п. 13.1-13.4 настоящей Политики, осуществляется работниками ДпУПиТ при участии ДБиЗИ.

13.8 Работники ДпУПиТ в обязательном порядке должны согласовывать проекты уведомлений, указанных в п.п. 13.1-13.4 настоящей Политики,
 с Ответственным за организацию обработки ПДн, ДБиЗИ и иными подразделениями Общества (при необходимости).

13.9 Формы уведомлений, приведенных в п.п. 13.1-13.4 настоящей Политики, приведены на официальном сайте Роскомнадзора (URL: https://rkn.gov.ru/).

 
 

14. Ответственность и контроль

14.1 Все работники, допущенные к обработке ПДн в Обществе, обязаны соблюдать безопасность ПДн. Мероприятия по обеспечению безопасности ПДн установлены в Стандарт СТО СМК 070-2025 «По защите персональных данных».

14.2 Все работники, состоящие с Обществом в трудовых отношениях, как по основному месту работы, так и на условиях внешнего или внутреннего совместительства, должны быть ознакомлены под подпись с настоящей Политикой.

14.3 Работники, осуществляющие обработку ПДн в Обществе, несут ответственность за соблюдение норм и правил, установленных настоящей Политикой, в соответствии с подписанным Обязательством о неразглашении ПДн (Приложение 13 к Регламенту обработки персональных данных).

14.4 Работники Общества, виновные в нарушении норм, регулирующих обработку ПДн, могут быть привлечены к ответственности в соответствии с законодательством Российской Федерации.

14.5 Ответственный за организацию обработки ПДн несет ответственность за:

  • обеспечение соответствия процессов обработки ПДн в Обществе требованиям законодательства Российской Федерации;
  • взаимодействие с государственными органами по вопросам ПДн, в том числе при установлении факта инцидента;
  • согласование проектов уведомлений об обработке ПДн и о намерении осуществлять трансграничную передачу ПДн;
  • организацию разработки, актуализации и внедрения внутренних документов по обработке и защите ПДн в соответствии с требованиями законодательства Российской Федерации.

14.6 ДБиЗИ несет ответственность за:

  • разработку, актуализацию и внедрение локальных нормативных актов по обработке ПДн в соответствии с законодательством Российской Федерации.  
  1. ДпУПиТ и ДБиЗИ несут ответственность за:
  • подготовку и подачу в установленном порядке уведомления об обработке ПДн в Роскомнадзор, а также внесение изменений при необходимости;
  • подготовку и подачу в установленном порядке уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу ПДн (при осуществлении трансграничной передачи ПДн), а также внесение изменений при необходимости;

14.8 Третьи лица, осуществляющие обработку ПДн по поручению Общества, несут ответственность перед Обществом за свои действия по обработке ПДн субъектов. В случае если данные третьи лица привлекают (допускают) к обработке ПДн другое лицо, они несут ответственность перед Обществом за действия такого лица как за свои собственные.

14.9 Контроль за исполнением положений настоящей Политики возлагается на ДБиЗИ. Контроль осуществляется путем проведения плановых и внеплановых проверок соблюдения правил обработки и защиты ПДн, а также в рамках текущей деятельности ДБиЗИ. Проверки проводятся в присутствии руководителя структурного подразделения или лица, его замещающего. Проверяющие имеют право знакомиться со всеми документами и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации
 с работниками проверяемых подразделений, требовать предоставления письменных объяснений, справок, отчетов по всем вопросам, входящим в их компетенцию.