Положение о порядке работы с персональными данными в ООО «ИТКОЛ-сервеинг»

1. Общие положения


1.1. Настоящий документ определяет политику ООО «ИТКОЛ-сервеинг» (далее – Компания) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании (далее - Положение). Компания является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных субъектов персональных данных (далее - персональные данные), а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.2. Действие настоящего Положения распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
1.3. Настоящее Положение составлено в соответствии со следующими нормативными правовыми актами: Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовой кодекс Российской Федерации, постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказ Роскомнадзора от 05.09.2013г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
1.4. В настоящем Положении используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
1.5. Настоящее Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
1.6. В целях реализации настоящего Положения в Компании разрабатываются и вводятся в действие соответствующие локальные нормативные акты и иные документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие деятельности Компании по обработке персональных данных требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов. Настоящее Положение подлежит актуализации в случае изменения законодательства Российской Федерации о персональных данных.

2. Принципы и цели обработки персональных данных в Компании


2.1. Компания осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод работников Компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
а) обработка персональных данных должна осуществляться на законной и справедливой основе. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются.
б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
д) обработке подлежат только персональные данные, которые отвечают целям их обработки;
е) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
ж) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
з) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Персональные данные обрабатываются в Компании в целях:
а) обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
б) осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
в) регулирования трудовых отношений с работниками Компании, а также принятия решений о приеме либо об отказе в приеме на работу соискателей на вакантные должности в Компании;
г) предоставления работникам Компании и членам их семей социальных гарантий, компенсаций и других видов социального обеспечения, предусмотренных законодательством Российской Федерации.
д) защиты жизни, здоровья и иных жизненно важных интересов субъектов персональных данных;
е) заключения и исполнения гражданско-правовых договоров, стороной которых либо выгодоприобретателем или поручителем по которым, либо инициатором заключения которых или представителем стороны по которым, является субъект персональных данных, а также в целях исполнения иных обязательств, стороной которых является Компания (возникших вследствие причинения вреда, неосновательного обогащения, а также из иных оснований, указанных в Гражданском Кодексе Российской Федерации);
ж) осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом Компании и иной деятельности, не запрещенной законодательством либо достижения общественно-значимых целей.
з) исполнения судебных актов, актов других органов и должностных лиц, подлежащих обязательному исполнению в соответствии с законодательством Российской Федерации;
и) иных законных целях.
2.3. Обязательным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

3. Категории субъектов персональных данных, объем и категории обрабатываемых персональных данных


3.1. Компания, являясь оператором, осуществляет обработку персональных данных следующих субъектов персональных данных:
а) соискателей на вакантные должности – в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, а также для формирования кадрового резерва;
б) работников, состоящих или состоявших в трудовых отношениях с Компанией – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
в) членов семей работников Компании – в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов Компании;
г) граждан (или их представителей – физических лиц), являющихся или могущих являться стороной либо выгодоприобретателем или поручителем договора с Компанией, либо инициатором заключения такого договора или представителем стороны такого договора, а также являющихся стороной иных обязательств по отношению к Компании (возникших вследствие причинения вреда, неосновательного обогащения, а также из иных оснований, указанных в Гражданском Кодексе Российской Федерации);
д) граждан, являющихся посетителями сайта Компании, размещенного в информационно - телекоммуникационной сети «Интернет» по web-адресу: https://www.itcol-tochmash.ru (далее – Сайт Компании), в том числе, граждан, являющихся представителями физических и юридических лиц, пользующихся интерактивными сервисами Сайта Компании и отправляющих электронные сообщения в адрес Компании посредством форм ввода данных (специально ограниченных областей страниц Сайта Компании), созданных для взаимодействия (обратной связи), в которых посетителям Сайта Компании предлагается внести информацию, включающую в себя персональные данные, и выбрать какие-либо определённые действия из ряда предлагаемых.
е) иных субъектов персональных данных (для обеспечения реализации целей обработки, указанных в пункте 2.2. настоящего Положения.).

4. Порядок и условия обработки персональных данных


4.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем получения персональных данных непосредственно от субъектов персональных данных.
4.2. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных, могут обрабатываться Компанией только при наличии согласия в письменной форме субъекта персональных данных; Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовноисполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
4.3. В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
4.4. Сроки обработки персональных данных определяются Компанией с учетом:
а) установленных целей обработки персональных данных;
б) сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
в) сроков, определенных Приказом Минкультуры РФ от 25 августа 2010г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения». Использование персональных данных осуществляется с момента их получения
Компанией и прекращается:
1) по достижении целей обработки персональных данных;
2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных. Сроки хранения персональных данных устанавливаются на основании действующего законодательства.
4.5. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В том числе, Компания вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам и должностным лицам по основаниям, предусмотренным действующим законодательством Российской Федерации.
4.6. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных. В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде.
4.7. Запрещается получать и обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, обрабатываемых в Компании, утвержденными локальным актом(ами) Компании. В том числе, не допускается обработка специальных категорий персональных данных, установленных ч.1 ст.10 Закона о персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и пр.). Обработка указанных в абзаце первом настоящего пункта специальных категорий персональных данных допускается исключительно в случаях, предусмотренных ч.2 ст.10 Закона о персональных данных.
4.8. Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
4.9. Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Компании, осуществляющих обработку персональных данных.
4.10. Компания при осуществлении обработки персональных данных:
а) принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Компании в области персональных данных;
б) принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
в) назначает лицо, ответственное за организацию обработки персональных данных в Компании;
г) издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Компании;
д) осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Компании в области персональных данных и их защиты.
е) публикует или иным образом обеспечивает неограниченный доступ к настоящему Положению;
ж) прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
з) осуществляет внутренний контроль соответствия обработки персональных данных требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов, а также локальным актам Компании;
и) совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
4.11. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

5. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований


5.1. Структурными подразделениями Компании, осуществляющими обработку персональных данных, проводится систематический (не реже одного раза в месяц) контроль и выделение документов на бумажных и(или) электронных носителях, содержащие персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.
5.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, уполномоченной и формируемой Генеральным директором Компании. В состав комиссии в обязательном порядке включается лицо, ответственное за организацию обработки персональных данных в Компании, а также руководители структурных подразделений Компании, работниками которых осуществлялась обработка персональных данных, содержащихся в документах, вопрос об уничтожении которых подлежит рассмотрению на заседании комиссии. По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых документов (дел), проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается Генеральным директором Компании.
5.3. Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющем произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение). Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением персональных данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.4. По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные. Акт подписывается председателем и членами комиссии и утверждается Генеральным директором Компании.

6. Обязанности работников, трудовые функции которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным.


6.1. Работники, трудовые функции которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее – лица, уполномоченные на обработку персональных данных), обязаны:
а) знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящего Положения и иных локальных нормативных актов Компании, устанавливающих правила использования персональных данных, порядок их учета и хранения,
б) хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
в) при обработке персональных данных исключить доступ к ним посторонних лиц;
г) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения трудовых функций по соответствующей должности.
6.2. При обработке персональных данных работникам, указанным в п.6.1. настоящего Положения, запрещается:
а) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
б) передавать персональные данные по незащищенным каналам связи, локальным вычислительным сетям и(или) глобальным информационно-телекоммуникационным сетям, включая сеть «Интернет», без применения установленных в Компании мер по обеспечению безопасности персональных данных (за исключением общедоступных и(или) обезличенных персональных данных);
в) самостоятельно снимать неучтенные копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные. Действия, перечисленные в абзаце первом настоящего подпункта, могут осуществляться исключительно в целях, предусмотренных п.2.2. настоящего Положения и по распоряжению лица, ответственного за организацию обработки персональных данных в Компании.
г) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
6.3. Иные обязанности Работников, трудовые функции которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным, могут также определяться их должностными инструкциями.

7. Права субъектов персональных данных, обрабатываемых в Компании


7.1. Субъекты персональных данных имеет право на:
а) получение информации, касающейся обработки его персональных данных в Компании. Для получения указанной информации субъект персональных данных может отправить письменный запрос (запрос может быть также направлен в форме электронного документа и подписан электронной подписью) на адрес: 125367, г. Москва, улица Габричевского, дом 5, корпус 1 в порядке, установленном ст.14 Закона о персональных данных.
б) уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) отзыв согласия на обработку персональных данных;
г) принятие предусмотренных законом мер по защите своих прав;
д) обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
е) осуществление иных прав, предусмотренных законодательством Российской Федерации.

8. Обязанности Компании по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных


8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.2. В случае подтверждения факта неточности персональных данных Копания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.4. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. Уничтожение персональных данных, содержащихся в документах, предусмотренных п.8.7. настоящего Положения, осуществляется Компанией по истечении сроков хранения и обеспечения сохранности данных документов, предусмотренных положениями указанных в п.8.7. федеральных законов.
8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. Уничтожение персональных данных, содержащихся в документах, предусмотренных п.8.7. настоящего Положения, осуществляется Компанией по истечении сроков хранения и обеспечения сохранности данных документов, предусмотренных положениями указанных в п.8.7. федеральных законов.
8.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.3 - 8.5 настоящего раздела, Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.7. Персональные данные, содержащиеся в документах бухгалтерского и налогового учета, допускающих наличие в них персональных данных, Компания обязана хранить в течение сроков хранения и обеспечения сохранности документов, установленных Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (п.п.1 и 2 ст.29) и Налоговым Кодексом Российской Федерации (подп.8 п.1 ст.23, подп.6 п.3.4 ст.23, подп.5 п.3 ст.24). Персональные данные, содержащиеся в архивных документах, в том числе, документах по личному составу, отражающих трудовые отношения с работниками, Компания обязана хранить в течение сроков хранения и обеспечения сохранности документов, предусмотренных Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (п.1 ст.17, ст.21.1, п.п.1 и 2 ст.22.1).

9. Меры, принимаемые Компанией для обеспечения выполнения обязанностей оператора при обработке персональных данных


9.1. Меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
а) назначение лица, ответственного за организацию обработки персональных данных в Компании;
б) принятие локальных нормативных актов, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
в) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;
г) хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
д) получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда в соответствии с законодательством Российской Федерации, такого согласия не требуется;
е) осуществление внутреннего контроля соответствия обработки персональных данных требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании;
ж) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
з) ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами Компании по вопросам обработки персональных данных, а также обучение указанных работников и проведение методической работы.
и) иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

10. Контроль соответствия обработки персональных данных требованиям законодательства и ответственность за нарушение норм, регулирующих обработку персональных данных


10.1. Внутренний контроль соответствия обработки персональных данных требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании, осуществляется лицом, ответственным за организацию обработки персональных данных в Компании.
10.2. Лицо, ответственное за организацию обработки персональных данных в Компании, назначается Генеральным директором Компании, получает указания непосредственно от Генерального директора Компании и подотчетно ему.
10.3. Лицо, ответственное за организацию обработки персональных данных в Компании, в частности, обязано:
а) осуществлять внутренний контроль за соблюдением Компанией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
б) доводить до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
в) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
10.4. Работники Компании, допущенные к персональным данным, виновные в нарушении норм, регулирующих обработку персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.