Политика о защите персональных данных

I. Общие положения

1.1. Настоящая Политика ООО «Мега Профиль» о защите персональных данных (далее - Политика) (далее – Организация, оператор) разработана в соответствии с законодательством Российской Федерации о защите персональных данных и иными нормативными актами.

 

II. Основные понятия

2.1. Для целей настоящей Политикой используются следующие основные понятия:

персональные данные работника (иного субъекта персональных данных) - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику (иному СПД).

Оператор персональных данных (для целей настоящей Политики - ООО «Мега Профиль»), самостоятельно организует и осуществляет обработку персональных данных (далее – ПДн), а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн работников и(или) иных СПД;

обработка персональных данных - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн Организации и иных СПД;

конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к ПДн работников (иных СПД), требования не допускать их раскрытия и распространения без согласия работника (иного СПД) или иного законного основания;

распространение персональных данных - действия, направленные на раскрытие ПДн работников (иных СПД) неопределенному кругу лиц, в том числе обнародование ПДн работников (иных СПД) в средствах массовой информации, размещение в информационно-телекоммуникационных сетях;

использование персональных данных - действия (операции) с ПДн, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (иных СПД) либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

блокирование персональных данных - временное прекращение обработки (сбора, записи, систематизации, накопления, использования, передача (за исключением случаев, если обработка необходима для уточнения ПДн);

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание ПДн в информационной системе ПДн работников (иных СПД) или в результате которых уничтожаются материальные носители ПДн работников (иных СПД);

обезличивание персональных данных - действия, в результате которых невозможно без использования дополнительной информации определить принадлежность ПДн конкретному работнику (иному СПД) (цель обезличивания - исключить возможность прямо или косвенно установить физическое лицо);

общедоступные источники персональных данных – справочники, адресные книги и т.п. в которые с письменного согласия субъекта ПДн могут быть включены его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные сведения, сообщаемые субъектом ПДн.

информация - сведения (сообщения, данные) независимо от формы их представления.

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

 

III. Категории персональных данных и субъекты персональных данных

3.1. Категории и перечень ПДн:

3.1.1 Персональные данные:

- фамилия, имя, отчество, дата и место рождения, пол, гражданство, адрес и другие паспортные данные, фотография;

- ИНН, СНИЛС, номер телефона, адрес электронной почты;

- профессия, сведения об образовании, владении иностранными языками, местах работы, в том числе о предыдущих;

- данные воинского учета;

- сведения о семейном положении и членах семьи, о месте их работы или учебы;

- доходы, данные банковских счетов и карт;

- сведения о состоянии здоровья, связанные с возможностью выполнения трудовой функции;

иные сведения, связанные с профессиональной деятельностью работника.

3.1.2. Специальные категории ПДн - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

3.1.3. Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

3.1.4 Персональные данные клиентов и контрагентов:

- ФИО, контактные телефоны, адреса электронной почты;

- адреса доставки (в т.ч. объекты строительства);

- реквизиты документов, удостоверяющих личность (при оформлении договоров);

- данные о заказах, истории покупок, предпочтениях;

- банковские реквизиты, данные карт (при обработке платежей);

- фото- и видеоизображения (при фиксации доставки, претензий);

- данные представителей контрагентов-юрлиц (должность, контакты, полномочия).

3.2. Оператор может обрабатывать ПДн следующих категорий субъектов ПДн:

- кандидаты для приема на работу в Организацию, работники и бывшие работники Организации;

- иные СПД (взаимодействующие с Организацией в рамках гражданско-правовых отношений). Доступ к ПДн лиц, не являющихся работниками Организации, имеют сотрудники Организации, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей.

3.2.1. Правовые основания обработки для клиентов:

 

- исполнение договора купли-продажи, оказания услуг (ст. 6 152-ФЗ);

- согласие субъекта на обработку (для маркетинга, рассылок);

- законные интересы Оператора (ст. 6 152-ФЗ): предотвращение мошенничества, улучшение сервиса, аналитика;

- исполнение требований налогового, бухгалтерского законодательства.

 

3.3. Состав документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.

3.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. Лицо, поступающее на работу, предъявляет работодателю при заключении трудового договора документы и сведения, предусмотренные трудовым законодательством Российской Федерации, и иным применимым законодательством (о внутреннем водном транспорте, о транспортной безопасности и т.д.).

3.3.2. При оформлении работника в Организацию заполняется унифицированная форма Т-2 «Личная карточка работника», в которой указываются анкетные и биографические данные работника.

3.3.3. В Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

• трудовые договоры и дополнительные соглашения к ним;

• анкеты, тесты и другие результаты испытаний при приеме на работу;

• копии документов об образовании, о наличии специальных знаний, квалификации и ее повышении, а также материалы аттестации работников;

• копии документов воинского учета;

• личные карточки работников (Т-2), личные дела, трудовые книжки или сведения о трудовой деятельности (СТД-Р);

• приказы по кадрам;

• отчетные материалы по оценке качества и эффективности работника, служебные и докладные записки, касающиеся работника;

• медицинские заключения о состоянии здоровья;

• документы со сведениями о заработной плате, банковских счетах и банковских картах;

• материалы внутренних расследований (акты, докладные, протоколы и др.);

• экземпляры отчетов для государственных органов;

иные документы, предусмотренные законодательством.

 

IV. Обработка персональных данных

4.1. Порядок получения ПДн.

4.1.1. Персональные данные работника Организации (иного СПД) следует получать у него самого. Если ПДн работника (иного СПД) возможно получить только у третьей стороны, то работник (иной СПД) должен быть уведомлен об этом заранее и от него должно быть получено соответствующее письменное согласие. Должностное лицо Организации должно сообщить работнику Организации (иному СПД) о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн.

Если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

4.1.2. Организация не имеет права получать и обрабатывать специальные категории ПДн работника Организации (иного СПД), за исключением случаев и в порядке, предусмотренными законодательством Российской Федерации¹.

4.2. Оператор вправе обрабатывать ПДн работников (иных СПД) только с их письменного согласия.

4.2.1. Письменное согласие работника (иного СПД) на обработку своих ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным² и должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает СПД. Форма согласия на обработку ПДн приведена в Приложении № 1 к настоящей Политике.

4.2.2. Согласие работника (иного СПД) не требуется в случаях:

1) обработка ПДн осуществляется на основании Трудового кодекса РФ (в отношении работников Организации) или иного федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия Организации;

2) обработка ПДн осуществляется для статистических целей при условии обязательного обезличивания ПДн ³;

3) ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является СПД;

4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов работника (иного СПД), если получение его согласия невозможно;

5) в связи с участием СПД в судопроизводстве, исполнительном производстве;

6) осуществляется обработка ПДн, подллежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2.3. Особенности получения согласия от клиентов:

Согласие на обработку ПДн клиентов оформляется:

• при первом заказе — в бумажной или электронной форме (чек-бокс на сайте с ссылкой на Политику);

• отдельно — на обработку специальных категорий (если требуется);

• отдельно — на распространение ПДн и маркетинговые рассылки (ст. 15, 10.1 152-ФЗ).

Форма согласия должна содержать: цель, перечень данных, способы обработки, срок действия, порядок отзыва.

4.3. Биометрические персональные данные, которые используются оператором для установления личности СПД, могут обрабатываться только при наличии письменного согласия СПД. Обработка биометрических ПДн может осуществляться без согласия СПД в случаях, предусмотренных законодательством РФ⁴.

4.4. Порядок обработки ПДн работника Организации (иного СПД).

4.4.1. Работник (иной СПД) предоставляет оператору достоверные сведения о себе. Должностное лицо Организации (согласно п. 6.1 настоящей Политики) проверяет достоверность сведений, сверяя данные, предоставленные СПД, с имеющимися у СПД документами.

4.4.2. В соответствии со ст. 86 ТК РФ должностные лица, указанные в п. 6.1 настоящей Политики, при обработке ПДн должны соблюдать следующие общие требования:

- обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- при принятии решений, затрагивающих интересы работника, оператор не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

- защита ПДн работника от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном федеральным законом;

- работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;

4.4.3. Порядок обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного письменного согласия СПД. Организация обязана немедленно прекратить по требованию СПД обработку его ПДн⁵.

4.5. Внутренний контроль процесса обработки ПДн, уничтожение ПДн проводятся на основании решения руководителя оператора, определяющего состав комиссии, порядок её работы и сроки проведения соответствующего мероприятия.

4.6. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию⁶ по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом⁷. Уничтожение предполагает совершение действий, в результате которых нельзя восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожены материальные носители ПДн.

4.7. Удаление, уничтожение ПДн осуществляются по следующей процедуре:

4.7.1. Ежегодно, не позднее 31 декабря, осуществляется экспертиза дел (документов), содержащих ПДн, обрабатываемые без использования средств автоматизации и обрабатываемые с использованием средств автоматизации. Уничтожение ПДн подтверждается следующими документами⁸:

• актом об уничтожении - если обрабатываете данные без использования средств автоматизации;

• актом об уничтожении и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если обрабатываете данные с использованием средств автоматизации либо одновременно применяете два способа обработки.

4.7.2. Акт об уничтожении ПДн должен содержать:

- наименование (юридического лица) и адрес оператора;

- ФИО СПД или иную информацию, относящуюся к СПД, чьи ПДн были уничтожены;

- ФИО, должность лиц (лица), уничтоживших ПДн СПД, а также их (его) подпись;

- перечень категорий уничтоженных ПДн СПД;

- наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПДн СПД, с указанием количества листов в отношении каждого материального носителя (в случае обработки ПДн без использования средств автоматизации);

- наименование информационной (информационных) системы (систем) ПДн, из которой (которых) были уничтожены ПДн СПД (в случае обработки ПДн с использованием средств автоматизации);

- способ уничтожения ПДн;

- причину уничтожения ПДн;

- дату уничтожения ПДн СПД.

4.7.3. Выгрузка из журнала должна содержать:

- ФИО СПД, чьи ПДн были уничтожены;

- перечень категорий, уничтоженных ПДн СПД;

- наименование информационной системы ПДн, из которой были уничтожены ПДн СПД;

- причину уничтожения ПДн;

- дату уничтожения ПДн СПД.

В случае если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в акт об уничтожении ПДн.

4.7.4. Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.

4.7.5. Уничтожение содержащих ПДн документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

Уничтожение ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

4.8. Обработка ПДн с использованием сторонних сервисов:

- При передаче данных курьерским службам, платежным агрегаторам, CRM-системам:

• заключается договор поручения обработки (ст. 6.2 152-ФЗ);

• исполнитель обязан соблюдать конфиденциальность и требования безопасности;

 

4.9. Автоматизированная обработка и профилирование:

- При использовании CRM, аналитики покупок, персонализированных предложений:

• субъект уведомляется о применении автоматизированных решений;

• исключается принятие юридически значимых решений исключительно на основе автоматической обработки (ст. 16 152-ФЗ);

• обеспечивается возможность оспаривания таких решений.

 

V. Передача, хранение и использование персональных данных

5.1. При передаче ПДн работника (иного СПД) Организация должен соблюдать следующие требования⁹:

5.1.1. Не сообщать ПДн третьей стороне без письменного согласия работника (иного СПД), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (иного СПД), а также в случаях, установленных федеральным законом.

5.1.2. Не сообщать ПДн работника (иного СПД) в коммерческих целях без его письменного согласия. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с предварительного согласия СПД.

5.1.3. Предупредить лиц, получивших ПДн работника (иного СПД), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн работника (иного СПД), обязаны соблюдать режим секретности (конфиденциальности). Положение данного пункта не распространяется на обмен ПДн работников в порядке, установленном ТК РФ и иными федеральными законами (ст. 88 ТК РФ).

5.1.4. Осуществлять передачу ПДн работников (иных СПД) в пределах Организации в соответствии с настоящей Политикой, с которой Работники (иные СПД) должны быть ознакомлены под роспись.

5.1.5. Разрешать доступ к ПДн работников (иных СПД) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника (иного СПД), которые необходимы для выполнения конкретной функции.

5.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.1.7. Передавать ПДн работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

5.2. Хранение и использование ПДн работников:

5.2.1. Персональные данные работников обрабатываются и хранятся в самой Организации, по адресу фактического месторасположения Организации.

5.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».

5.3. Хранение и использование ПДн СПД, не являющихся работниками Организации:

5.3.1. Хранение ПДн должно осуществляться в форме, позволяющей определить СПД, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом¹⁰, договором, стороной которого, выгодоприобретателем или поручителем, по которому является СПД.

5.3.2. Персональные данные обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные иных СПД также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках файлов, Места хранения ПДн работников Организации и иных СПД определены приказом директора.

5.4. Сроки хранения ПДн клиентов:

- Данные по исполненным договорам: 5 лет (налоговый кодекс, архивное законодательство);

- Данные для маркетинга: до отзыва согласия, но не более 3 лет с последнего контакта;

- Данные претензий/гарантий: срок гарантии + 2 года;

- После истечения сроков — обезличивание или уничтожение по процедуре п. 4.7.

 

VI. Доступ к персональным данным

6.1. Право доступа к персональным данным работников (иных СПД) имеют:

- директор Организации;

- работники, работающие в сфере бухгалтерского учета;

- другие работники (имеют право получать только те ПДн работника (иных СПД), которые необходимы для выполнения конкретных функций);

- руководители структурных подразделений по направлению деятельности (доступ к ПДн только работников подчиненного подразделения).

До получения доступа к ПДн вышеуказанные лица обязаны составить письменное обязательство о неразглашении полученных ПДн по форме Приложения № 2 к настоящей Политике.

6.2. Лицом, ответственным за организацию обработки ПДн в целом по Организации является директор Организации, которому надлежит:

- обеспечить методическую и консультационную поддержку лиц, имеющих право доступа к ПДн в соответствии с п. 6.1 настоящей Политики, путем их ознакомления (не реже одного раза в год) с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами Организации по вопросам обработки ПДн;

- инициировать и сопровождать проведение в Организации мероприятий в соответствии с пунктами 4.5 – 4.7 настоящей Политики.

6.3. Работник Организации имеет право¹¹:

- на полную информацию о своих ПДн и обработке этих данных;

- свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих ПДн;

- доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

- на требование об исключении или исправлении неверных, или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить ПДн работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалования в суд любых неправомерных действий или бездействия работодателя при обработке и защите его ПДн.

6.3. Права клиентов и контрагентов:

- Право на отзыв согласия в любой момент (с объяснением последствий — невозможность оказания услуг);

- Право на ограничение обработки (например, при оспаривании точности данных);

- Право на перенос данных (data portability) в машиночитаемом формате;

- Право не подвергаться решению, основанному исключительно на автоматизированной обработке.

6.4. Порядок рассмотрения запросов субъектов:

- Запрос направляется на email/почту Оператора с приложением копии паспорта;

- Срок ответа: не более 30 дней (ст. 14 152-ФЗ);

- Ответ предоставляется в доступной форме, без избыточных данных третьих лиц;

 

VII. Распространение персональных данных¹².

7.1. Организация может распространять ПДн (например, разместить их на сайте Организации) только с момента получения письменного согласия СПД по форме Приложения № 3 к настоящей Политике.

7.2. Если физлицо подписало согласие на обработку ПДн, но не дало своего согласия на их распространение, Организация может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще. Это не касается передачи ПДн государственным органам, то есть военкомату, ФНС, СФР, правоохранительным органам и т.п.

Молчание или бездействие СПД ни при каких обстоятельствах не может считаться согласием на распространение его ПДн.

7.3. Субъект ПНн наделен правом самостоятельно выбирать, какие именно ПДн и на каких условиях может распространять оператор, получивший к ним доступ¹³. Например: СПД может разрешить опубликовать только его фото и ФИО, а дату рождения запретить публиковать; либо он может разрешить передачу ПДн третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные СПД запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах. Например: несмотря на запрет, оператор может передать ПДн в налоговую, СФР, военкомат, полицию, следственный комитет и т. д.

7.4. Если в согласии прямо не указано, что СПД не установил запреты и условия обработки ПДн, их не следует передавать неограниченному кругу лиц.

7.5. Получив согласие на распространение ПДн, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней. Поскольку, законом не регулируется, где именно должна быть опубликована такая информация, логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и ФИО СПД).

7.6. Оператор ПДн обязан прекратить передачу (распространение, предоставление, доступ) ПДн по письменному требованию СПД, в котором должны быть указаны: ФИО, контакты (номер телефона, адрес электронной почты или почтовый адрес), перечень ПДн, обработка которых должна быть прекращена. Действие согласия СПД на обработку ПДн, разрешенных им для распространения, прекращается с момента поступления оператору вышеуказанного требования.

7.7. Оператор обязан прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения заявления СПД с соответствующим письменным требованием в отношении своих ПДн, ранее разрешенных СПД для распространения.

VIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн работника (иных СПД), несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.2. Моральный вред, причиненный работнику (иному СПД) вследствие нарушения его прав, нарушения правил обработки ПДн, установленных Федеральным законом 152-ФЗ, а также требований к защите ПДн, установленных в соответствии с Федеральным законом 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных СПД убытков. 

IX. Информационная безопасность

 

9.1. Организация технических мер защиты:

- разграничение прав доступа в 1С, CRM, почте;

- использование антивирусов, межсетевых экранов, шифрования;

- регулярное резервное копирование.

 

9.2. Организационные меры:

- назначение ответственного за организацию обработки ПДн (приказ);

- проведение внутреннего контроля не реже 1 раза в 3 года;

- обучение сотрудников, работающих с ПДн.

 

9.3. Реагирование на инциденты:

- при утечке ПДн — уведомление Роскомнадзора в течение 24 часов (ст. 16.1 152-ФЗ);

- уведомление субъектов, если утечка создает риск нарушения их прав;

- ведение Реестра инцидентов.

 

X. Заключительные положения

10.1. Политика размещается на сайте ООО «Мега Профиль» в разделе «Конфиденциальность».

10.2. При изменении законодательства Политика актуализируется в течение 30 дней.

10.3. Контроль исполнения Политики возлагается на директора и ответственного за обработку ПДн.

 

 Нормативные ссылки

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных;

2. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

3. Приказ Роскомнадзора от 24.02.2021 № 18 Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

4. Постановление Правительства РФ от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

5. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

6. Приказ Роскомнадзора от 19.06.2025 № 140 Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

7. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

8. Приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".