1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных является локальным нормативным актом ООО «АЭРО ГРУПП» (далее – Общество, Положение), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных), Гражданским кодексом Российской Федерации от 30.11.1994 № 51-ФЗ, Учредительным документом, Политикой в отношении обработки персональных данных в ООО «АЭРО ГРУПП».
1.2. В Положении устанавливаются:
∙ цель, порядок и условия обработки персональных данных;
∙ категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки
или при наступлении иных законных оснований;
∙ положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.3. Все вопросы, связанные с обработкой и защитой персональных данных,
не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.4. В Положении используются термины и определения в соответствии
с их значениями, определенными в Законе о персональных данных.
1.5. Все работники Общества и иные субъекты персональных данных обязаны соблюдать Положение.
1.6. Положение вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения нового Положения.
1.7. Внесение изменений в Положение производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
1.8. Права на документ принадлежат Обществу. Документ не может быть полностью или частично воспроизведен, опубликован, тиражирован, скопирован
или распространен в любой иной форме без разрешения Общества.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Обществе
в соответствии с Положением, относятся:
∙ соискатели на вакантные должности в Общество;
∙ работники Общества;
∙ бывшие (уволенные) работники Общества;
∙ члены семей (родственники) работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
∙ контрагенты/ клиенты ООО «АЭРО ГРУПП», их представители;
∙ физические лица, состоящие в гражданско-правовых отношениях;
∙ иные лица, персональные данные которых Общество обязано обрабатывать
в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права, а также в соответствии с гражданскими обязательствами, на основании которых Общество обрабатывает персональные данные.
3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Согласно Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, а также с целью исполнения договорных отношений Общества, в том числе при:
∙ содействии в трудоустройстве;
∙ ведении кадрового, миграционного, воинского и бухгалтерского учета;
∙ содействии работникам в получении образования и продвижении по службе;
∙ оформлении награждений и поощрений;
∙ предоставлении со стороны Общества установленных законодательством условий труда, гарантий и компенсаций;
∙ заполнении и передаче в уполномоченные органы требуемых форм отчетности;
∙ обеспечении личной безопасности работников и сохранности имущества;
∙ осуществлении контроля за количеством и качеством выполняемой работы;
∙ размещении информации о работниках на информационных системах Общества;
∙ оформлении доверенностей на право представления интересов Общества
его работниками;
∙ оформлении пропусков;
∙ обработки персональных данных, получаемых Обществом при заключении гражданско-правовых договоров с физическими и юридическими лицами.
а также для целей ведения налогового законодательства Российской Федерации, подготовки, заключения и исполнения гражданско-правового договора, пенсионного законодательства Российской Федерации, подбора персонала (соискателей) на вакантные должности, подготовки, заключения и исполнения договоров, соглашений, обеспечения соблюдения законодательства РФ об исполнительном производстве.
3.2. В соответствии с целью, указанной в абз 1 п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
∙ фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
∙ пол;
∙ дата (число, месяц, год) и место рождения;
∙ сведения о гражданстве;
∙ вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
∙ страховой номер индивидуального лицевого счета (СНИЛС);
∙ идентификационный номер налогоплательщика (ИНН);
∙ адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
∙ номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
∙ реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
∙ сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
∙ сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
∙ сведения об имуществе, в том числе транспортных средствах;
∙ информация о владении иностранными языками;
∙ сведения об отношении к воинской обязанности, о воинском учете
и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
∙ факты биографии, а также сведения о трудовой деятельности, информация о предыдущих местах работы, периодах и стаже работы;
∙ сведения, содержащиеся в документах, дающих право на пребывание
и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих
в РФ);
∙ сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
∙ сведения о финансовом положении, заработной плате, доходах, обязательствах по исполнительным документам;
∙ сведения о социальных льготах;
∙ номера расчетного счета, банковской карты;
∙ сведения о состоянии здоровья (для отдельных категорий работников);
∙ иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
∙ иные персональные данные, которые работник пожелал сообщить о себе
и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.
3.2.2. Для цели обеспечения налогового законодательства Российской Федерации, Общество обрабатывает следующие персональные данные: фамилия, имя отчество, дата рождения, место рождения, пол, гражданство, СНИЛС, ИНН, банковские реквизиты, паспортные данные, адрес места жительства (адрес регистрации, адрес фактического проживания), номер телефона.
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: работников, родственников работников, работников, уволившихся из Общества, контрагентов, физических лиц, состоящих в гражданско-правовых отношениях, контрагентов, представителей контрагентов.
3.2.3. Для цели подготовки, заключения и исполнения гражданско-правовых договоров, Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, СНИЛС, ИНН, банковские реквизиты, паспортные данные, адрес места жительства (адрес регистрации).
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: контрагентов Общества (физические лица, индивидуальные предприниматели, состоящие с Обществом в гражданско-правовых отношениях).
3.2.4. Для цели соблюдения пенсионного законодательства Российской Федерации, Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, место рождения, пол, паспортные данные, адрес места жительства (адрес регистрации), номер телефона, СНИЛС, ИНН, банковские реквизиты.
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: работники, уволенные работники.
3.2.5. Для цели соблюдения подбора персонала (соискателей) на вакантные должности, Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес места жительства, номер телефона, адрес электронной почты, сведения об образовании, сведения о трудовой деятельности.
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: соискатели.
3.2.6. Для цели соблюдения подготовки, заключения и исполнения договоров, соглашений, Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес места жительства (адрес регистрации), ИНН, паспортные данные, банковские реквизиты, номер телефона, должность.
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: контрагенты, представители контрагентов, клиенты.
3.2.7. Для цели обеспечения соблюдения законодательства РФ об исполнительном производстве Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, дата рождения, гражданство, адрес места жительства (адрес регистрации), ИНН, СНИЛС, паспортные данные, банковские реквизиты, номер телефона.
Для достижения цели обработки персональных данных, указанной в настоящем пункте, Общество обрабатывает следующие категории субъектов персональных данных: работники, контрагенты, клиенты.
3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.4. В процессе трудовой деятельности работника Общество хранит следующие документы, содержащие персональные данные работника:
- анкета и/или резюме, которые предоставляются работником при приеме на работу;
- копия документа, удостоверяющего личность работника;
- копии документов о временной регистрации по месту жительства;
- копии миграционных карт, патентов на право осуществлять трудовую деятельность и документов, подтверждающих авансовые платежи на право осуществления трудовой деятельности на территории РФ;
- личная карточка;
- трудовая книжка или ее копия;
- сведения о трудовой деятельности;
- копии свидетельств о заключении брака, рождении детей;
- копии документов воинского учета;
- справка о доходах с предыдущего места работы;
- копии документов об образовании;
- копии документов обязательного пенсионного страхования;
- трудовой договор;
- подлинники и копии приказов по личному составу;
- копии медицинских справок, оформляемых в связи с осуществлением трудовой деятельности;
- копии водительских удостоверений и свидетельств о праве собственности
на транспортное средство;
- при необходимости - иные документы, содержащие персональные данные работников.
Общество вправе в процессе своей деятельности собирать информацию
о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения, к которой в полной мере относятся установленные законом требования
о сборе, обработке, хранении, защите персональных данных.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Общество обязано уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее-Роскомнадзор) о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются:
∙ Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права;
∙ Закон о персональных данных;
∙ Закон РФ от 19.04.1991 г. № 1032-1 «О занятости населения
в Российской Федерации»;
∙ Федеральный закон от 25.07.2002 г. № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
∙ Федеральный закон от 18.07.2006 г. № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
∙ Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
∙ Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации»;
∙ Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
∙ Постановление Правительства РФ от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете».
4.3. Обработка персональных данных осуществляется с соблюдением принципов
и условий, предусмотренных законодательством в области персональных данных
и настоящим Положением.
4.4. В соответствии с поставленными целями и задачами в Обществе назначается лицо, ответственное за организацию обработки персональных данных, именуемое далее – лицо, ответственное за обработку персональных данных.
4.5. Режим конфиденциальности персональных данных Общество обеспечивает
в соответствии с Положением Общества о коммерческой тайне (конфиденциальной информации).
4.6. Обработка персональных данных в Обществе выполняется следующими способами:
∙ неавтоматизированная обработка персональных данных;
∙ автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
∙ смешанная обработка персональных данных.
4.7. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.7.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.8. Общество не осуществляет трансграничную передачу персональных данных.
4.9. Персональные данные работника могут быть получены непосредственно у
последнего, либо у третьей стороны с предварительным уведомлением об этом
и получением письменного согласия у работника.
4.10. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.10.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
∙ получения оригиналов документов либо их копий;
∙ копирования оригиналов документов;
∙ внесения сведений в учетные формы на бумажных и электронных носителях;
∙ создания документов, содержащих персональные данные, на бумажных
и электронных носителях;
∙ внесения персональных данных в информационные системы персональных данных.
4.11. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
4.12. Общество на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права
у данного лица на обработку персональных данных, обязанность соблюдать принципы
и правила обработки персональных данных, предусмотренные о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных
о персональных данных.
4.13. Взаимодействие с федеральными органами исполнительной власти
по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Обществом, осуществляется в рамках законодательства Российской Федерации.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
∙ при выявлении факта неправомерной обработки персональных данных.
Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
∙ при достижении целей их обработки (за некоторыми исключениями);
∙ по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями),
если в соответствии с Законом о персональных данных их обработка допускается только
с согласия;
∙ при обращении субъекта персональных данных к Обществу с требованием
о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством
об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле
в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных
на бумажных носителях.

6. Права и обязанности работника
6.1. Работник имеет право:
6.1.1. На полную информацию о своих персональных данных и обработке
этих данных.
6.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника,
за исключением случаев, предусмотренных законодательством Российской Федерации.
6.1.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Общества исключить
или исправить персональные данные работника он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
6.1.4. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных
в них исключениях, исправлениях или дополнениях.
6.1.5. Обжаловать в суд любые неправомерные действия или бездействие Общества при обработке и защите его персональных данных.
6.1.6. Определять своих представителей для защиты своих персональных данных.
6.1.7. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
6.2. Работник обязан:
6.2.1. Передавать Обществу или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации. Общество проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений
при поступлении на работу является основанием для расторжения трудового договора.
6.2.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать Обществу об изменении своих персональных данных.
7. Права и обязанности сотрудников Общества в связи с обработкой персональных данных
7.1. Лицо, ответственное за обработку персональных данных, обязано:
- организовывать принятие правовых, организационных и технических мер
для обеспечения защиты персональных данных, обрабатываемых Обществом;
- осуществлять внутренний контроль за соблюдением его подчиненными работниками требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Общества положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
7.2. Лицо, ответственное за обработку персональных данных, вправе:
- иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых
у Общества способов обработки персональных данных;
- описание мер, предусмотренных ст. ст. 18.1 и 19 Закона о персональных данных,
в том числе сведения о наличии шифровальных (криптографических) средств
и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения об обеспечении безопасности персональных данных в соответствии
с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Общества с возложением на них соответствующих обязанностей и закреплением ответственности.
7.3. Сотрудники Общества:
- оказывают содействие лицу, ответственному за обработку персональных данных, в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя
и лица, ответственного за обработку персональных данных, сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Общества другими сотрудниками Общества или контрагентами Общества.
8. Доступ к персональным данным работника
8.1. Внутренний доступ.
Право доступа к персональным данным работника и их обработки имеют:
- руководитель Общества;
- работники отдела кадров;
- работники бухгалтерии;
- руководители структурных подразделений по направлению деятельности (доступ
к личным данным только работников своего подразделения) по согласованию
с руководителем Работодателя;
- при переводе из одного структурного подразделения в другое доступ
к персональным данным работника может иметь руководитель нового подразделения;
- сам работник, носитель данных.
8.2. Не требуется согласие работника на передачу персональных данных:
- в Фонд пенсионного и социального страхования Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- в органы, осуществляющие миграционный учет;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении
ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами.
8.3. Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных Законом о персональных данных, а также в иных случаях, предусмотренных нормативно-правовыми актами РФ и разъяснениями государственных органов, в том числе когда:
- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных);
- это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей);
- обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете (абз. 1 п. 1 Разъяснений Роскомнадзора);
- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных);
- проводится обработка персональных данных близких родственников работника в случаях, установленных законодательством РФ (при получении алиментов, оформлении социальных выплат) (абз. 1 п. 2 Разъяснений Роскомнадзора);
- обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию Общества (абз. 1 п. 5 Разъяснений Роскомнадзора);
- обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3
ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ, абз. 6 - 10 п. 5 Разъяснений Роскомнадзора);
 - обработка персональных данных в целях передачи в кредитную организацию, обслуживающую платежные карты работников (абз. 10 п. 4 Разъяснений).
8.4. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.5. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам
или членам его семьи только с письменного разрешения самого работника.
9. Порядок блокирования и уничтожения персональных данных
9.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
9.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
9.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
9.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
9.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных
на основаниях, предусмотренных федеральными законами.
9.6. Персональные данные уничтожаются (если их сохранение не требуется
для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом.
Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9.7. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются на основании федеральных законов, которые регулируют порядок хранения документов, содержащих персональные данные.
9.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители
и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
9.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
9.9.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
9.9.2. Персональные данные на бумажных носителях уничтожаются
способом, не позволяющим восстановить персональные данные на таком бумажном носителе. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных
с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.9.3. Комиссия подтверждает уничтожение персональных данных, указанных
в п. п. 9.4, 9.5, 9.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179,
а именно:
∙ актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
∙ актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно
с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
После составления акта об уничтожении персональных данных и выгрузки
из журнала регистрации событий в информационной системе персональных данных комиссия передает их лицу, ответственному для последующего хранения. Акты
и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9.9.4. Уничтожение персональных данных, не указанных в п. 9.9.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.
10. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
10.1. Без письменного согласия субъекта персональных данных Общество
не раскрывает третьим лицам и не распространяет персональные данные, если иное
не предусмотрено федеральным законом.
10.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону, факсу. Возможно раскрытие, передача
и распространение персональных данных субъектов персональных данных через официальную почту Общества. 
10.1.2. Ответы на письменные запросы других организаций и учреждений
в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
10.2. В целях обеспечения сохранности и конфиденциальности персональных данных работников все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только теми работниками, осуществляющими данную работу в соответствии с Положением, приказами генерального директора Общества, а также со своими служебными обязанностями, зафиксированными
в их должностных инструкциях.
В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
10.3. С целью защиты персональных данных в Обществе приказами генерального директора либо в настоящем Положении назначаются (утверждаются):
∙ работник, ответственный за организацию обработки персональных данных;
∙ форма согласия на обработку персональных данных, форма согласия
на обработку персональных данных, разрешенных субъектом персональных данных
для распространения;
∙ порядок проведения внутренних расследований, проверок;
∙ иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
10.4. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства
об их неразглашении.
10.5. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту
от несанкционированного доступа.
10.6. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
10.7. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
10.8. В Обществе проводятся внутренние расследования в следующих ситуациях:
∙ при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
∙ в иных случаях, предусмотренных законодательством в области персональных данных.
10.9. Лицо, ответственное за организацию обработки персональных данных, осуществляет внутренний контроль:
∙ за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
∙ соответствием указанных актов требованиям законодательства в области персональных данных.
10.10. Внутренний контроль.

10.10.1. Внутренний контроль проходит в виде внутренних проверок.
Внутренние проверки осуществляются по решению лица, ответственного
за организацию обработки персональных данных. Основанием
для них служит информация о нарушении законодательства в области персональных данных, поступившая в письменном виде.
10.10.2. По итогам внутренней проверки оформляется докладная записка на имя генерального директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
10.11. Внутреннее расследование проводится, если выявлен факт неправомерной
или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
10.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
∙ об инциденте;
∙ его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
∙ принятых мерах по устранению последствий инцидента;
∙ представителе Общества, который уполномочен взаимодействовать
с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора
от 14.11.2022 № 187.
10.11.2. В течение 72 часов Общество обязано сделать следующее:
∙ уведомить Роскомнадзор о результатах внутреннего расследования;
∙ предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком
и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
10.12. В случае предоставления субъектом персональных данных
(его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает о них третьим лицам, которым были переданы персональные данные.
10.13. Общество уведомляет субъекта персональных данных (его представителя)
об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
10.13.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 10.13 Положения.
10.14. В случае уничтожения персональных данных, незаконно полученных
или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет также третьих лиц, которым были переданы такие персональные данные.
11. Ответственность за нарушение норм, регулирующих обработку персональных данных
11.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются
к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются
к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
11.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными работниками.