Положение
об обработке и защите персональных данных

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется Оператором обработки персональных данных - ИП Кощеевым Антоном Викторовичем (ИНН 541007064942, ОГРН 317547600016121, почтовый адрес: РФ, 630007, г. Новосибирск, а/я 197) (далее - Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Оператором для обработки персональных данных утверждены и размещены во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора:
Политика в отношении обработки персональных данных https://tdflora.ru/privacy
Положение об обработке и защите персональных данных https://tdflora.ru/regulation.html
1.3. Проставление субъектом ПД отметки «✓» на соответствующих блоках на сайте https://tdflora.ru является достаточной формой согласия на обработку персональных данных и указывает на ознакомление с Политикой и Положением, и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения свободного волеизъявления субъекта ПД не требуется.
1.4. Основные понятия, используемые в Положении:
• персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• субъект персональных данных — это человек (физическое лицо), которому принадлежат персональные данные и которого по ним можно определить.
• обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение;
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• пользователь — любое лицо, посещающее сайт и использующее информацию, материалы и сервисы сайта. Пользователь сайта является субъектом персональных данных по смыслу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
• сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://tdflora.ru.
1.5. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.6. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственное лицо осуществляющее контроль за исполнением Политики в отношении обработки персональных данных, за исполнением Положения об обработке и защите персональных данных и за организацию и соблюдение требований закона при обработке персональных данных, именуемого далее "куратор ОПД".
1.8. Настоящее Положение и изменения к нему утверждаются приказом Оператора.
1.9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
1.10. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с настоящим Положением. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.11. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
1.12. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных.
1.13. Условия обработки персональных данных Оператором:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
1.14. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
1.16. Иные права и обязанности Оператора, как оператора персональных данных не предусмотренные настоящим Положением определяются законодательством Российской Федерации в области персональных данных.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на законной и справедливой основе.
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Цели обработки персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработке подлежат персональные данные, которые отвечают целям их обработки.
3.3. Обработка Оператором персональных данных осуществляется в следующих целях:
• осуществление своей хозяйственной деятельности Оператора, в том числе:
- заключение и исполнение договоров поставки, купли-продажи, оказания услуг, агентских и иных видов договоров;
- организация и получение оплаты за товары и услуги;
- обработка заказов, организация поставки и доставки товара;
- продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными клиентами с помощью средств связи;
- оказание маркетинговых услуг, в том числе информирования клиентов о новых продуктах, акциях, специальных предложениях и других мероприятиях, включая рассылку информационных материалов с согласия субъекта персональных данных;
- статистический учет и исследование рынка;
- направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
- идентификация пользователя сайта (при регистрации и авторизации) и установление с пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта, оказания услуг, обработку запросов и заявок от Пользователя;
- предоставление пользователю доступа к персонализированным ресурсам сайта;
- определение места нахождения пользователя для обеспечения безопасности, предотвращения мошенничества с использованием персональных данных пользователя на сайте.
• исполнение трудового и налогового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
3.4. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором, обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.
3.5. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

4. Правовые основания обработки персональных данных

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
• Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
• Федеральный закон от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля";
• Указ Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера";
• Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных";
• Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
4.2. Правовым основанием обработки персональных данных также являются:
• договоры, заключаемые между Оператором и контрагентами и иными субъектами персональных данных;
• согласие субъектов персональных данных на обработку и передачу их персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в настоящемПоложении. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
5.2.1. Кандидаты для приема на работу к Оператору (соискатели) - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе агентские договоры и договоры оказания услуг:
• фамилия, имя, отчество;
• никнеймы в социальных сетях;
• имена пользователей мессенджеров;
• ссылки на профили;
• год рождения;
• месяц рождения;
• дата рождения;
• место рождения;
• пол;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• СНИЛС;
• ИНН;
• гражданство;
• данные документа, удостоверяющего личность;
• данные водительского удостоверения;
• данные транспортного средства (для курьеров и продавцов товара из автотранспорта);
• профессия;
• должность;
• сведения о трудовой деятельности;
• сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

5.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
• фамилия, имя, отчество;
• никнеймы в социальных сетях;
• имена пользователей мессенджеров;
• ссылки на профили;
• год рождения;
• месяц рождения;
• дата рождения;
• место рождения;
• семейное положение;
• доходы;
• пол;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• СНИЛС;
• ИНН;
• гражданство;
• данные документа, удостоверяющего личность;
• данные водительского удостоверения;
• данные транспортного средства (для курьеров и продавцов товара из автотранспорта);
• реквизиты банковской карты;
• номер расчетного счета;
• номер лицевого счета;
• профессия; должность;
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации, наличие поощрений, награждений и (или) дисциплинарных взысканий);
• сведения об образовании;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

5.2.3. Клиенты, агенты, исполнители и контрагенты Оператора (физические лица), в том числе по договорам оказания услуг и агентским договорам, заключаемых для целей осуществления своей хозяйственной деятельности:
• фамилия, имя, отчество;
• никнеймы в социальных сетях;
• имена пользователей мессенджеров;
• ссылки на профили;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• ИНН;
• данные документа, удостоверяющего личность;
• реквизиты банковской карты;
• номер расчетного счета;
• номер лицевого счета;
• данные транспортного средства (для курьеров и агентов по продаже товара из автотранспорта);
• должность;
• иные персональные данные, предоставляемые клиентами и контрагентами, необходимые для заключения и исполнения договоров;
• данные, которые автоматически передаются в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, а именно: IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа, адреса запрашиваемых страниц, история запросов и просмотров на Сайте.

5.2.4. Представители (работники) клиентов, агентов и контрагентов Оператора (юридических лиц), в том числе по договорам оказания услуг и агентским договорам, заключаемых для целей осуществления своей хозяйственной деятельности в соответствии:
• фамилия, имя, отчество;
• никнеймы в социальных сетях;
• имена пользователей мессенджеров;
• ссылки на профили;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• ИНН;
• данные документа, удостоверяющего личность;
• должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
5.2.5. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.
5.2.6. Оператор собирает и обрабатывает аудиозаписи телефонных переговоров с клиентами и контрагентами в целях повышения качества обслуживания, разрешения споров и урегулирования конфликтных ситуаций. Запись звонков осуществляется с предварительного информированного согласия субъектов персональных данных. Аудиозаписи удаляются по истечении установленного срока хранения, соответствующего целям их обработки и требованиям законодательства Российской Федерации.
5.2.7. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

6. Порядок обработки персональных данных

6.1. Цель обработки персональных данных определяет Оператор. Цель обработки персональных данных указывается в Положении и в Политике отношении обработки персональных данных.
6.2. На основании заданной цели куратор ОПД определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц.
6.3. В соответствии с целями, задачами, условиями Оператор осуществляет сбор персональных данных по следующим процедурам:
• Через веб-формы на сайте при регистрации пользователей, оформлении заказов или подписке на информационные рассылки
При оформлении заказа у Оператора клиент (субъект персональных данных) указывает установленные соответствующими формами данные.
• При личном взаимодействии с субъектами персональных данных:
Заполнение бумажных анкет
Предоставление документов и данных при заключении договоров
Устная передача данных при телефонном разговоре
Устное получение согласия с последующей фиксацией в документации
• Посредством электронной почты при:
Обращениис клиентами
Отправке заявок на услуги или товары
Документообороте
• При работе с контрагентами:
Обмен документами
Заключение договоров
Исполнение договорных обязательств
• В рамках кадровой деятельности (для сотрудников):
При получении резюме от соискателей
При трудоустройстве
При ведении кадрового учета
При расчете заработной платы
• С использованием автоматизированных систем:
Обработка данных в информационных системах
Ведение баз данных
Систематизация информации
• При проведении маркетинговых исследований:
Сбор обратной связи
Анкетирование
Опросы

Все процедуры сбора персональных данных осуществляются с соблюдением требований законодательства РФ и только после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
6.4. Запись и систематизация, а также в соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются непосредственно Оператор во взаимодействии со следующими сотрудниками:
Работник, ответственный за обработку персональных данных
Сотрудники, в должностные обязанности которых входит работа с персональными данными в рамках исполнения трудовых функций
Работники бухгалтерии (при необходимости обработки данных в целях ведения бухгалтерского учета)
Менеджер по работе с клиентами (при обработке данных в рамках оказания услуг)
Работники, осуществляющие техническое обеспечение деятельности Оператора
Все сотрудники, участвующие в обработке персональных данных, действуют в соответствии с настоящим Положением, должностными инструкциями, приказом о назначении ответственных лиц, согласием на обработку персональных данных
6.5. Координация действий и контроль за соблюдением требований по обработке персональных данных осуществляется непосредственно Куратором ОПД.
6.6. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются непосредственно Оператором или по поручению Оператора.
Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения Оператора или куратора ОПД.

7. Организация обработки персональных данных. Куратор ОПД.

7.1. Ответственные лица за организацию обработки персональных данных:
• Непосредственно индивидуальный предприниматель Кощеев А.В. (далее – Оператор)
• Ответственное лицо, осуществляющее контроль, за исполнением Политики в отношении обработки персональных данных, за исполнением Положения об обработке и защите персональных данных и за организацию и соблюдение требований закона при обработке персональных данных - Куратор ОПД
• Сотрудники, непосредственно задействованные в обработке персональных данных
Оператор и куратор ОПД несут полную ответственность за организацию обработки персональных данных
Куратор ОПД получает указания непосредственно от Оператора и подотчетен ему.
Сотрудники несут ответственность за соблюдение требований по защите персональных данных в рамках своей компетенции
7.2. Порядок взаимодействия:
Все вопросы, связанные с обработкой персональных данных, решаются централизованно
Координация действий осуществляется Куратором ОПД
Сотрудники получают доступ к персональным данным только в объеме, необходимом для выполнения своих трудовых функций
7.3. Оператор оказывает содействие якуратору ОПД в выполнении им своих обязанностей и организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
7.4. Сотрудники Оператора оказывают содействие Куратору ОПД в выполнении им своих обязанностей и незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
7.5. Куратор ОПД вправе:
оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
- описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
7.6. Обязанности Куратор ОПД:
Обеспечивать безопасность персональных данных при обработке оператором, в том числе в структурных подразделениях и информационных системах
Организовывать и обеспечивать хранение персональных данных в соответствии с локальными актами по обработке персональных данных и законодательством РФ
Проверять выполнение локальных актов по обработке персональных данных
Контролировать соблюдение требований к защите данных, в том числе контроль за работниками Оператора
Доводить до сотрудников положения законодательства о ПД и организовывать обучение сотрудников
Информировать работников о локальных актах по обработке данных
Принимать меры по устранению нарушений при обработке ПД
Разрабатывать предложения по совершенствованию защиты ПД
Своевременно выявлять нарушения
Принимать меры по восстановлению нарушенных прав субъектов ПД
Документировать все инциденты
Осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных
Организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
Осуществлять внутренний контроль за соблюдением сотрудниками требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
Доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
Организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
7.6.1. Куратор ОПД обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Оператора;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных, в том числе ежеквартально проводит проверку;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.6.2. Куратор ОПД принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
7.7. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
7.8. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
7.9. Доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам.
Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
7.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора Куратор ОПД незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7.11. Документационное обеспечение обработки ПД:
Назначение ответственного лица за организацию обработки персональных данных приказом
Ведение учета лиц, допущенных к обработке персональных данных
Ведение журнала учета обращений субъектов персональных данных
Учет носителей персональных данных
7.12. Контроль соблюдения требований Положения:
Регулярные проверки соблюдения требований по обработке персональных данных
Инструктаж сотрудников по вопросам защиты персональных данных
Мониторинг эффективности применяемых мер защиты

8. Порядок обеспечения оператором прав субъекта персональных данных

8.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
8.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
8.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
8.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным лицом.
8.5. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
8.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным клиентом с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
8.7.1. Индивидуальное устное общение с потенциальными потребителями производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
8.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
8.7.3. Для письменного согласия достаточно простой письменной формы.
8.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
8.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
8.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
8.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
8.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

9. Порядок, хранение и условия обработки персональных данных. Защита ПД

9.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
9.2. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
9.3. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
Оператор не принимает решений, влияющих на права и законные интересы субъектов персональных данных, исключительно на основании автоматического анализа их персональных данных. Все решения принимаются с участием компетентных сотрудников Оператора на основании всестороннего изучения представленных сведений и оценки обстоятельств каждого случая индивидуально.
9.4. Обработка персональных данных для каждой целей обработки, указанной настоящей Политике, осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.
9.5. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• проводит регулярные проверки и аудит безопасности ежеквартально;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• обеспечивает своевременное обновление программного обеспечения, используемого для обработки персональных данных;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
9.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
9.6.1. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от20.12.2019 N 236)).
9.6.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
9.6.3. Бумажные носители хранятся по адресу: г. Новосибирск, ул. Толбухина, 21 - 21
9.6.4. Электронные носители хранятся на серверах, расположенных на территории РФ
9.6.5. Соблюдаются следующие условия хранения:
Физическая защита помещений хранения, в том числе от лиц не допущенных к персональным данным
Запирающиеся шкафы и сейфы для бумажных носителей
Систематизация документов
Технические меры защиты информации и информационных систем
Учет всех носителей персональных данных
Порядок выдачи и возврата документов
Доступ к местам хранения ограничен и осуществляется исключительно уполномоченными лицами
Обеспечена сохранность носителей персональных данных
Назначено ответственное лицо за организацию хранения
Проводится регулярный контроль соблюдения режима хранения
Все данные пользователей разделены и изолированы друг от друга таким образом, что нет возможности получить доступ к данным другого пользователя для чатов внутри сайта
9.7. Оператор обеспечивает защиту персональных данных с использованием следующих технических средств:
• Сертифицированные средства автоматизации, включая:
Программные комплексы для обработки персональных данных
Системы контроля доступа к информационным ресурсам
Программные решения для обеспечения целостности данных
• Система защиты от несанкционированного доступа, включающая:
Межсетевые экраны (файерволы) для фильтрации трафика
Средства защиты среды виртуализации
Активныйфайрвол (WebApplicationFirewall) для чатов внутри сайта
Средства межсетевого экранирования
Включена как полностью автоматическая, так и полуавтоматическая система защиты и реакции на возникающие угрозы безопасности для чатов внутри сайта;
Системы обнаружения и предотвращения вторжений
Механизмы аутентификации пользователей
Протоколирование действий пользователей
Шифрование каналов передачи данных
Все соединения для чатов внутри сайта производятся через защищенный обмен данными с использованием шифрования TLS
• Система резервного копирования
• Облачные платформы аттестованы по УЗ-1 и соответствуют требованиям международного стандарта по информационной безопасности ISO/IEC 27001:2013 с учётом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019
• Антивирусная защита
9.7.1. Все используемые технические средства защиты:
Соответствуют требованиям законодательства РФ
Имеют необходимые сертификаты соответствия
Регулярно обновляются и поддерживаются в актуальном состоянии
Обеспечивают необходимый уровень защиты персональных данных
9.8. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
9.9. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
9.10. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
9.11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.

10. Порядок передачи персональных данных

10.1. Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации, в том числе для исполнения договора, стороной которого является субъект персональных данных
Оператор может передавать обработку персональных данных своим партнёрам и подрядчикам, с которыми заключен специальный договор, содержащий гарантии обеспечения конфиденциальности и защиты персональных данных. Партнёры и подрядчики обязаны соблюдать следующие обязательные условия:
Использование данных только в оговоренных целях: каждый партнёр получает доступ к минимальным необходимым данным, соответствующим конкретной задаче обработки.
Обеспечение сохранности данных: партнёры и подрядчики принимают меры технического и организационного характера для защиты данных от несанкционированного доступа, потери, искажения или повреждения.
Минимизация риска утечек: Оператор регулярно проверяет соблюдение партнёрами и подрядчиками регламентов по обработке и хранению персональных данных.
Фиксированная документация: каждое соглашение о сотрудничестве сопровождается приложениями, детально описывающими объёмы и цели передачи данных.
Передача данных третьему лицу невозможна без предварительно полученного согласия субъекта персональных данных, за исключением случаев, предусмотренных Федеральным законом.
10.2. Передача персональных данных может осуществляться следующим лицам:
Сторонним организациям, привлекаемым оператором для обработки персональных данных
Партнерам оператора на основании заключенных договоров
Уполномоченным государственным органам в случаях, установленных федеральными законами
10.3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
10.4. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
10.5. Передача персональных данных осуществляется при соблюдении следующих обязательных условий:
Наличие правовых оснований для передачи
Обеспечение конфиденциальности передаваемых данных
Соблюдение установленных требований по защите персональных данных
Наличие соглашений с получателями данных, которое содержит: цели обработки, категории ПД, обязанности по защите, сроки обработки и порядок прекращения обработки ПД
10.6. Передача персональных данных осуществляется посредством:
Защищенных каналов связи
Специальных технических средств
С соблюдением установленных требований по обеспечению безопасности
10.7. Трансграничная передача персональных данных не осуществляется
В случае необходимости, передачи данных за пределы РФ, такая передача может осуществляться на законных основаниях только при наличии согласия субъекта персональных данных, с обеспечением уровня защиты такой передачи и с уведомлением контролирующего органа о планируемой передаче и с документированием факта передачи персональных данных.
10.8. Передача персональных данных без согласия субъекта осуществляется в следующих случаях:
По запросу уполномоченных государственных органов
В случаях, установленных федеральными законами
Для предотвращения угрозы жизни и здоровью субъекта персональных данных
10.9. Оператор несет ответственность за:
Законность передачи персональных данных
Соблюдение прав субъектов персональных данных
Обеспечение безопасности при передаче персональных данных
Контроль за дальнейшей обработкой переданных данных
10.10. Все операции по передаче персональных данных документируются
10.11. При расторжении соглашения с партнёрам и подрядчикам, осуществляющими обработку персональных данных или в случае отзыва согласия субъекта ПД о передачи ПД третьим лицам, переданные данные подлежат уничтожению, сохраняется только та информация, которая необходима для исполнения обязательств. Ведется документация о прекращении обработки.

11. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

11.1. В случае выявления неточностей в персональных данных, субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора zakaz@tdflora.ruс пометкой «Актуализация персональных данных».
11.2. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.5. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• прекращает обработку персональных данных в рамках инцидента;
• принимает меры по устранению последствий нарушения;
• проводит внутреннее расследование;
• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.6. Порядок уничтожения персональных данных Оператором.
11.6.1. Условия и сроки уничтожения персональных данных Оператором:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 10 дней.
11.6.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
11.6.3. Оператором ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
11.6.4. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
11.6.5. По окончании процедуры уничтожения составляется акт об уничтожении документов, Акт заверяется подписью членов специальной комиссии.
11.6.6. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
11.6.7. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.6.8. Уничтожение персональных данных подтверждается Актом об уничтожении персональных данных.

12. Контроль и аудит при обработке персональных данных

12.1. Контроль за исполнением и соблюдением Положения и требований законодательства в области обработки персональных данных возложен на Оператора и на куратора ОПД.
12.2. Основные задачи контроля:
Проверка соблюдения установленных процедур
Обеспечение безопасности персональных данных
Своевременное выявление нарушений
Периодичность проверок:
Плановые — не реже 1 раза в год
Внеплановые — при изменении законодательства, выявлении нарушений или по поступающим жалобам
12.3. При проведении контроля проверяется:
Наличие и актуальность документации
Контроль доступа к персональным данным
Проверка соблюдения правил обработки
Оценка эффективности применяемых мер защиты
Обеспечение конфиденциальности
12.4. По результатам контроля:
Оформляется акт проверки
Принимаются меры по устранению нарушений
Информируются ответственные лица
12.5. При проведении проверок со стороны РоскомнадзораКуратор ОПД обеспечивает:
Предоставление необходимой документации
Содействие в проведении проверок
Устранение выявленных нарушений в установленные сроки

13. Ответственность за нарушение или неисполнение положения

13.1. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272, 272.1, 274 Уголовного кодекса Российской Федерации).
Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

Положениеоб обработке и защите персональных данных