1. Главная
  2. Политика конфиденциальности

Политика конфиденциальности и защиты личной информации

1. ЦЕЛЬ
Целью настоящей Политики обработки персональных данных (далее – Политика) является обеспечение соответствия процесса обработки и защиты персональных данных в Обществе с ограниченной ответственностью «АСЦ» (далее – Общество) законодательству Российской Федерации. Настоящая Политика определяет основные принципы, цели, правовые основания и условия обработки персональных данных в Обществе. При обработке персональных данных Общество руководствуется Федеральным законом №152-ФЗ «О персональных данных».

2. ОТВЕТСТВЕННОСТЬ
Ответственность за исполнение: все работники Общества. Контроль за исполнением: Генеральный директор Общества. Владелец документа (Разработчик): Генеральный директор Общества.

3. ОБЛАСТЬ ПРИМЕНЕНИЯ
3.1. Действие настоящей Политики распространяется на любые действия Общества в отношении Персональных данных клиентов/контрагентов Общества – физических лиц, а также Персональных данных работников Общества.
3.2. Требования настоящей Политики должны учитываться при разработке и внедрении ИТ-систем / продуктов / всех бизнес-процессов, в рамках которых производится обработка персональных данных.

4. ТЕРМИНЫ, СОКРАЩЕНИЯ, УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые могут использоваться оператором для установления личности субъекта персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Общество – Общество с ограниченной ответственностью «АСЦ»;
Обязательный срок хранения – конкретный предельный срок обработки данных, предусмотренный применимым законодательством РФ (например, общие и специальные сроки, установленные законодательством РФ; максимальные сроки хранения, установленные регулирующими органами РФ для специальных категорий информации/документов; пределы хранения, требуемые органами РФ по защите данных с учетом определенных целей обработки);
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Ответственный сотрудник – должностное лицо Общества, ответственное за организацию обработки персональных данных. Персональные данные (ПДн) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Специальные категории персональных данных – к специальным категориям персональных данных относятся данные, раскрывающие расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, данные о состоянии о здоровья, интимной жизни физического лица; Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Утечка персональных данных – нарушение безопасности, которое включает непреднамеренное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к передаваемым данным, хранимыми или иным образом обрабатываемыми; Федеральный закон «О персональных данных», 152-ФЗ – Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5. ОБЩИЕ ПОЛОЖЕНИЯ
5.1. Общество при обработке персональных данных руководствуется законодательством Российской Федерации, требованиями отраслевых стандартов. Политика разработана в соответствии с требованиями Федерального закона «О персональных данных».
5.2. В Обществе действует комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других субъектах персональных данных.
5.3. Общество в качестве Оператора должно принимать соответствующие технические и организационные меры для обеспечения возможности демонстрации того, что обработка осуществляется в соответствии с 152-ФЗ, а также для защиты данных от несанкционированной или незаконной обработки.
5.4. Настоящая Политика размещается на сайте Общества в информационно-телекоммуникационной сети Интернет (при наличии такового) и предоставляется Обществом любому заинтересованному лицу для ознакомления.

6. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных в Обществе осуществляется на основании следующих принципов:
▪ обработка персональных данных осуществляется на законной и справедливой основе;
▪ обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
▪ обработке подлежат только персональные данные, которые отвечают целям их обработки;
▪ недопустимость объединения баз данных, созданных для не совместимых между собой целей обработки персональных данных;
▪ содержание и объем обрабатываемых персональных данных должны быть минимально достаточными для достижения заранее определенных целей обработки персональных данных;
▪ процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременное удаление или уточнение неполных или неточных данных.
6.2. Обработка Оператором персональных данных работников (текущих и бывших), соискателей, клиентов, потенциальных клиентов и представителей контрагентов осуществляется в следующих целях:
• реализации сделок в соответствии с Уставом Общества;
• заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
• проведения Обществом акций, опросов, исследований;
• предоставления Субъекту персональных данных информации об оказываемых Обществом услугах, о разработке Обществом новых продуктов и услуг; информирования Клиента о предложениях по продуктам и услугам Общества;
• ведения кадровой работы и организации учета работников Общества, обучения и должностного роста работников;
• заключения исполнения договоров добровольного страхования, прохождения практики (стажировки) в Обществе учащихся образовательных учреждений;
• привлечения и отбора кандидатов на работу в Обществе, в том числе содействия в трудоустройстве в Общество; • формирования статистической отчетности;
• обеспечения безопасности, связанной с физическим доступом субъектов персональных данных на территорию, в здания и помещения, принадлежащие Обществу на праве собственности или арендуемые им.
6.2.1. Перечень целей, указанных в п. 6.2, не является исчерпывающим и может быть изменен Обществом в соответствии с внутренними нормативными актами и законодательством Российской Федерации.
6.2.2. Цели обработки персональных данных могут происходить в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности.
6.3. Общество может осуществлять обработку персональных данных в рамках заявленных выше целей следующими способами, совершаемыми как с использованием средств автоматизации, так и без использования таковых: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.
6.5. При обработке персональных данных Общество руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.
6.6. Ответственным лицом за организацию процессов и процедур обработки персональных данных в Обществе является Генеральный директор Общества. В компетенцию Генерального директора Общества входят вопросы защиты персональных данных, вопросы обработки персональных данных, определение обязательных для исполнения рекомендаций, разработка внутренних документов по указанным вопросам, осуществление соответствующих проверок процессов и процедур, а также осуществление разработки и выполнения последующих контролей.

7. ПРАВОВЫЕ ОСНОВАНИЯ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 г. № 115-ФЗ;
• Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Правовым основанием обработки персональных данных также являются:
• Устав Общества;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.
7.2. Обработка персональных данных осуществляется в установленных законом случаях с письменного согласия субъекта персональных данных или его законного представителя. Равнозначным письменному согласию признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
7.3. Согласие на обработку персональных данных (далее – Согласие) может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
7.4. Обработка персональных данных может осуществляется без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».
7.5. Заключаемый с субъектом ПДн договор не может содержать положения: ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, и допускающие в качестве условия заключения договора бездействие субъекта ПДн.
7.6. Обработка специальных категорий персональных данных, касающихся расовой или этнической принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Обществом не осуществляется.
7.7. Обработка биометрических персональных данных производится Обществом в рамках требований, установленных Федеральным законом от 31.12.2017 г. № 482-ФЗ, и в соответствии с законодательством Российской Федерации, по желанию физического лица – клиента Общества на безвозмездной для клиента основе производить регистрацию в единой биометрической системе (ЕБС) физического лица, со снятием, обработкой и передачей в ЕБС биометрических ПДн клиента.
7.8. Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом от 29.11.2010 г. № 326 «Об обязательном медицинском страховании в Российской Федерации», а также подпункте 2.3 части 2 статьи 10 Федерального закона «О персональных данных».
7.9. Общество не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 7.10 настоящей Политики.
7.10. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято Обществом на основании исключительно автоматизированной обработки его персональных данных только при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
7.11. Для обработки Обществом персональных данных полученных от лица, не являющегося субъектом персональных данных, необходимы подтверждения возможности их обработки, указанные в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.
7.12. Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона «О персональных данных», до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
1) наименование и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) перечень персональных данных
4) предполагаемые пользователи персональных данных;
5) установленные Федеральным законом «О персональных данных» права субъекта персональных данных; 6) источник получения персональных данных.
7.13. Доступ к персональным данным субъектов персональных данных (вне зависимости от вида носителя) предоставляется работникам Общества в соответствии с их должностными обязанностями.
7.14. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Обществом в соответствии с требованиями действующего законодательства Российской Федерации. В ходе своей деятельности Общество не осуществляет трансграничную передачу персональных данных.
В соответствии с законодательством Российской Федерации, возможность осуществления передачи персональных данных за пределы Российской Федерации может быть запрещена или ограничена уполномоченными органами государственной власти в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
7.15. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
7.16. Субъект имеет право на удаление своих персональных данных, опубликованных в сети Интернет. Оператор обязан удовлетворить требование по удалению данных Субъекта, если нет законных оснований для продолжения обработки, а также принимать разумные меры (с учетом затрат) для информирования третьих лиц, обрабатывающих такие персональные данные, об удалении любых ссылок, копий или повторений.

8. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
8.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, в том числе ст. 18, ч.5. ст.18, ст. 18.1, ст.19, ст.21.
8.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в 152-ФЗ.
8.3. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями 152-ФЗ;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями 152-ФЗ;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в установленный законом срок.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; вправе отозвать согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации, как в целом, так и в части, например, отзыва согласия на использование своих персональных данных, с целью направления Обществом маркетинговых рассылок, вправе получить от Общества информацию в понятной форме о передаче персональных данных, а также принимать предусмотренные законодательством меры по защите своих прав.
9.2. В случаях и порядке, установленном Федеральным законом «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
▪ подтверждение факта обработки персональных данных Обществом;
▪ правовые основания и цели обработки персональных данных;
▪ цели и применяемые Обществом способы обработки персональных данных;
▪ наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
▪ обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
▪ сроки обработки персональных данных, в том числе сроки их хранения; ▪ порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
▪ информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
▪ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
▪ сведения о способах исполнения оператором обязанностей, установленных в ст. 18.1 152-ФЗ;
▪ иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
9.3. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу Роскомнадзора, Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, либо Роскомнадзором, или иных необходимых документов, уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя, либо Роскомнадзора, Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных 152-ФЗ или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных. Общество своевременно и в полном соответствии с требованиями 152-ФЗ отвечает на обращения и запросы субъектов персональных данных и их законных представителей.
9.7. В дополнение к требованиям, изложенным в предыдущих пунктах, Общество обеспечивает защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости. В частности, Общество обрабатывает персональные данные своих работников для осуществления трудовой деятельности и только в конкретных и законных целях в соответствии с соразмерностью и необходимостью. Общество признает и уважает конфиденциальность данных своих работников, ограничивающую сбор, доступ и использование персональных данных, связанных с трудоустройством. Сбор, доступ и использование персональных данных, связанных с трудоустройством, ограничены в соответствии с местным законодательством и правилами. Обязательство Общества уважать права работников на неприкосновенность частной жизни не должно приводить к ненадлежащему исполнению работниками своих должностных обязанностей на работе (например, компьютеры компании предназначены только для использования на работе; поэтому их использование, кроме как в коммерческих целях, должно быть сведено к минимуму и не должно влиять на выполнение трудовой деятельности). Кроме того, Общество имеет право доступа ко всем рабочим местам и рабочим инструментам, а также право просматривать сообщения и информацию, созданные на рабочем месте работника, если это необходимо, или в целях обеспечения безопасности и защиты своих ИТ-систем во всех случаях в той мере, в какой это допускается применимым законодательством.
9.8. Утечка персональных данных относится к инцидентам защиты информации, порядок управления которыми определяется в том числе требованиями применимого законодательства в части сообщения об инцидентах безопасности уполномоченному органу федеральной власти.
Общество обязано:
1) В случае инцидента (неправомерной или случайной передачи ПДн, повлекшей нарушение прав и свобод субъекта) в течение 24 часов уведомлять Роскомнадзор:
- об инциденте;
- о предполагаемых причинах, которые повлекли нарушение прав субъектов;
- о предполагаемом вреде;
- о принятых мерах по устранению последствий;
- о лице, уполномоченном от имени Оператора взаимодействовать с Роскомнадзором по вопросам инцидента.
2) В течение 72 часов сообщить Роскомнадзору о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Общество при обработке персональных данных принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации.
Обработка персональных данных выполняется в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами, в том числе соответствующих государственных органов, регулирующих обработку персональных данных.
10.2. В соответствии со статьей 18.1 Федерального закона «О персональных данных» Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Общество, в частности, принимает следующие меры:
▪ Назначает Ответственного сотрудника за организацию обработки персональных данных;
▪ Разрабатывает и утверждает документы, определяющие политику Общества в отношении обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
▪ Разрабатывает и внедряет локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;
▪ Осуществляет внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, иным локальным актам Общества;
▪ Работники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации об обработке персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
▪ В Обществе разрабатываются и внедряются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных». Общество использует соответствующие требованиям действующего законодательства Российской Федерации административные, технические, физические меры, а также иные меры безопасности, для охраны персональных данных от их потери, воровства и несанкционированного доступа, использования или модификации. Общество использует все разумные средства для обеспечения точности, полноты и актуальности персональных данных.

11. ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО СОТРУДНИКА ПО УПРАВЛЕНИЮ ПЕРСОНАЛЬНЫМИ ДАННЫМИ
11.1. Ответственным сотрудником за организацию обработки персональных данных в Обществе является Генеральный директор Общества. Приказом Генерального директора Общества обязанности Ответственного сотрудника могут быть поручены другому работнику Общества.
Ответственный сотрудник должен участвовать во всех вопросах, касающихся обработки персональных данных, и быть в состоянии выполнять свои задачи автономно в рамках организации.
11.2. Ответственный сотрудник отвечает за:
- издание руководящих принципов, касающихся управления обработкой и защитой персональных данных в Обществе; - разработку правил, устанавливающих минимальные стандарты обработки и защиты персональных данных, а также мониторинг и отслеживание их утверждения, принятия и внедрения;
- подготовку заключений, координацию и обзор вопросов, связанных с обработкой и защитой персональных данных, и ответов на основные мероприятия по обработке и защите персональных в Обществе;
- осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных и внутренней политики в отношении обработки персональных данных; - доведение до сведения работников Общества положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных;
- информирование и консультирование сотрудников Общества об их обязанностях в соответствии с 152-ФЗ и иным применимым законодательством в области персональных данных;
- организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;
- внедрение политик и процедур, соответствующих правилам Общества, устанавливающих минимальные стандарты обработки персональных данных;
- принятие необходимых мер в случае произошедшей Утечки персональных данных;
- взаимодействие с Роскомнадзором и иными надзорными органами при возникновении такой служебной необходимости; - взаимодействие в качестве контактного лица в отношении субъектов персональных данных.
Кроме того, Ответственный сотрудник Общества уполномочен осуществлять надзор за соблюдением требований на локальном уровне в отношении контролируемых Обществом организаций/филиалов/обособленных подразделений (при их наличии). Ответственный сотрудник должен быть вовлечен Обществом (инициирующим изменение подразделением) с самого раннего этапа разработки/запуска нового продукта, процесса, ИТ системы, во всех вопросах, связанных с обработкой персональных данных, и должен предоставлять рекомендации ответственному подразделению. Мнению Ответственного сотрудника всегда следует уделять должное внимание, и в случае несогласия рекомендуется, чтобы ответственное подразделение задокументировало причины несоблюдения рекомендаций Ответственного сотрудника. Все бизнес-подразделения могут обратиться за консультацией к Ответственному сотруднику в случае толкования предписаний применимого законодательства в области персональных данных. Если заключение предусматривает действия, которые должны быть реализованы (выпуск/обновление нормативных актов; новые средства контроля; ИТ-процедуры), соответствующие компетентные бизнес-функции должны обеспечить их принятие/внедрение. Ответственный сотрудник осуществляет контроль второго уровня с целью мониторинга соблюдения требований применимого законодательства в области персональных данных.