Главная | Политика конфиденциальности

Политика конфиденциальности

Политика обработки и защиты персональных данных субъектов персональных данных ООО «ЭЙС ДЕНТАЛ РУС»

Москва, 2025 год

1. Общие положения

1.1. Настоящая Политика общества с ограниченной ответственностью «ЭЙС ДЕНТАЛ РУС» (ИНН: 9709076990, ОГРН: 1217700635844) юридический адрес: 109544, г. Москва,вн.тер.г. Муниципальный округ Таганский, б-р Энтузиастов, д. 2, этаж/ком. 20/33-42, в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «ЭЙС ДЕНТАЛ РУС» (далее - Общество, ООО «ЭЙС ДЕНТАЛ РУС»).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Общества

2. Принципы обработки персональных данных

Обработка персональных данных осуществляется нами на основе следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе;

• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

• обработке подлежат только персональные данные, которые отвечают целям их обработки;

• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях – и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;

• хранение персональных данных осуществляется в форме, позволяющей определить пользователя или иного субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

• обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

3. Категории субъектов персональных данных

3.1. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Политикой, относятся:

• кандидаты для приема на работу в Общество;

• работники Общества;

• бывшие работники Общества;

• члены семей работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;

• клиенты и контрагенты Общества (физические лица, в том числе представители);

• иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.

4. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных.

4.1. Согласно Политике персональные данные обрабатываются в следующих целях:

• осуществление своей деятельности в соответствии с уставом ООО «ЭЙС ДЕНТАЛ РУС», в том числе заключение и исполнение договоров с контрагентами;

• исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования, оформление ДМС, страхования жизни, оформление виз для работников, предоставления услуг корпоративной связи, организация служебных командировок и поездок, выпуск и подключение банковских карт в рамках зарплатных проектов, использование кадрового электронного документооборота;

• создания общедоступных корпоративных источников персональных данных работников (в том числе справочники, адресные книги и др.);

• обработки и /или исполнения запроса, направленного Субъектом персональных данных посредством интерфейса сайтов https://kavostudy.ru/, https://www.kavobox.ru/, https://www.kavo.com/ru-ru, https://www.kavoportal.ru/, https://t.me/KaVoRussia_bot, в том числе посредством заполнения соответствующих форм на указанных сайтах, регистрации пользователей;

• предоставления Субъекту персональных данных информации о товарах и услугах Общества с учётом того, что предметом деятельности Общества и его аффилированных лиц является производство и реализация всех типов стоматологического оборудования, запасных частей к нему, расходных материалов к нему, продукции для стоматологических клиник и кабинетов;

• проведения социологических, маркетинговых и иных исследований подобного рода, в том числе для определения степени удовлетворённости потребителей товаров и услуг Общества качеством таких товаров и услуг;

• обработки возможных претензий в отношении товаров и услуг, предоставляемых Обществом или его аффилированными лицами;

• осуществление пропускного режима.

4.2. В соответствии с целями, указанными в п. 4.1 Политики, в Обществе обрабатываются следующие персональные данные:

4.2.1. Кандидаты для приема на работу в Общество - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

• фамилия, имя, отчество;

• пол;

• гражданство;

• дата и место рождения;

• контактные данные;

• сведения об образовании, опыте работы, квалификации;

• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

4.2.2. Работники и бывшие работники Общества - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе с использованием системы кадрового электронного документооборота, осуществления пропускного режима:

• фамилия, имя, отчество;

• пол, возраст;

• гражданство;

• дата и место рождения;

• изображение (фотография);

• паспортные данные;

• адрес регистрации по месту жительства;

• адрес фактического проживания;

• контактные данные;

• индивидуальный номер налогоплательщика;

• страховой номер индивидуального лицевого счета (СНИЛС);

• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

• семейное положение, наличие детей, родственные связи;

• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

• данные о регистрации брака;

• сведения о воинском учете;

• сведения об удержании алиментов;

• сведения о доходах в Обществе;

• сведения о доходе с предыдущего места работы;

• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.2.2.1. Работники Общества – для целей создания общедоступных корпоративных источников персональных данных (в том числе справочники, адресные книги и др.), с письменного согласия Субъекта персональных данных;

• фамилия, имя, отчество;

• дата рождения;

• занимаемая должность;

• сведения об образовании;

• адрес электронной почты;

• контактные данные;

• иные персональные данные, предоставляемые работниками.

4.2.3. Члены семьи работников Общества - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

• фамилия, имя, отчество;

• степень родства;

• год рождения;

4.2.4. Представители (работники) клиентов и контрагентов Общества (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом ООО «ЭЙС ДЕНТАЛ РУС», осуществления пропускного режима:

• фамилия, имя, отчество;

• паспортные данные;

• контактные данные;

• замещаемая должность;

• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

4.2.5. Клиенты и контрагенты Общества (физические лица) – для целей осуществления своей деятельности в соответствии с уставом Общества, в том числе для заключения и исполнение договоров с контрагентами, предоставления Субъекту персональных данныхинформации о товарах и услугах, проведения социологических, маркетинговых и иных исследований подобного рода, в том числе для определения степени удовлетворённости потребителей товаров и услуг Общества качеством таких товаров и услуг, обработки возможных претензий в отношении товаров и услуг, предоставляемых Обществом:

• фамилия, имя, отчество;

• адрес электронной почты;

• мобильный телефон;

• замещаемая должность;

• место работы;

• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

4.2.6. Персональные данные Субъектов персональных данных, указанных в пп. 4.2.1. - 4.2.5. хранятся по месту нахождения Оператора персональных данных в защищенных шкафах, в базах данных информационных систем персональных данных.

4.2.7. Клиенты и контрагенты Общества (физические лица) - для целей обработки и /или исполнения запросов, направленных Субъектом персональных данных посредством интерфейса сайтов https://kavostudy.ru/, https://www.kavobox.ru/, https://www.kavo.com/ru-ru, https://www.kavoportal.ru/, https://t.me/KaVoRussia_bot, в том числе посредством заполнения соответствующих форм на указанных сайтах, а также для регистрации пользователей:

• фамилия, имя, отчество;

• адрес электронной почты;

• мобильный телефон;

• замещаемая должность;

• место работы;

• IP и cookie-файлы;

4.2.7.1. Хранение персональных данных, полученных от Субъекта персональных данных через форму интерфейса сайта https://kavostudy.ru/, осуществляется на серверах российского хостинга https://sprinthost.ru/, расположенные на территории Российской Федерации;

4.2.7.2. Хранение персональных данных, полученных от Субъекта персональных данных через форму интерфейса сайта https://www.kavobox.ru/, осуществляется на серверах российского хостинга https://sprinthost.ru/, расположенные на территории Российской Федерации;

4.2.7.3. Хранение персональных данных, полученных от Субъекта персональных данных через форму интерфейса сайта https://www.kavo.com/ru-ru, производится путем перенаправления персональных данных на электронную почту сотрудника @kavo.com и выгрузки данных на персональный компьютер сотрудника, допущенного к обработке персональных данных.

4.2.7.4. Хранение персональных данных, полученных от Субъекта персональных данных через форму интерфейса сайта https://www.kavoportal.ru/, осуществляется на серверах российского хостинга https://timeweb.com/, расположенные на территории Российской Федерации.

4.2.7.5. Хранение персональных данных, полученных от Субъекта персональных данных через форму интерфейса https://t.me/KaVoRussia_bot, осуществляется на серверах https://sambot.ru/, расположенные на территории Российской Федерации.

4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.4. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, о состоянии здоровья, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных

5.1. До начала обработки персональных данных Общество обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

5.2. Правовым основанием обработки персональных данных являются Конституция РФ, Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Гражданский кодекс РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».

5.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политикой.

5.4. Обработка персональных данных в Обществе выполняется следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка персональных данных.

5.5. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

5.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

5.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

5.5.3. Согласие работника на обработку персональных данных не требуется в следующих случаях:

• обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

• обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве

• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;

• иных предусмотренных законом случаях.

5.6. Общество может осуществлять трансграничную передачу персональных данных в случаях, предусмотренных законодательством Российской Федерации, договорами с иностранными Обществами, в том числе в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных.

5.6.1. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

• предусмотренных международными договорами Российской Федерации;

• предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

• исполнения договора, стороной которого является субъект персональных данных;

• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

5.6.2. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных (такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных).

5.7. Обработка персональных данных осуществляется путем:

• сбора;

• записи;

• систематизации;

• накопления;

• хранения;

• уточнения (обновления, изменения);

• извлечения;

• использования;

• обезличивания;

• блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники;

• трансграничной передачи персональных данных.

5.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:

• получения оригиналов документов либо их копий;

• копирования оригиналов документов;

• внесения сведений в учетные формы на бумажных и электронных носителях;

• создания документов, содержащих персональные данные, на бумажных и электронных носителях;

• внесения персональных данных в информационные системы персональных данных.

5.7.2. В Обществе используются следующие информационные системы:

• корпоративная электронная почта;

• система электронного документооборота;

• система поддержки рабочего места пользователя;

• система нормативно-справочной информации;

• система управления персоналом;

• система контроля за удаленным доступом;

• информационный портал.

5.8. В соответствии со ст. 86 Трудового кодекса РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных работника выполняют следующие общие требования:

• обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

• при определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;

• при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

• защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;

• все персональные данные работника получает работодатель у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник уведомляется об этом заранее и от него должно быть получено письменноесогласие. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

• работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФили иными федеральными законами.

5.9. В случае изменения персональных данных Субъекта персональных данных: фамилия, имя, отечество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в Компанию в течение 5 рабочих дней с даты их изменений.

5.10. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Политикой.

6. Доступ к персональным данным субъектов персональных данных

6.1. Право доступа к персональным данным работников имеют:

• Генеральный директор Общества;

• Сотрудники административного отдела;

• Сотрудники финансового отдела;

• Сотрудники отдела маркетинга;

• Сотрудники отдела персонала.

6.2. Субъект персональных данных имеет право:

6.2.1. Получать доступ к своим персональным данным и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

6.2.2. Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

6.2.3. Получать от Общества:

• Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

• Перечень обрабатываемых персональных данных и источник их получения;

• Сроки обработки персональных данных, в том числе сроки их хранения;

• Сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных.

6.2.4. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключения, исправлениях или дополнениях.

6.2.5. Обжаловать неправомерные действия или бездействие Общества при обработке и защите персональных данных.

6.3. Копировать и делать выписки персональных данных Общества разрешается исключительно в служебных целях с письменного разрешения Генерального директора.

6.4. Передача информации третьей стороне возможна только при письменном согласии Субъекта персональных данных.

6.5. Генеральный директор Общества (уполномоченное им лицо) приказом назначает ответственного за организацию обработки и защиты персональных данных в Обществе.

6.6. Ответственный за организацию обработки и защиты персональных данных:

• Осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

• Доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

• Осуществляет контроль и организовывает работу по приему и обработке обращений и запросов субъектов персональных данных.

7. Сроки обработки и хранения персональных данных

7.1. Обработка персональных данных в Обществе прекращается в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;

• при достижении целей их обработки (за некоторыми исключениями);

• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;

• при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

7.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

7.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).

7.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

8. Порядок блокирования и уничтожения персональных данных

8.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

8.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10рабочих дней с даты выявления факта неправомерной обработки.

8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

8.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.

8.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.

8.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

8.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

8.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 8.4, 8.5, 8.6 Политики, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:

• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;

• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.

8.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

8.8.5. Уничтожение персональных данных, не указанных в п. 8.8.3 Политики, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.

9. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

9.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

9.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.

9.2. С целью защиты персональных данных в Обществе приказами генерального директора назначаются (утверждаются):

• работник, ответственный за организацию обработки персональных данных;

• перечень лиц, имеющих доступ к персональным данным субъектов персональных данных, в том числе обрабатываемым в информационной системе

• помещения, в которых ведется обработка персональных данных и порядок доступа к ним;

• форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, форма согласия на трансграничную передачу персональных данных;

• порядок проведения внутренних расследований, проверок;

• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

9.2.1. К мерам обеспечения безопасности персональных данных в Обществе в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» относятся, в том числе, следующие:

• учет обрабатываемых в Обществе категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;

• учет машинных носителей персональных данных и информационных систем Общества, в которых обрабатываются персональные данные;

• определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Общества;

• определение угроз безопасности персональных данных при их обработке в информационных системах;

• использование серверов с ограниченным доступом;

• определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных технических и организационных мер, обеспечивающих защиту персональных данных;

• осуществление и документирование оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер;

• установление правил доступа к персональным данным, обрабатываемым в информационных системах;

• обнаружение фактов несанкционированного доступа к персональным данным и других инцидентов, принятие мер по ликвидации последствий;

• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• учет должностей работников Общества, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей.

9.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

9.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.

9.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.

9.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

9.7. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

9.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

9.9. В Обществе проводятся внутренние расследования в следующих ситуациях:

• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;

• в иных случаях, предусмотренных законодательством в области персональных данных.

9.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

• за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;

• соответствием указанных актов требованиям законодательства в области персональных данных.

Внутренний контроль проходит в виде внутренних проверок.

9.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.

9.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

9.10.3. По итогам внутренней проверки оформляется докладная записка на имя генерального директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.

9.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

9.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:

• об инциденте;

• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

• принятых мерах по устранению последствий инцидента;

• представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

При направлении уведомления нужно руководствоваться Порядком и условиямивзаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.

9.11.2. В течение 72 часов Общество обязано сделать следующее:

• уведомить Роскомнадзор о результатах внутреннего расследования;

• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.

9.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

9.13. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

9.13.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 9.13 Политики.

9.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

10. Ответственность за нарушение норм, регулирующих обработку персональных данных

10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.