Сохранить
Печать
Политика
Общества с ограниченной ответственностью «Центр бухгалтерского сопровождения»
в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») Общества с ограниченной ответственностью «Центр бухгалтерского сопровождения» (далее – «Компания») определяет цели, задачи, принципы обработки персональных данных в Компании.
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», и другими действующими нормативно-правовыми актами Российской Федерации. Издаваемые Компанией внутренние нормативные документы, регламентирующие отдельные процессы обработки персональных данных, должны соответствовать настоящей Политике.
1.3. Настоящая Политика является общедоступным документом, доступна для ознакомления в офисе Компании по месту ее нахождения (108811, г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, д. 4 стр. 5, блок Е этаж 9, офис 923е), а также подлежит публикации на принадлежащем Компании сайте в информационно-телекоммуникационной сети Интернет, доступном по адресу https://cbu-online.ru/.
1.4. Основной целью разработки настоящей Политики является предоставление любому заинтересованному лицу информации об основных принципах, целях, правовых основаниях, порядке и условиях обработки Компанией персональных данных, а также реализуемых мерах к их защите.
1.5. Основными задачами настоящей Политики является реализация требований действующего законодательства Российской Федерации в области персональных данных, обеспечение защиты прав и свобод субъектов персональных данных при обработке Компанией их персональных данных.
1.6. Положения настоящей Политики распространяются на отношения, связанные с обработкой персональных данных, осуществляемой Компанией с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
1.7. Все работники Компании должны быть ознакомлены под подпись с настоящей Политикой и изменениями к ней. Положения Политики обязательны для соблюдения всеми работниками Компании.
2. Термины и определения
2.1. В Политике используются следующие термины и определения:
2.1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.1.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.1.3. Закон о персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2.1.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.5. Конфиденциальность персональных данных – режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицами и не допускать распространение персональных данных без согласия субъекта персональных данных или наличия иного основания согласно действующему законодательству Российской Федерации.
2.1.6. Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и тому подобное.
2.1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.8. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.9. Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.10. Компания – Общество с ограниченной ответственностью «Центр бухгалтерского сопровождения» (ОГРН 1197746118426, ИНН 7751156773, КПП 775101001, адрес: 108811, г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, д. 4 стр. 5, блок Е этаж 9, офис 923е), являющееся в контексте настоящей Политики Оператором персональных данных.
2.1.11. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.12. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.13. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.14. Сайт – совокупность информационных и графических материалов, программ для электронно-вычислительных машин и баз данных, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети Интернет.
2.1.15. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяется с помощью персональных данных.
2.1.16. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.1.17. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.18. «Cookie» – технические файлы со служебной информацией (IP-адрес и другие сведения об используемом Субъектом персональных данных устройстве (персональный компьютер, смартфон и т.д.) при посещении Сайта), необходимые для корректной работы Сайта, удобства его использования и сбора аналитики, передаваемые Сайтом на используемое Субъектом персональных данных устройство и периодически запрашиваемые и обновляемые Сайтом при условии наличия соответствующих разрешений в используемом субъектом персональных данных веб-браузере.
2.2. Иные термины используются в соответствии с их определениями, установленными Законом о персональных данных и иными законами Российской Федерации.
3. Правовые основания обработки персональных данных
3.1. Компания осуществляет обработку персональных данных на основании и в соответствии с:
3.1.1. Конституцией Российской Федерации;
3.1.2. Гражданским кодексом Российской Федерации;
3.1.3. Налоговым кодексом Российской Федерации;
3.1.4. Трудовым кодексом Российской Федерации;
3.1.5. Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.6. Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
3.1.7. Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
3.1.8. Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
3.1.9. Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
3.1.10. Федеральным законом от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»;
3.1.11. Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
3.1.12. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3.1.13. Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
3.1.14. Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
3.1.15. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
3.1.16. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
3.1.17. Приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
3.1.18. Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
3.1.19. уставом Компании;
3.1.20. настоящей Политикой и иными внутренними документами Компании, регламентирующими обработку персональных данных;
3.1.21. договорами, заключаемыми Компанией с субъектами персональных данных;
3.1.22. согласиями субъектов персональных данных на обработку их персональных данных.
3.2. Компания также вправе осуществлять обработку персональных данных в следующих случаях:
3.2.1. обработка персональных данных необходима для исполнения договора с Компанией, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также в целях заключения Компанией договора с субъектом персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3.2.2. обработка персональных данных необходима для исполнения договора между Компанией и контрагентами (организациями и индивидуальными предпринимателями), которые поручают Компании обработку персональных данных с согласия субъектов персональных данных;
3.2.3. обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.2.4. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с действующим законодательством Российской Федерации об исполнительном производстве;
3.2.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получения согласия субъекта персональных данных невозможно;
3.2.6. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством Российской Федерации;
3.2.7. в иных случаях, допустимых в соответствии с действующим законодательством Российской Федерации о персональных данных.
4. Цели обработки персональных данных и категории обрабатываемых персональных данных
4.1. Список целей обработки персональных данных, соответствующие им категории субъектов и перечни обрабатываемых персональных данных, а также способы и сроки их обработки и хранения указаны в Приложении № 1 к настоящей Политике.
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Компанией не осуществляется.
4.3. Компания вправе осуществлять обработку сведений о состоянии здоровья субъектов персональных данных только в случаях, прямо предусмотренных трудовым и пенсионным законодательством Российской Федерации, а также законодательством об обязательных видах страхования.
5. Принципы, условия и порядок обработки персональных данных
5.1. Обработка персональных данных осуществляется Компанией в соответствии со следующими принципами:
5.1.1. законности и справедливости оснований для обработки персональных данных, а также целей и способов обработки персональных данных;
5.1.2. соответствия обработки персональных данных конкретизированным и заранее определенным законным целям;
5.1.3. соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;
5.1.4. обеспечения точности, достоверности, достаточности и, в необходимых случаях, актуальности персональных данных по отношению к целям их обработки, недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;
5.1.5. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.2. Обработка персональных данных осуществляется Компанией с использованием средств автоматизации и без использования таких средств путем совершения следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление, уничтожение персональных данных.
5.3. Хранение персональных данных в Компании осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации обеспечивается Компанией с использованием баз данных, находящихся на территории Российской Федерации.
5.5. Обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов федеральных органов исполнительной власти, касающихся защиты информации.
5.6. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.7. Компания информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации (в том числе работников Компании или лиц, осуществляющих такую обработку по поручению Компании на основании договора), о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Компании.
5.8. При определении сроков хранения персональных данных Компания исходит из срока, установленного в согласии на обработку персональных данных, а также положений:
5.8.1. гражданского законодательства;
5.8.2. законодательства о бухгалтерском учете;
5.8.3. налогового законодательства;
5.8.4. трудового законодательства;
5.8.5. законодательства в сфере противодействия отмыванию денег и финансированию терроризма;
5.8.6. иных нормативно-правовых актов.
5.9. В случае если в согласии субъекта на обработку персональных данных указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение персональных данных осуществляется в соответствии с согласием субъекта персональных данных в течение указанного в нем срока.
5.10. В случае решения субъекта персональных данных об отзыве согласия на обработку его персональных данных, в Компанию направляется соответствующее заявление, содержащее фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, почтовый адрес или адрес электронной почты), а также перечень персональных данных, обработка которых подлежит прекращению. В случае, если субъект персональных данных не указал в отзыве согласия на обработку его персональных данных в явном виде перечень персональных данных, обработка которых подлежит прекращению, Компания считает, что согласие отозвано для всех категорий персональных данных.
5.11. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
5.12. Получение и обработка персональных данных в случаях, предусмотренных Законом о персональных данных, осуществляется Компанией с письменного согласия субъекта персональных данных (если иное не установлено законом). Письменное согласие субъекта персональных данных оформляется на бумажном носителе с собственноручной подписью субъекта персональных данных. Равнозначным указанному документу на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» электронной подписью субъекта персональных данных.
5.13. Согласие на обработку персональных данных может быть дано субъектом персональных данных (здесь и далее – а равно представителем субъекта персональных данных) в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
5.14. Если в соответствии с федеральным законом предоставление персональных данных и/или получение Компанией согласия на обработку персональных данных являются обязательными, Компания в рамках своей деятельности разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и/или дать согласие на их обработку.
5.15. Персональные данные субъекта персональных данных могут быть получены Компанией от лица, не являющегося субъектом персональных данных, при условии предоставления Компании подтверждения наличия у такого лица согласия субъекта персональных данных на обработку его персональных данных или наличия оснований, указанных в части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
5.16. В случаях, когда персональные данные получены не от субъекта персональных данных, Компания, за исключением случаев, предусмотренных частью 4 статьи 18 Закона о персональных данных, до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
5.16.1. наименование и адрес Компании или ее представителя;
5.16.2. цель обработки персональных данных и ее правовое основание;
5.16.3. перечень персональных данных;
5.16.4. предполагаемые пользователи персональных данных;
5.16.5. установленные настоящим Законом о персональных данных права субъекта персональных данных;
5.16.6. источник получения персональных данных.
5.17. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Компании в соответствии с их должностными обязанностями. Перечень работников Компании, доступ которых к персональных данным необходим для выполнения ими трудовых обязанностей, устанавливается приказом генерального директора Компании.
5.18. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Компанией в соответствии с требованиями действующего законодательства Российской Федерации. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
5.19. В случае обращения субъекта персональных данных с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, Компания обязана прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с даты получения требования субъекта персональных данных.
5.20. Персональные данные, не используемые в деятельности Компании и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.
5.21. Создание фото- и видеоизображений в помещениях Компании и на прилегающей территории может производиться Компанией с целью контроля соблюдения законности совершаемых операций и действий, предотвращения противоправных действий, контроля качества и количества выполняемой работы, обеспечения безопасности работников и сохранности имущества.
5.22. Компания не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных, или при условии наличия согласия в письменной форме субъекта персональных данных.
5.23. Обработка персональных данных в составе «Cookie» осуществляется Компанией в целях обеспечения правильной работы Сайта и повышения удобства его использования субъектом персональных данных (аутентификация, хранение персональных предпочтений и пользовательских настроек, отслеживания состояния сеанса доступа пользователя), а также сбора статистической информации о посетителях Сайта. В случае, если субъект персональных данных не согласен с обработкой Сайтом файлов «Cookie», он должен покинуть Сайт или отключить использование файлов «Cookie» в настройках веб-браузера, при этом некоторые функции Сайта могут стать недоступны.
6. Сведения о реализуемых мерах по обеспечению безопасности персональных данных при их обработке
6.1. Компанией применяются правовые, организационные и технические меры по обеспечению конфиденциальности персональных данных и их безопасности при обработке Компанией, включая:
6.1.1. назначение лица, ответственного за организацию обработки персональных данных в Компании;
6.1.2. назначение лица, ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных;
6.1.3. разработку локальных актов Компании по вопросам обработки персональных данных;
6.1.4. ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, содержащими требования к защите персональных данных, настоящей Политикой, иными локальными актами Компании по вопросам обработки персональных данных;
6.1.5. ограничение перечня работников Компании, имеющих доступ к персональным данным;
6.1.6. обеспечение применения работниками Компании паролей при осуществлении доступа в информационные системы персональных данных Компании, а также при использовании электронных носителей персональных данных;
6.1.7. организацию хранения материальных носителей персональных данных в запирающихся шкафах (сейфах), размещаемых в запираемых помещениях офиса Компании;
6.1.8. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
6.1.9. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.10. установление правил доступа к персональным данным в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
6.1.11. осуществления контроля за принимаемыми Компанией мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.2. При обработке персональных данных в информационных системах персональных данных Компанией обеспечивается:
6.2.1. разграничение доступа работников Компании к информационным системам персональных данных и отдельным разделам таких систем средствами групповых политик Microsoft Windows, компонентами системы безопасности Windows (ACL, DACL), а также средствами 1С через механизмы защиты (роли пользователя, профили групп);
6.2.2. идентификация и аутентификация пользователей информационной системы персональных данных с использованием парольной политики;
6.2.3. разграничение прав доступа, аудит и регистрация действий;
6.2.4. использование антивирусного программного обеспечения с регулярно обновляемыми базами;
6.2.5. использование аппаратного межсетевого экрана;
6.2.6. резервное копирование данных;
6.2.7. система предотвращения утечек данных.
6.3. Обработка персональных данных без использования средств автоматизации осуществляется работниками Компании исключительно на их рабочих местах, в помещениях офиса Компании.
6.4. В договорах, заключаемых между Компанией и контрагентами, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных статьей 7 Закона о персональных данных, а также информация о принятии сторонами условий обработки персональных данных и мер, предусмотренных статьей 18.1 Закона о персональных данных.
6.5. Компания вправе поручать обработку персональных данных третьим лицам на основании заключаемых с такими лицами договоров. Договор, заключаемый между Компанией и лицом, осуществляющим обработку персональных данных по поручению Компании (далее для целей настоящего пункта – «Обработчик»), должен устанавливать:
6.5.1. цели обработки персональных данных, перечень обрабатываемых персональных данных, а также перечень совершаемых Обработчиком действий с персональными данными;
6.5.2. обязанность Обработчика соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, включая обязанность соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных;
6.5.3. право Компании запрашивать документы и иную информацию, подтверждающие принятие Обработчиком мер и соблюдение принципов и правил обработки персональных данных, предусмотренных Законом о персональных данных;
6.5.4. обязанность Обработчика незамедлительно уведомлять Компанию о допущенном или ставшем ему известном факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
6.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания уведомляет уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном статьей 21 Закона о персональных данных.
6.7. Компания осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, а также соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
7. Рассмотрение обращений и запросов субъектов персональных данных
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
7.1.1. подтверждение факта обработки персональных данных Компанией;
7.1.2. правовые основания и цели обработки персональных данных;
7.1.3. цели и применяемые Компанией способы обработки персональных данных;
7.1.4. наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
7.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
7.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
7.1.8. информацию о ранее осуществленной или о предполагаемой трансграничной передаче персональных данных;
7.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
7.1.10. информацию о способах исполнения Компанией обязанностей, установленных статьей 18.1 Закона о персональных данных;
7.1.11. иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
7.2. Порядок направления субъектом персональных данных запросов на предоставление сведений определен требованиями статьи 14 Закона о персональных данных. В частности, запрос на получение информации должен содержать:
7.2.1. серию, номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
7.2.2. сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер и дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;
7.2.3. подпись субъекта персональных данных.
7.3. Запрос может быть направлен на бумажном носителе или в форме электронного документа, подписанного электронной подписью в соответствии с действующим законодательством Российской Федерации. Если иное не предусмотрено положениями настоящей Политики или заключенного с субъектом персональных данных договора, запросы направляются:
7.3.1. по адресу 108811, г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, д. 4 стр. 5, блок Е этаж 9, офис 923е;
7.3.2. по адресу электронной почты: info@cbu-online.ru.
7.4. Компания обязана сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных при условии, что запрос оформлен в соответствии с требованиями Закона о персональных данных и настоящей Политики. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.5. Компания вправе отказать в предоставлении информации субъекту персональных данных при его обращении либо при получении запроса. При этом Компания обязана дать в письменной форме мотивированный отказ в срок, не превышающий 10 (десяти) рабочих дней со дня обращения либо с даты получения запроса. Отказ должен содержать основание, предусмотренное частью 8 статьи 14 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.6. В случае предоставления субъекту персональных данных по запросу субъекта персональных данных сведений в соответствии с пунктом 7.4 настоящей Политики, субъект персональных данных вправе обратиться повторно в Компанию или направить в Компанию повторный запрос в целях получения сведений, указанных в пункте 7.1 настоящей Политики, и ознакомления с такими персональными данными, но не ранее чем через 30 (тридцать) календарных дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.7. Субъект персональных данных вправе обратиться повторно в Компанию или направить в Компанию повторный запрос до истечения срока, указанного в пункте 7.6 настоящей Политики, если по результатам рассмотрения первоначального обращения сведения не были предоставлены субъекту персональных данных в полном объеме. Повторный запрос, наряду со сведениями, указанными в пункте 7.1 Политики, должен содержать обоснование направления повторного запроса.
7.8. Компания вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктах 7.6. и 7.7 Политики. Такой отказ должен быть мотивированным и осуществляться в письменной форме. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Компании.
8. Актуализация, исправление, удаление и уничтожение персональных данных
8.1. Субъект персональных данных имеет право требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. В случае реализации субъектом персональных данных своего права на уточнение своих персональных данных на основании того, что они являются неполными, неточными или неактуальными, Компания в срок, не превышающий 7 (семи) рабочих дней, обязана внести в них необходимые изменения.
8.3. В случае если субъект персональных данных предоставил сведения, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные в срок, не превышающий 7 (семи) рабочих дней.
8.4. Компания обязана уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные указанного субъекта были переданы.
8.5. В случае выявления неправомерной обработки персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого выявления.
8.6. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Компании) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.7. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных, а в случае, если обращение было направлено уполномоченным органом по защите прав субъектов персональных данных, то также и уполномоченный орган по защите прав субъектов персональных данных.
8.8. Субъекты персональных данных несут ответственность за предоставление Компании недостоверных сведений, а также за несвоевременное обновление предоставленных данных в случае каких-либо изменений.
8.9. Обрабатываемые персональные данные подлежат уничтожению в следующих случаях, если иное не предусмотрено федеральным законом:
8.9.1. достижение целей обработки персональных данных, в том числе истечение срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и внутренними нормативными документами Компании;
8.9.2. утрата необходимости в достижении целей обработки персональных данных (если иное не предусмотрено соглашением между Компанией и субъектом персональных данных или договором, выгодоприобретателем или поручителем по которому является субъект персональных данных);
8.9.3. истечение срока действия согласия или отзыв согласия субъектом персональных данных (если иное не предусмотрено соглашением между Компанией и субъектом персональных данных или договором, выгодоприобретателем или поручителем по которому является субъект персональных данных);
8.9.4. выявление неправомерной обработки персональных данных на основании обращения субъекта персональных данных, предписания уполномоченного органа по защите прав субъектов персональных данных, органа прокуратуры, правоохранительных органов, решения суда, а также самой Компанией.
8.10. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных, либо если Компания вправе осуществлять обработку персональных данных без согласия субъекта персональных данных по основаниям, предусмотренным Законом о персональных данных или другими федеральными законами.
8.11. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить обработку персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных, либо если Компания вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.
8.12. В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных Компания обязана в срок, не превышающий 10 (десяти) рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется другим лицом, действующим по поручению Компании), за исключением случаев, предусмотренных частью 5.1 статьи 21 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.
8.13. Обработка персональных данных в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с помощью средств связи прекращается Компанией незамедлительно при получении соответствующего требования субъекта персональных данных.
8.14. Обработка Компанией персональных данных, составляющих сведения о состоянии здоровья субъекта персональных данных, незамедлительно прекращается при устранении причины, вследствие которой такая обработка осуществлялась.
8.15. Уничтожение персональных данных производится при наступлении соответствующих оснований, в пределах сроков, установленных Законом о персональных данных, а также (при наличии) договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между Компанией и субъектом персональных данных. В случае отсутствия возможности уничтожения персональных данных в пределах указанных сроков Компания осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более шести месяцев.
8.16. При необходимости, в том числе в случае уничтожения значительного объема персональных данных (носителей персональных данных), приказом генерального директора Компании может создаваться комиссия, состоящая не менее чем из 3 (трех) работников Компании, включая председателя – лица, ответственного за организацию обработки персональных данных в Компании. Помимо персонального состава и срока работы комиссии, приказом утверждается состав подлежащих уничтожению персональных данных и типы содержащих их носителей, основания уничтожения персональных данных, а также иные необходимые сведения.
8.17. Уничтожение персональных данных осуществляется физическими или программными способами, гарантирующими невозможность восстановления данных.
8.18. Уничтожение персональных данных, хранящихся на бумажных носителях, производится путем шредирования документа.
8.19. Уничтожение персональных данных, хранящихся на машинных носителях, производится одним из способов:
8.19.1. программным способом, с использованием штатных средств операционных систем или специализированного программного обеспечения (для перезаписываемых носителей);
8.19.2. путем физического разрушения носителя (для неперезаписываемых носителей или в случае признания перезаписываемого носителя подлежащим утилизации в связи с исчерпанием ресурса, утратой ценности, поломкой и т.д.).
8.20. Уничтожение персональных данных, хранящихся в информационной системе персональных данных, производится программным способом, с использованием штатных средств информационной системы.
8.21. Факт уничтожения персональных данных оформляется в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179:
8.21.1. при уничтожении персональных данных, хранящихся на материальных носителях – актом об уничтожении персональных данных;
8.21.2. при уничтожении персональных данных, хранящихся в информационной системе персональных данных – актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
8.22. Акт об уничтожении персональных данных составляется в электронной форме или на бумажном носителе и подписывается выполнившим уничтожение персональных данных лицом или членами комиссии (в случае ее создания) собственноручно или с применением электронной подписи в соответствии с требованиями Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
8.23. Документы, подтверждающие уничтожение персональных данных, подлежат хранению в течение 3 (трех) лет с момента уничтожения персональных данных.
8.24. Для уничтожения и утилизации материальных носителей персональных данных Компания вправе привлекать стороннюю организацию, договор с которой должен содержать соглашение о неразглашении конфиденциальной информации.
9. Заключительные положения
9.1. Настоящая Политика вступает в силу с даты утверждения приказом генерального директора Компании и действует бессрочно.
9.2. Приложениями к настоящей Политике являются:
9.2.1. Список целей обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории персональных данных, способы и сроки их обработки и хранения (Приложение 1);
9.2.2. Форма акта об уничтожении персональных данных (Приложение 2).
Приложение № 1
к Политике ООО «ЦБС»
в отношении обработки персональных данных
Список целей обработки персональных данных (далее – «ПДн»)
и соответствующие им категории и перечень обрабатываемых ПДн, категории ПДн, способы и сроки их обработки и хранения.
№ | Цель обработки ПДн | Категории субъектов ПДн | Перечень ПДн | Сроки обработки и хранения ПДн | Правовое обоснование обработки ПДн | Способы обработки и перечень действий с ПДн | Порядок уничтожения ПДн |
1. | Ведение кадрового и бухгалтерского учета. | Работники; родственники работников; уволенные работники; контрагенты; представители контрагентов; клиенты; выгодоприобретатели по договорам; законные представители; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании | В течение срока действия трудового договора и 50 (пятидесяти) лет с момента расторжения трудового договора; до достижения цели обработки ПДн; до истечения срока, предусмотренного законом, договором или согласием субъекта ПДн на обработку его ПДн; до получения требования субъекта ПДн о прекращении обработки ПДн и/или отзыва согласия на обработку его ПДн, при отсутствии иных правовых оснований для обработки ПДн, предусмотренных законом. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
2. | Обеспечение соблюдения трудового законодательства Российской Федерации. | Работники; родственники работников; уволенные работники; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании | В течение срока действия трудового договора и 50 (пятидесяти) лет с момента расторжения трудового договора. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
3. | Обеспечение соблюдения налогового законодательства Российской Федерации. | Работники; уволенные работники; контрагенты; клиенты; выгодоприобретатели по договорам; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность | В течение срока действия трудового договора и 50 (пятидесяти) лет с момента расторжения трудового договора; в течение срока действия гражданско-правового договора и 5 (пяти) лет с момента прекращения договора; до достижения цели обработки ПДн. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
4. | Обеспечение соблюдения пенсионного законодательства Российской Федерации. | Работники; уволенные работники; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; номер лицевого счета; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации) | В течение срока действия трудового договора и 50 (пятидесяти) лет с момента расторжения трудового договора. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
5. | Обеспечение соблюдения законодательства РФ об обороне | Работники; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; должность; отношение к воинской обязанности, сведения о воинском учете | В течение срока действия трудового договора и 5 (пяти) лет с момента расторжения трудового договора. | Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
6. | Обеспечение соблюдения законодательства РФ о противодействии легализации финансированию терроризма | Контрагенты; представители контрагентов; клиенты; выгодоприобретатели по договорам; законные представители; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций; члены органов управления и бенефициарные владельцы юридических лиц | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; должность | В течение срока действия договорных отношений и 5 (пяти) лет с момента расторжения договора; до достижения цели обработки ПДн; до истечения срока, предусмотренного законом, договором или согласием субъекта ПДн на обработку его ПДн. | Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
7. | Подготовка, заключение и исполнение гражданско-правового договора. | Контрагенты; представители контрагентов; клиенты; посетители сайта; выгодоприобретатели по договорам; законные представители; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций; члены органов управления и бенефициарные владельцы юридических лиц | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета | В течение срока действия договорных отношений и 5 (пяти) лет с момента расторжения договора; до достижения цели обработки ПДн; до истечения срока, предусмотренного законом, договором или согласием субъекта ПДн на обработку его ПДн; до получения требования субъекта ПДн о прекращении обработки ПДн и/или отзыва согласия на обработку его ПДн, при отсутствии иных правовых оснований для обработки ПДн, предусмотренных законом. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
8. | Добровольное медицинское страхование | Работники; родственники работников; субъекты ПДн, данные которых обрабатываются Обществом по поручению третьих лиц, включая аффилированных лиц, участников, акционеров, бенефициарных владельцев и работников организаций | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении | До истечения срока, предусмотренного законом, договором или согласием субъекта ПДн на обработку его ПДн; до получения требования субъекта ПДн о прекращении обработки ПДн и/или отзыва согласия на обработку его ПДн, при отсутствии иных правовых оснований для обработки ПДн, предусмотренных законом. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
9. | Продвижение товаров, работ, услуг на рынке. | Клиенты; посетители сайта. | Фамилия, имя, отчество; номер телефона; сведения о посещении сайта, включая cookie-файлы, IP-адрес. | В течение срока действия согласия на обработку ПДн до момента его отзыва. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; использование; блокирование; удаление; уничтожение | Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом и выгрузкой из журнала регистрации событий. |
10. | Обеспечение пропускного режима на территорию оператора (для работников оператора). | Работники; соискатели; посетители | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; данные документа, удостоверяющего личность; должность. | В течение срока действия трудового договора; до достижения цели обработки; до истечения срока действия согласия на обработку ПДн. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка персональных данных необходима для осуществления прав и законных интересов оператора, для достижения общественно значимых целей; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | Смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
11. | Подбор персонала (соискателей) на вакантные должности оператора. | Соискатели. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица | До достижения цели обработки ПДн; до получения требования субъекта ПДн о прекращении обработки ПДн и/или отзыва согласия на обработку его ПДн, при отсутствии иных правовых оснований для обработки ПДн, предусмотренных законом. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом или путем физического разрушения носителя. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
12. | Организация командировок, внешнего обучения, участия во внешних мероприятиях. | Работники. | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании | До достижения цели обработки ПДн; в течение срока действия договорных отношений и 5 (пяти) лет с момента расторжения договора. | Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных. | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет; включая операции: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение | Уничтожение носителей ПДн осуществляется: для бумажных – путем шредирования носителя; для машинных – программным способом. Уничтожение ПДн в информационной системе ПДн осуществляется путем удаления персонифицированных записей. Факт уничтожения ПДн оформляется актом (при удалении ПДн в информационной системе ПДн – также выгрузка из журнала регистрации событий). |
Приложение № 2
к Политике ООО «ЦБС»
в отношении обработки персональных данных
[ФОРМА]
АКТ № ___
об уничтожении персональных данных
г. ____________ « ____ » ____________ 20___ г.
Настоящий акт составлен _____________________________[1] об уничтожении следующих персональных данных (далее также – «ПДн»), обрабатываемых Обществом с ограниченной ответственностью «Центр бухгалтерского сопровождения» (ОГРН 1197746118426, адрес: 108811, г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, д. 4 стр. 5, блок Е этаж 9, офис 923е)[2]:
№ | Ф.И.О. субъекта(ов), чьи ПДн данные были уничтожены | Перечень категорий уничтоженных ПДн | Наименование информационной системы ПДн, из которой были уничтожены ПДн (если применимо) и/или наименование и количество единиц уничтоженных материальных носителей ПДн | Способ уничтожения ПДн | Причина уничтожения ПДн | Дата уничтожения ПДн |
1. | ||||||
2. | ||||||
3. | ||||||
Акт составлен в ____________ экземпляр__ и подлежит хранению до ____________[3].
Персональные данные уничтожил(-а,-и):
_____________________________________________________ / _______________________________________ / _______________________
(должность) (Ф.И.О.) (подпись)
_____________________________________________________ / _______________________________________ / _______________________
(должность) (Ф.И.О.) (подпись)
_____________________________________________________ / _______________________________________ / _______________________
(должность) (Ф.И.О.) (подпись)
[1] Указывается Ф.И.О. и должность работника Компании, выполнившего уничтожение ПДн; в случае создания комиссии: Ф.И.О. и должность председателя и членов комиссии (в случае создания); в случае, если уничтожение ПДн было поручено другому лицу: наименование организации, выполнившей уничтожение ПДн, реквизиты договора с Компанией, а также Ф.И.О. и должность лица, выполнившего уничтожение ПДн.
[2] В случае, если обработка ПДн осуществлялась по поручению Компании иным лицом, указывается его наименование и адрес, а также основание, по которому такое лицо осуществляет обработку персональных данных.
[3] Указывается срок хранения, не менее 3 (трех) лет со дня уничтожения ПДн.
[1] Указывается Ф.И.О. и должность работника Компании, выполнившего уничтожение ПДн; в случае создания комиссии: Ф.И.О. и должность председателя и членов комиссии (в случае создания); в случае, если уничтожение ПДн было поручено другому лицу: наименование организации, выполнившей уничтожение ПДн, реквизиты договора с Компанией, а также Ф.И.О. и должность лица, выполнившего уничтожение ПДн.
[1] В случае, если обработка ПДн осуществлялась по поручению Компании иным лицом, указывается его наименование и адрес, а также основание, по которому такое лицо осуществляет обработку персональных данных.
[1] Указывается срок хранения, не менее 3 (трех) лет со дня уничтожения ПДн.