Политика конфиденциальности

Политика конфиденциальности

ПОЛИТИКА

обработки и защиты персональных данных ООО «ЦКР»

Политика 69381872-IT-001-2023


Настоящая политика подлежит размещению на общедоступном ресурсе ООО «ЦКР».

Функциональное направление: IT-01 Информационная безопасность.

Описание: настоящая политика обработки и защиты персональных данных (далее – политика) Общества с ограниченной ответственностью «Центр корпоративных решений» (далее – ООО «ЦКР», Общество) является основополагающим документом, декларирующим основы деятельности Общества при обработке и защите ПДн. Политика раскрывает правовые основания обработки ПДн, принципы и цели такой обработки, правила обработки, сведения о принимаемых мерах защиты ПДн, информацию о правах субъектов ПДн.

Область распространения: требования настоящей политики распространяются на деятельность всех работников Общества, осуществляющих обработку ПДн.

1. НОРМАТИВНЫЕ ССЫЛКИ
1.1. В настоящей политике использованы ссылки на следующие нормативные документы:
1.1.1. Федеральный закон «О персональных данных» от 27.07.2006 года № 152-ФЗ;
1.1.2. Постановление правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 года № 687;
1.1.3. Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 года № 1119;
1.1.4. Приказ ФСБ России «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» от 13.02.2023 №77.

2. СОКРАЩЕНИЯ
2.1. В настоящей политике применены следующие сокращения:
2.1.1. БД: база данных;
2.1.2. ИСПДн: информационная система персональных данных;
2.1.3. ИТ: информационная технология;
2.1.4. ЛНА: локально-нормативный акт;
2.1.5. НСД: несанкционированный доступ;
2.1.6. ПДн: персональные данные;
2.1.7. СЗИ: средство защиты информации.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки ПДн в Обществе:
3.1.1. Осуществление прав и исполнение обязанностей сторон трудовых отношений в соответствии с трудовым законодательством, что включает в себя:
• заключение и исполнение трудовых договоров и иных договоров, заключенных между работником и Обществом;
• расчет заработной платы и иных выплат;
• защиту жизни и здоровья работников, в том числе, обеспечение функционирования системы управления охраной труда и пожарной безопасностью;
• оформление зарплатных/корпоративных карт;
• оформление пропусков;
• организацию командировок и иных поездок;
• организацию медицинского и иного страхования работника;
• выпуск доверенностей и иных уполномочивающих документов;
• ведение воинского учета;
• участие в социальных программах, в том числе для обеспечения льгот и гарантий;
• участие совместных с учебными заведениями программ в области подготовки кадров;
• коммуникации с работниками Общества;
• информирование работников о корпоративной жизни Общества;
• обеспечение доступа работников к ИТ-инфраструктуре Общества и обслуживаемых Обществ;
• содействие работникам в трудоустройстве и продвижении по службе;
• обеспечение личной безопасности работников и обеспечения сохранности имущества;
• контроль количества и качества выполняемой работы.
3.1.2. Исполнение поручения третьего лица на обработку ПДн в соответствии с требованиями действующего законодательства РФ.
3.1.3. Обеспечение пропускного режима на объектах Общества (в том числе для однократного пропуска субъекта ПДн на территорию Общества).
3.1.4. Рассмотрение возможности заключения, заключение и исполнение трудового соглашения/договора с субъектом ПДн.
3.1.5. Регулирование гражданско-правовых отношений субъекта ПДн с Обществом.
3.1.6. Передача Обществом ПДн или поручение их обработки третьим лицам в соответствии с действующим законодательством РФ и установленным в Обществе порядком.
3.1.7. Осуществление функций, полномочий и обязанностей, возложенных на Общество действующим законодательством РФ.
3.1.8. Установление коммуникации с потенциальными контрагентами (поставщиками, покупателями Общества и обслуживаемых Обществ), получение обратной связи от клиентов/ посетителей официального сайта Общества.
3.2. Для каждой цели обработки ПДн Общество определяет:
• соответствующие категории и перечень обрабатываемых ПДн;
• категории субъектов, ПДн которых обрабатываются;
• способы, сроки обработки и хранения ПДн;
• порядок уничтожения ПДн.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям их обработки. Не допускается обработка избыточных по отношению к заявленным целям их обработки ПДн.
4.2. В ИСПДн Общества обрабатываются ПДн более 100 тысяч субъектов.
4.3. В ИСПДн Общества обрабатываются ПДн следующих категорий субъектов ПДн:
• работники Общества;
• кандидаты на вакантные должности Общества;
• работники обслуживаемых Обществ;
• контрагенты (физические лица), оказывающие услуги (выполняющие работы) на основании договора соответствующего вида, в том числе потенциальные контрагенты;
• представители контрагента (юридические лица, индивидуальные предприниматели), оказывающие услуги (выполняющие работы) на основании договора соответствующего вида, в том числе потенциальные контрагенты;
• уволенные работники Общества;
• уволенные работники обслуживаемых Обществ до момента передачи в обслуживаемые Общества;
• посетители офиса;
• посетители официального сайта Общества.
4.4. Для каждой цели обработки ПДн (п.3.1. настоящей политики) Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, предоставление доступа ограниченному кругу лиц в соответствии с законодательством РФ), обезличивание, блокирование, удаление, уничтожение ПДн как с использованием средств автоматизации, так и без использования таковых.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
С целью эффективного функционирования процессов обработки ПДн Общество руководствуется следующими фундаментальными принципами:
• законность – обработка ПДн осуществляется на законной и справедливой основе;
• беспристрастность и прозрачность – обработка ПДн осуществляется беспристрастно и прозрачным образом в отношении субъекта ПДн;
• ограничение целей обработки – обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей и в дальнейшем ПДн не должны обрабатываться способами, несовместимыми с этими целями. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
• минимизация обработки – содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, ПДн являются адекватными по отношению к целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
• точность ПДн, достаточность и актуальность по отношению к целям обработки ПДн – в Обществе принимаются адекватные меры по удалению или уточнению неполных или неточных ПДн;
• ограничение срока хранения – хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики), договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики);
• конфиденциальность, целостность, доступность – ПДн обрабатываются способом, гарантирующим обоснованный уровень их безопасности, который предполагает использование приемлемых и адекватных организационных и технических мер защиты от несанкционированной или незаконной обработки ПДн и от случайной потери, разрушения или уничтожения данных;
• непрерывность повышения уровня знаний работников Общества в сфере обеспечения безопасности ПДн при их обработке;
• стремление к постоянному совершенствованию комплексной системы информационной безопасности направленной, в том числе, на обеспечение безопасности ПДн.

6. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество обрабатывает ПДн в случае, если применимо одно из следующих оснований обработки:
• субъект ПДн дал свое согласие на обработку своих ПДн для одной или нескольких конкретных целей;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• обработка необходима для осуществления законных интересов оператора или третьих лиц, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта ПДн;
• обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики).

7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Правовым основанием обработки ПДн является совокупность нормативно-правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПДн.
7.2. Перечень нормативно-правовых актов и иных документов Общества, на основании которых осуществляется обработка ПДн, приведен в приложении Б.

8. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Общество осуществляет обработку ПДн для каждой цели (п.3.1. настоящей политики) с использованием средств автоматизации и без использования таких средств.
8.2. Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства РФ № 1119 (п.1.1.3. настоящей политики).
8.3. Обработка ПДн без использования средств автоматизации (далее – неавтоматизированная обработка ПДн) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, БД) на электронных носителях информации.
8.4. Обработка ПДн без использования средств автоматизации осуществляется в соответствии с Постановлением правительства РФ № 687 (п.1.1.2. настоящей политики).
8.5. Обработка ПДн осуществляется с соблюдением конфиденциальности данных.
8.6. Доступ к ПДн предоставляется только тем работникам, которым ПДн необходимы для исполнения ими трудовых обязанностей.
8.7. ООО «ЦКР» не принимает решения, порождающие юридические последствия в отношении субъектов ПД или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.
8.8. Общество вправе поручить обработку ПДн третьему лицу (обработчику) с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики), на основании заключаемого с этим лицом договора.

9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
Общество не осуществляет трансграничную передачу ПДн (передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

10. УСЛОВИЯ ПРЕКРАЩЕНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество прекращает обработку ПДн при следующих условиях:
• при достижении целей обработки ПДн или утраты необходимости в их достижении;
• по истечении срока действия согласия субъекта на обработку ПДн;
• получения соответствующего запроса от субъекта ПДн, при условии, что данный запрос не противоречит требованиям законодательства РФ;
• отзыва согласия субъекта на обработку его ПДн (если отзыв согласия влечет за собой уничтожение ПДн);
• получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;
• в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора.

11. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в Обществе не осуществляется.
11.2. Обработка специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики).
11.3. Обработка ПДн о судимости может осуществляться оператором исключительно в случаях и в порядке, которые определяются в соответствии с действующим законодательством РФ.

12. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. В целях информационного обеспечения у оператора могут создаваться общедоступные источники ПДн субъектов, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные ПДн, сообщаемые субъектом ПДн.
12.2. Сведения о субъекте должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

13. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ДЛЯ РАСПРОСТРАНЕНИЯ
13.1. Общество осуществляет обработку ПДн, разрешенных субъектом ПДн для распространения при следующих условиях:
• согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
• субъект ПДн имеет возможность самостоятельно определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
13.2. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения могут быть установлены:
• запреты на передачу (кроме предоставления доступа) ПДн оператором неограниченному кругу лиц;
• запреты на обработку или условия обработки (кроме получения доступа) ПДн неограниченным кругом лиц;
• категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты.
13.3. Оператор не может отказать в установлении субъектом ПДн таких запретов и условий. В течение трех рабочих дней с момента получения согласия на обработку ПДн, разрешенных субъектом ПДн для распространения оператор публикует информацию об условиях обработки и о наличии запретов и условий на обработку ПДн, разрешенных субъектом ПДн для распространения.
13.4. Если в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения не установлены запреты и условия обработки, или категории и перечень ПДн, на которые распространяются запреты и условия, данные обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц.
13.5. Субъект ПДн дает свое согласие непосредственно, либо с использованием системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Молчание или бездействие не считается согласием на обработку таких ПДн.
13.6. Если ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, оператор, осуществляющий обработку таких ПДн (включая последующее распространение) обязан предоставить доказательства законности такой обработки.
13.7. Действие согласия на обработку ПДн, разрешенных субъектом ПДн для распространения заканчивается с момента направления субъектом ПДн требований о прекращении такой обработки.

14. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЩЕСТВОМ ОБЯЗАННОСТЕЙ
14.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики).
14.2. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики), на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики).
14.3. Общество предпринимает следующие меры, направленные на обеспечение безопасности обработки ПДн субъектов:
• назначение ответственного лица за организацию обработки ПДн;
• принятие документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДх, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
• применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со ст. 19 Федерального закона № 152-ФЗ (п.1.1.1. настоящей политики);
• осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону № 152-ФЗ (п.1.1.1. настоящей политики) и принятым в соответствии с ним нормативным правовым актам Общества;
• оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ (п.1.1.1. настоящей политики), соотношение указанного вреда и принимаемых организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
• ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
14.4. Настоящая политика, а также сведения о реализуемых требованиях к защите ПДн, подлежат обязательной публикации (с неограниченным доступом к документу) на Корпоративном портале ЦКР, а также на страницах сайта Общества в сети Интернет, с использованием которых осуществляется сбор ПДн.

15. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
15.1. Общество при обработке ПДн для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн принимает все необходимые правовые, организационные и технические меры.
15.2. В целях обеспечения безопасности ПДн в Обществе применяются следующие методы и способы защиты информации от НСД в системе защиты ПДн:
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
• применение прошедших в установленном порядке процедуру оценки соответствия СЗИ;
• оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• учет машинных носителей ПДн;
• обнаружение фактов НСД к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
15.3. Общество обеспечивает информирование уполномоченного органа по защите прав субъектов о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн в порядке, предусмотренном Приказом ФСБ России № 77 (п.1.1.4. настоящей политики).

16. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
16.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики).
16.2. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в Федеральном законе № 152-ФЗ (п.1.1.1. настоящей политики), возлагается на оператора.
16.3. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
16.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
16.5. Субъект ПДн вправе обжаловать действия или бездействие Общества, как оператора, в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
16.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
16.7. В соответствии с законодательством РФ субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн;
• правовые основания и цели обработки ПДн;
• цели и применяемые Обществом способы обработки ПДн;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн и/или которым могут быть раскрыты ПДн на основании договора с Обществом и/или на основании законодательства РФ;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики);
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных законодательством РФ;
• информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Обществом обязанностей, установленных ст. 18.1. Федерального законам № 152-ФЗ (п.1.1.1. настоящей политики);
• иные сведения, предусмотренные Федеральным законом № 152-ФЗ (п.1.1.1. настоящей политики) или другими федеральными законами.
16.8. Сведения предоставляются субъекту ПДн или его представителю законными представителями Общества при получении запроса субъекта ПДн или его представителя в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
16.9. Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться в Общество.
16.10. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ, или при наличии согласия в письменной форме субъекта ПДн.
16.11. Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ (п.1.1.1. настоящей политики) или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
16.12. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

17. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
17.1. Назначение лица, ответственного за организацию обработки и обеспечение безопасности ПДн осуществляется из числа руководителей структурных подразделений Общества. При назначении учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовать свои права и выполнять обязанности как лица, ответственного за организацию обработки ПДн.
17.2. Ответственный за организацию обработки ПДн назначается приказом генерального директора Общества.

18. ОТВЕТСТВЕННОСТЬ
18.1. Ответственность лиц за нарушение норм, регулирующих обработку и защиту ПДн, предусмотрена действующим законодательством РФ и ЛНА Общества.
18.2. Ответственность за контроль исполнения требований настоящей политики возложена на директора Дирекции по информационным технологиям.

ПРИЛОЖЕНИЕ Б

(обязательное)

Перечень Федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих правовые основания деятельности Общества об обработке персональных данных

- Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020);
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;
- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
- Закон РСФСР от 22.03.1991 г. № 948-1 «О конкуренции и ограничении монополистической деятельности на товарных рынках»;
- Федеральный закон от 26.07.2006 г. № 135-ФЗ «О защите конкуренции»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Устав Общества;
- договоры, заключаемые между Обществом и субъектами персональных данных;
- согласие соискателей на замещение вакантных должностей на обработку персональных данных;
- согласие работника на обработку персональных данных;
- договоры с контрагентами;
- поручения на обработку персональных данных;
- согласия на передачу персональных данных третьим лицам.
Международный сертификат по информационной безопасности ISO