ПОЛИТИКА обработки и защиты персональных данных в ООО «НЕКСУС»

1.1. Персональные данные — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
1.2. Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящем документе под оператором понимается ООО «НЕКСУС»
1.3. Обработка персональных данных — Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
1.4. Автоматизированная обработка персональных данных — Обработка персональных данных с помощью средств вычислительной техники
1.5. Распространение персональных данных — Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
1.6. Предоставление персональных данных — Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
1.7. Блокирование персональных данных — Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
1.8. Уничтожение персональных данных — Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
1.9. Обезличивание персональных данных — Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
1.10. Конфиденциальность персональных данных — Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
1.11. Общедоступные персональные данные — Персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности
1.12. Информационная система персональных данных — Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
1.13. Работник — Физическое лицо, вступившее в трудовые отношения с работодателем
1.14. Работодатель — Физическое или юридическое лицо (организация), вступившее в трудовые отношения с работником. В настоящем документе под работодателем понимается ООО «НЕКСУС»
1.15. Трудовые отношения — Отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной должности, специальности, квалификации), подчинении работника правилам внутреннего трудового распорядка при обеспечении условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором
1.16. Третьи лица — Любые физические лица, не являющиеся работниками Общества, а также юридические лица, органы государственной власти и органы местного самоуправления, органы судебной власти
1.17. В Политике используются следующие сокращения:

• Политика — Политика обработки и защиты персональных данных
• Общество — ООО «НЕКСУС»
• Работник — Работник ООО «НЕКСУС»
• ИСПДн — Информационная система персональных данных

Иные термины, не указанные в настоящем разделе, понимаются в соответствии с законодательством Российской Федерации и организационно-распорядительными документами Общества.

2.1. Политика обработки и защиты персональных данных в ООО «НЕКСУС»" ИНН 6 602 013 872 (далее — Политика), определяет основные принципы, цели, условия и способы обработки персональных данных, перечень обрабатываемых в ООО «НЕКСУС»" (далее — Общество) персональных данных, а также права, обязанности и ответственность работников Общества (далее — работник), а также третьих лиц.
2.2. Общество публикует Политику в свободном доступе, размещая ее на своем официальном сайте в сети «Интернет» по адресу: nexus-research.ru.
2.3. Политика подлежит применению в отношении тех персональных данных, для которых Общество является оператором — персональные данные работников, а также третьих лиц.
2.4. Обработка персональных данных Оператором осуществляется на основании:
● Конституции Российской Федерации;
● пунктов 1, 2, 3, 3.1., 5, 7, 8, 9, 11 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее —   Федеральный закон № 152-ФЗ);
● Постановления Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
● Постановления Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
● Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
● иного законодательства, (трудового, семейного, гражданского, административного, процессуального, налогового, законодательства, регулирующего оперативно-розыскную деятельность и деятельность правоохранительных органов, и т. д.);
● Устава Общества;
● заключенных Обществом трудовых и гражданско-правовых договоров;
● согласий физических лиц на обработку их персональных данных.
2.5. Для реализации целей Общества обработка персональных данных может быть поручена третьим лицам, с которыми у Общества заключен договор на оказание соответствующих услуг.
Общество и соответствующее лицо, которое по поручению Общества осуществляет обработку персональных данных, далее именуется оператор.
2.6. Обработка персональных данных осуществляется с применением баз данных, находящихся на территории Российской Федерации, в месте нахождения Оператора.
2.7. Трансграничная передача персональных данных не производится.
2.8. Общество не осуществляет обработку биометрических персональных данных.

3.1. Перечень категорий персональных данных, обрабатываемых Оператором, перечень субъектов персональных данных, условия обработки персональных данных содержится в Приложении к Политике.
3.2. Персональные данные в Обществе обрабатываются в целях:
● осуществления Обществом своей деятельности в рамках установленной гражданским законодательством правоспособности, в т. ч. при реализации гражданско-правовых договоров и иных норм гражданского права;
● реализации прав и законных интересов работников Общества, в т. ч. по заключенным работниками гражданско-правовых договоров;
● обеспечения соблюдения трудового законодательства РФ;
● ведения кадрового и бухгалтерского учета;
● организации пропускного и внутриобъектового режимов;
● обеспечения соблюдения законодательства в сфере образования;
● составления внутренних телефонных справочников;
● осуществления хозяйственной и финансово-бухгалтерской деятельности Общества;
● реализации налогового законодательства, законодательства в сфере пенсионного страхования, обязательного социального страхования, обязательного медицинского страхования;
● ведения воинского учета работников;
● обеспечения соблюдения законодательства РФ об исполнительном производстве;
● взаимодействия с органами государственной власти, местного самоуправления, судебной власти;
● обеспечения прохождения ознакомительной, производственной, преддипломной практики на основании договора с учебным заведением;
● участия в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
● проведение исследовательских работ;
● подбора персонала (соискателей) на вакантные должности оператора;
● обеспечения работы сайта.
Перечень целей и категории персональных данных, обрабатываемых в Обществе представлен в Приложении № 1 к настоящей Политике.

4.1. Обработка персональных данных в Обществе осуществляется на основе принципов:
● обработка персональных данных должна осуществляться на законной и справедливой основе.
● обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
● не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
● обработке подлежат только персональные данные, которые отвечают целям их обработки.
● содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
● при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
● хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Условия обработки персональных данных в Обществе:
● обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных действующим законодательством;
● обработка персональных данных производится после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
● доступ к персональным данным имеют работники Общества, которым это необходимо для исполнения должностных обязанностей. Перечень должностей работников, которым необходим доступ к персональным данным для выполнения служебных обязанностей утверждается приказом директора Общества;
● осуществляется разграничение доступа в помещения, в которых обрабатываются персональные данные;
● для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

В связи с обработкой оператором персональных данных оператор исполняет предусмотренные действующим законодательством обязанности, в частности:
5.1. предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
5.2. если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.3. если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
5) источник получения персональных данных.
5.4. Оператор освобождается от обязанности предоставить субъекту персональных данных перечисленные сведения в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федеральным законом № 152-ФЗ;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных перечисленных сведений, нарушает права и законные интересы третьих лиц.
5.5. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим законодательством.
5.6. оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152 -ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством;
5.7. оператор обязан сообщить в установленном действующим законодательство порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, либо предоставить в тот же срок письменный мотивированный отказ;
5.8. оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
5.9. в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения и уведомить субъекта персональных данных или его представителя о внесенных изменениях;
5.10. в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные и уведомить субъекта персональных данных или его представителя о произведенных действиях;
5.11. оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
5.12. оператор при наличии предусмотренных Федеральным законом № 152 — ФЗ основаниях до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;
5.13. оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
5.14. оператор обязан исполнять иные обязанности, предусмотренные действующим законодательством.

Права Общеcтва в качестве оператора персональных данных:
● принимать локальные нормативные акты в развитие настоящей Политики;
● предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
● отказывать в предоставлении персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
● привлекать к дисциплинарной ответственности работников Общества, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

Субъект персональных данных имеет право:
● получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
● осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать на основании письменного запроса копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
● требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона «О персональных данных»; при отказе исключить или исправить персональные данные субъект вправе заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера субъект вправе дополнить заявлением, выражающим его собственную точку зрения;
● требовать от Общества или уполномоченных им лиц уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
● обжаловать в суде любые неправомерные действия или бездействие при обработке и защите своих персональных данных;
● вносить предложения по мерам защиты персональных данных.
Субъект персональных данных направляет запросы в адрес Общества в соответствии с формами, представленными в приложениях 2, 3, 4 и 5 к настоящей Политике.

8.1. Способы обработки персональных данных: смешанная, с передачей по внутренней сети, с передачей по сети Интернет. Передача персональных данных, полученных через сайт автоматизированная, без передачи по локальной сети, с передачей по сети Интернет.
8.2. Мероприятия по обработке персональных данных организуются и выполняются в Обществе самостоятельно, если для отдельных мероприятий не оговорено иное.
8.3. Источником информации обо всех персональных данных работника или третьего лица является непосредственно работник или третье лицо соответственно.
8.4. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работник должен быть уведомлен о подлежащих получению персональных данных, целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
8.5. Обработка персональных данных работников и третьих лиц может осуществляться:
8.5.1. при наличии письменного согласия работников и третьих лиц;
8.5.2. без получения согласия работников и третьих лиц в следующих случаях:
● обработка персональных данных необходима для исполнения договора
(в том числе трудового договора), стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
● обработка персональных данных осуществляется на основании требований действующего законодательства;
● обработка персональных данных осуществляется для статистических или иных научных целей, при условии обязательного обезличивания персональных данных;
● обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;
● персональные данные являются общедоступными;
● по требованию полномочных государственных органов — в случаях, предусмотренных законодательством;
● в иных, предусмотренных законодательством, случаях.
8.6. Письменное согласие работника или третьего лица на обработку своих персональных данных должно включать в себя:
● фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
● наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
● цель обработки персональных данных;
● перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
● наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
● перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
● срок, в течение которого действует согласие, а также порядок его отзыва;
● подпись субъекта персональных данных и дата предоставления согласия.
8.7. Работник или третье лицо представляет в Общество достоверные сведения о себе. Ответственность за обеспечение достоверности сведений возлагается на работника или третье лицо соответственно.
8.8. При обработке персональных данных должны соблюдаться следующие общие требования:
● при определении объема и содержания обрабатываемых персональных данных Общество руководствуется законодательством Российской Федерации, целями обработки персональных данных, интересами субъектов обработки персональных данных;
● при принятии решений, затрагивающих интересы работника/третьего лица, Общество не вправе основываться на сведениях, полученных исключительно в результате автоматизированной обработки персональных данных работника;
● персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях;
● Обществом обеспечивается защита обрабатываемых персональных данных от их неправомерного использования, утраты;
● работники должны быть ознакомлены под подпись с организационно-распорядительными документами Общества, устанавливающими порядок обработки и обеспечения безопасности персональных данных, а также об их правах и обязанностях в этой области.
8.9. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

8.10. Обработка обращений субъектов персональных данных или уполномоченного органа по защите прав субъектов персональных данных осуществляется следующим образом:
1. Запрос субъекта персональных данных или его представителя
1.1. Наличие ПДн

• Подтверждение обработки ПДн — 10−15 рабочих дней (согласно п. 1 ст. 20 152-ФЗ) — Подтверждение обработки ПДн
• Отказ подтверждения обработки — 10−15 рабочих дней — Уведомление об отказе подтверждения обработки

1.2. Ознакомление с ПДн

• Предоставление информации по ПДн — 10−15 рабочих дней (согласно п. 1 ст. 20 152-ФЗ):

1. Подтверждение обработки ПДн, правовые основания и цели обработки
2. Способы обработки ПДн
3. Перечень обрабатываемых ПДн и источник их получения
4. Сроки обработки ПДн, в том числе сроки их хранения
5. Информация об осуществленной или о предполагаемой трансграничной передаче

• Отказ предоставления информации по ПДн — 10−15 рабочих дней (согласно п. 2 ст. 20 152-ФЗ) — Уведомление об отказе предоставления информации по ПДн

1.3. Уточнение ПДн

• Изменение ПДн — 7 рабочих дней со дня предоставления уточняющих сведений (согласно п. 3 ст. 20 152-ФЗ) — Уведомление о внесенных изменениях
• Отказ изменения ПДн — 7 рабочих дней — Уведомление об отказе предоставления изменения ПДн

1.4. Уничтожение ПДн

• Уничтожение ПДн — 7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно п. 3 ст. 20 152-ФЗ) — Уведомление об уничтожении
• Отказ уничтожения ПДн — 7 рабочих дней — Уведомление об отказе уничтожения ПДн

1.5. Отзыв согласия на обработку ПДн

• Прекращение обработки и уничтожение ПДн — 30 рабочих дней (согласно п. 5 ст. 21 152-ФЗ) — Уведомление о прекращении обработки и уничтожении ПДн
• Отказ прекращения обработки и уничтожения ПДн — 30 рабочих дней — Уведомление об отказе прекращения обработки и уничтожения ПДн

1.6. Недостоверность ПДн субъекта

• Блокировка ПДн — С момента обращения о недостоверности или с момента получения запроса на период проверки (согласно п. 1 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Изменение ПДн — 7 рабочих дней со дня предоставления уточненных данных (согласно п. 2 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Снятие блокировки ПДн — 7 рабочих дней со дня предоставления уточненных данных (согласно п. 2 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Отказ изменения ПДн — 7 рабочих дней — Уведомление об отказе изменения ПДн

1.7. Неправомерность действий с ПДн субъекта

• Прекращение неправомерной обработки ПДн — 3 рабочих дня (согласно п. 3 ст. 21 152-ФЗ) — Уведомление об устранении нарушений
• Уничтожение ПДн в случае невозможности обеспечения правомерности обработки — 10 рабочих дней (согласно п. 3 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн

1.8. Достижение целей обработки

• Прекращение обработки ПДн — 30 дней с даты достижения цели (согласно п. 4 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн
• Уничтожение ПДн — 30 дней с даты достижения цели (согласно п. 4 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн

2. Запрос уполномоченного органа по защите прав субъектов персональных данных
2.1. Информация для обеспечения деятельности уполномоченного органа

• Предоставление затребованной информации по ПДн — 10−15 рабочих дней (согласно п. 4 ст. 20 152-ФЗ) — Предоставление затребованной информации по ПДн

2.2. Недостоверность ПДн субъекта

• Блокировка ПДн — С момента обращения уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно п. 1 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Изменение ПДн — 7 рабочих дней со дня предоставления уточненных данных (согласно п. 2 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Снятие блокировки ПДн — 7 рабочих дней со дня предоставления уточненных данных (согласно п. 2 ст. 21 152-ФЗ) — Уведомление о внесенных изменениях
• Отказ изменения ПДн — 7 рабочих дней — Уведомление об отказе изменения ПДн

2.3. Неправомерность действий с ПДн субъекта

• Прекращение неправомерной обработки ПДн — 3 рабочих дня (согласно п. 3 ст. 21 152-ФЗ) — Уведомление об устранении нарушений
• Уничтожение ПДн в случае невозможности правомерной обработки — 10 рабочих дней (согласно п. 3 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн

2.4. Достижение целей обработки ПДн субъекта

• Блокировка ПДн — 30 дней с даты достижения цели (согласно п. 4 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн
• Уничтожение ПДн — 30 дней с даты достижения цели (согласно п. 4 ст. 21 152-ФЗ) — Уведомление об уничтожении ПДн

8.11. Хранение персональных данных осуществляется в порядке, защищающем их от несанкционированного доступа, от их утраты или неправомерного использования.

9.1. Передача (предоставление, доступ) третьим лицам персональных данных субъектов персональных данных осуществляется в случаях:

• в связи с исполнением Обществом заключенных гражданско-правовых договоров;
• в связи с оказанием третьим лицом Обществу услуг по обработке персональных данных;
• получения указания субъекта персональных данных на предоставление персональных данных третьим лицам;
• исполнения договора, стороной или выгодоприобретателем, по которому является субъект персональных данных;
• в связи с участием в судопроизводстве;
• в целях реализации требований действующего законодательства;
• в целях сбора статистических сведений о работе сайта и его посетителях.

На сайте Общества обрабатываются технические данные: файлов cookie, сведений о ip-адресе, и, в зависимости от характеристик и настроек браузера, иных технических данных (сведений о местоположении, типе устройства, времени посещения страницы, сведений о ресурсах сети Интернет, с которых были совершены переходы на сайт Общества, сведения о действиях пользователя на сайте) с использованием автоматической метрической системы для сбора и анализа информации Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», (119 021, Россия, Москва, ул. Л. Толстого, 16; ИНН 7 736 207 543; ОГРН 1 027 700 229 193).
Данная информация не позволяет непосредственно идентифицировать личность и используется для правильного функционирования сайта, а также продвижения услуг в сети Интернет, в т. ч. путем информирования посетителей о новостях и предложениях Общества, статистических исследований и обзоров.
Для осуществления деятельности Общества в рамках установленной гражданским законодательством правоспособности, в т. ч. при реализации гражданско-правовых договоров и иных норм гражданского права реализована форма обратной связи с пользователями сайта.
При заполнении формы обратной связи пользователь добровольно предоставляет свои персональные данные (ФИО, контактные данные (номер телефона, адрес электронной почты)) на обработку.

10.1 При обработке персональных данных Оператор принимает необходимые и достаточные предусмотренные действующим законодательством правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в т. ч.:
10.1.1. в соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
10.1.2. подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
10.1.3. подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
10.1.4. подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
10.2. основными мерами защиты персональных данных, используемыми Оператором, являются:
10.2.1. назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
10.2.2. определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.
10.2.3. разработка политики в отношении обработки персональных данных.
10.2.4. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационных системах персональных данных.
10.2.5. установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
10.2.6. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
10.2.7. сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
10.2.8. соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
10.2.9. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
10.2.10. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.2.11. обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
10.2.12. осуществление внутреннего контроля и аудита;
10.2.13. назначено лицо, ответственное за организацию обработки персональных данных.
10.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.4. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем или иных необходимых документов обязано уточнить персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и прекращает блокирование персональных данных.
10.5. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий семи рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества.
10.6. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий семи рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.7. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

Должностные лица, имеющие доступ к персональным данным, несут персональную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.
Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации не допускается.
Работники Общества несут персональную ответственность за сохранность носителей и обеспечение конфиденциальности персональных данных, ставших им известными в ходе исполнения служебных обязанностей, в том числе после окончания работы в Обществе.

Неисполнение или ненадлежащее исполнение работником возложенных на него обязанностей по соблюдению установленного порядка и правил обработки персональных данных (в том числе утрата документов, содержащих персональные данные, либо незаконное использование, получение и разглашение таких сведений) влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.