Общество с ограниченной ответственностью «Вуден Хаус» (ООО «Вуден Хаус»)
ИНН/ КПП 6671198423/ 667101001, ОГРН 1216600075702
тел. +7 (343) 288-75-28, e-mail: doma@teplodina.ru
620146, Свердловская область, г. Екатеринбург, ул. Московская 194–136
1. Общие положения
Основные понятия:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
– сбор;
– запись;
– систематизацию;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передачу (распространение, предоставление, доступ);
– обезличивание;
– блокирование;
– удаление;
– уничтожение.
– сбор персональных данных – документально оформленная процедура получения персональных данных от субъектов персональных данных;
– запись персональных данных – действия по фиксации персональных данных на материальном носителе;
– систематизация персональных данных – действия, направленные на упорядочение, группировку и классификацию персональных данных;
– накопление персональных данных – действия, направленные на формирование исходного, несистематизированного массива персональных данных;
– хранение персональных данных – обеспечение сохранности персональных данных путем размещения их в информационных системах.
– актуализация персональных данных – действия, направленные на внесение изменений в персональные данные в соответствии с процедурами, установленными законодательством;
– извлечение персональных данных – действия, направленные на получение доступа к персональным данным и их восприятие;
– использование персональных данных – действия, направленные на применение персональных данных для достижения целей обработки;
– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.1. Политика обработки и защиты персональных данных (далее – Политика) издано и применяется ООО «Вуден Хаус» (далее – оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ).
Настоящая Политика определяет порядок и условия оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом №152-ФЗ и настоящей Политикой.
Обработка организована оператором на принципах:
– законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности оператора;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
– недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
– обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.3. Способы обработки персональных данных:
– с использованием средств автоматизации;
– без использования средств автоматизации.
1.4. В соответствии с поставленными целями и задачами оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или: заместителя руководителя оператора), именуемого далее «куратор ОПД».
1.4.1. Куратор ОПД получает указания непосредственно от исполнительного органа оператора и подотчетен ему.
1.4.2. Куратор ОПД вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона №152-ФЗ.
1.5. Настоящая Политика и изменения к ней утверждаются приказом руководителя оператора.
1.6. Сотрудники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данной Политикой и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными оператором графиками.
1.7. При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона №152-ФЗ.
1.8. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ.
1.9. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются оператором, осуществляется в рамках законодательства Российской Федерации.
2. Права и обязанности оператора и субъекта персональных данных
2.1. Обязанности оператора:
2.1.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию: подтверждение факта обработки персональных данных оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона №152-ФЗ; иные сведения.
2.1.2. Если в соответствии с Федеральным законом №152-ФЗ предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
2.1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом №152-ФЗ.
2.1.4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона №152-ФЗ, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные настоящим Федеральным законом права субъекта персональных данных; источник получения персональных данных.
2.1.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, актуализацию (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона №152-ФЗ.
2.1.6. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено законодательством Российской Федерации.
2.1.7. Оператор обязан определять степень вреда, который может быть причинен субъекту персональных данных в случае нарушения Федерального закона №152-ФЗ и составить акт оценки вреда в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»».
2.1.8. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
2.1.9. Оператор обязан представить документы и локальные акты о предпринимаемых мерах, необходимых и достаточных для обеспечения выполнения обязанностей оператора, и (или) иным образом подтвердить принятие мер по запросу уполномоченного органа по защите прав субъектов персональных данных.
2.1.10. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.1.11. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
2.1.12. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.1.13. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона №152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.1.14. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
2.1.15. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.1.16. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2.1.17. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.1.18. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.1.19. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.
2.1.20. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
2.1.21. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
2.1.22. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.1.23. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона №152-ФЗ.
2.1.24. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
2.2. Права оператора:
2.2.1. Оператор вправе самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено законодательством Российской Федерации.
2.2.2. Оператор вправе отстаивать свои интересы в суде.
2.2.3. Оператор вправе предоставлять персональные данные субъектов третьим лицам, только если это предусмотрено действующим законодательством Российской Федерации (в налоговые, правоохранительные органы, иные уполномоченные органы).
2.2.4 Оператор вправе отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации.
2.2.5. Оператор вправе использовать персональные данные субъекта без его согласия в случаях, предусмотренных Федеральным законом №152-ФЗ.
2.2.6. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.
2.2.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, предусмотренного частями 4 и 5 статьи 14 Федерального закона №152-ФЗ.
2.2.8. Оператор вправе продолжить обработку персональных данных в случаях, предусмотренных в Федеральном законе №152-ФЗ, иных нормативных правовых актах, продолжить хранение персональных данных, не являющихся биометрическими персональными данными, если обязанность их хранения предусмотрена нормативными правовыми актами.
2.3. Обязанности субъекта персональных данных:
2.3.1 Субъект персональных данных обязан предоставлять свои персональные данные в случаях, когда федеральными законами предусматриваются случаи обязательного предоставления персональных данных.
2.3.2. Субъект персональных данных обязан подавать только достоверные персональные данные.
2.3.3. Субъект персональных данных обязан своевременно уведомлять оператора персональных данных о любых изменениях своих данных в целях актуализации баз персональных данных.
2.4. Права субъекта персональных данных:
2.4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона №152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона №152-ФЗ;
10) иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
2.4.2 Субъект персональных данных вправе требовать от оператора актуализации его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.4.3 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Цели сбора персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3.3. К целям обработки персональных данных оператора относятся:
– обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
– осуществление своей деятельности в соответствии с локальными актами, принятыми оператором;
– заключение, исполнение и прекращение гражданско-правовых договоров;
– заключение и исполнение трудовых договоров;
– организация кадрового учета организации;
– ведение кадрового делопроизводства, содействие работникам в обучении и продвижении в карьере, пользовании социальными льготами;
– исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
– заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;
– заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
– ведение бухгалтерского учета и финансово-хозяйственной деятельности;
– организация приема граждан, обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан;
– оказание консультационных и информационных услуг;
– повышение качества оказываемых услуг: анализ обращений, совершенствование бизнес-процессов и внедрение инноваций, проведение опросов, анкетирования и маркетинговых исследований;
– осуществления прав и обязанностей в рамках гражданско-правовых договоров;
– информирование посредством отправки электронных писем;
– предоставление доступа к сервисам, информации и/или материалам, содержащимся на веб-сайте: https://teplodina.ru/
– осуществление рекламной деятельности с согласия субъекта персональных данных.
4. Правовые основания обработки персональных данных
4.1. Правовым основанием обработки персональных данных являются:
– совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон №152-ФЗ и иное законодательство Российской Федерации, регулирующее деятельность оператора.
– уставные и локальные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие на обработку персональных данных, согласие на распространение персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
5.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Обработка персональных данных допускается в следующих случаях:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем/поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– обработка персональных данных необходима для осуществления профессиональной и законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона №152-ФЗ, при условии обязательного обезличивания персональных данных;
– осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);
– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с требованиями Федерального закона №152-ФЗ;
– осуществляется сбор, запись, систематизация, накопление и актуализация (обновление, изменение) персональных данных работников и бывших работников Оператора через: получение оригиналов необходимых документов (заявление, трудовая книжка, резюме, иные документы, предоставляемые в отдел кадров); копирование оригиналов документов; внесение сведений в учетные формы (на бумажных и электронных носителях); формирование персональных данных в ходе кадровой работы и т.д.
– осуществляется передача документов, содержащих персональные данные, в уполномоченные государственные и муниципальные органы.
5.3. К категориям субъектов персональных данных относятся:
5.3.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников.
В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений:
– фамилия, имя, отчество;
– пол;
– гражданство;
– национальность;
– дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
– адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
– сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
– номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
– замещаемая должность;
– сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы в этих организациях (органах));
– идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
– данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
– данные полиса обязательного медицинского страхования;
– данные паспорта или иного удостоверяющего личность документа;
– данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
– данные трудовой книжки, вкладыша в трудовую книжку;
– сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках);
– сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
– сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
– сведения о владении иностранными языками (иностранный язык, уровень владения);
– сведения о судимости (наличие (отсутствие) судимости, дата (число, месяц, год) привлечения к уголовной ответственности (снятия или погашения судимости), статья);
– сведения о дееспособности (реквизиты документа, устанавливающие опеку (попечительство), основания ограничения в дееспособности, реквизиты решения суда);
– сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;
– сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении);
– сведения о дисциплинарных взысканиях;
– сведения, содержащиеся в материалах служебных проверок;
– сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи, реквизиты свидетельства о заключении брака);
– сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);
– сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
– номер расчетного счета;
– информация об оформленных допусках к коммерческой тайне;
– фотографии.
5.3.2. Клиенты и контрагенты оператора (физические лица).
В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных:
– фамилия, имя, отчество;
– пол;
– гражданство;
– дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
– адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
– сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
– номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
– замещаемая должность;
– идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
– данные паспорта или иного удостоверяющего личность документа;
– сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;
– номер расчетного счета.
5.3.3. Представители/работники клиентов и контрагентов оператора (юридических лиц).
В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые оператором исключительно для исполнения указанного договора:
– фамилия, имя, отчество;
– пол;
– номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
– замещаемая должность;
– данные паспорта или иного удостоверяющего личность документа;
– сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью.
5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, допускается:
– в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
– в соответствии с законодательством пенсионным, трудовым законодательством.
6. Получение (сбор) персональных данных
6.1. Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных.
В случае возникновения необходимости получения персональных данных у третьей стороны следует заранее известить об этом субъекта персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона № 152-ФЗ).
6.2. Сбор, запись, систематизация, накопление и актуализация персональных данных осуществляются путем: получения оригиналов необходимых документов; копирования оригиналов документов; внесения сведений в учетные формы (на бумажных и электронных носителях); формирования персональных данных в ходе их обработки; внесения персональных данных в информационные системы и базы данных.
7. Порядок и условия обработки персональных данных
7.1. Оператор осуществляет обработку персональных данных – операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, актуализацию (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом №152-ФЗ.
7.3. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.4. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ, осуществляется ответственным работником за организацию обработки персональных данных. По результатам издается акт оценки вреда в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»».
7.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.7. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При необходимости передачи персональных данных третьим лицам, если такая передача предусмотрена законодательством Российской Федерации, обеспечиваются все необходимые меры по защите передаваемой информации в соответствии с требованиями законодательства Российской Федерации в области защиты персональных данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
7.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ.
7.10. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.11. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.12. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или актуализации неполных или неточных данных.
8. Обработка персональных данных без использования средств автоматизации
8.1. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором определяются места хранения персональных данных (материальных носителей) для исключения неправомерного доступа к ним.
8.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
8.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности: при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.4. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
8.5. Актуализация персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с актуализированными персональными данными.
9. Порядок обработки персональных данных в информационных системах персональных данных
9.1. Лицам, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется пароль для доступа к соответствующей информационной системе персональных данных. Доступ к прикладным программным подсистемам предоставляется указанным лицам в соответствии с их должностными регламентами.
9.2. Информация может вноситься как в ручном, так и в автоматическом режимах.
9.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения неправомерного, в том числе случайного, доступа к персональным данным.
10. Порядок работы с обезличенными данными
10.1. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных.
10.2. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года №996 «Об утверждении требований и методов по обезличиванию персональных данных».
10.3. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
10.4. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
11. Порядок и условия обработки биометрических персональных данных
11.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
11.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
11.3. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Федерального закона №152-ФЗ.
11.4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11.5. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.
11.6. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
11.7. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
11.8. Оператор обязан:
– осуществлять учет количества экземпляров материальных носителей;
– осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
11.9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
– доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
– применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
– проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
11.10. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
12. Сроки обработки и хранения персональных данных
12.1. Обработка персональных данных прекращается в следующих случаях:
– по достижении целей обработки персональных данных или при утрате необходимости в их достижении;
– по истечении срока обработки персональных данных, установленного при сборе персональных данных;
– по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– при невозможности устранения допущенных нарушений при обработке персональных данных;
– при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
– при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом №152-ФЗ обработка персональных данных допускается только с его согласия.
Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
12.2. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.
12.3. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральным законодательством. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
12.4 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
12.5. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона №152-ФЗ.
13. Актуализация, исправление персональных данных, ответы на запросы субъектов на доступ к персональным данным
13.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона №152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
13.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
13.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан актуализировать персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
14. Порядок удаления и уничтожения персональных данных
14.1. Удаление с последующим уничтожением персональных данных и носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:
– быть конфиденциальным, исключая возможность последующего восстановления;
– оформляться актом о выделении к уничтожению носителей, содержащих персональные данные субъектов персональных данных, актом об уничтожении персональных данных, а также выгрузкой из журнала регистрации событий в информационной системе персональных данных;
– должно проводиться Комиссией по уничтожению персональных данных;
– уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
14.2. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, при достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, установленных Федеральным законом №152-ФЗ.
14.3. Создается Комиссия по уничтожению персональных данных. Комиссия производит отбор носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.
14.4. На все отобранные к уничтожению материалы составляется акт. В акте исправления не допускаются. Комиссия проверяет наличие всех материалов, включенных в акт.
14.5. По окончании сверки акт подписывается всеми членами Комиссии и утверждается ответственным работником оператора.
14.6. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.
14.7. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
14.8. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
– уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающие возможность последующего восстановления информации.
– уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
– подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
Об уничтожении носителей, содержащих персональные данные, обрабатываемые без средств автоматизации, Комиссия составляет и подписывает акт об уничтожении персональных данных.
14.9. Об уничтожении персональных данных, обрабатываемых с использованием средств автоматизации, Комиссия составляет и подписывает акт об уничтожении персональных данных, а также Комиссия оформляет выгрузку из журнала регистрации событий в информационной системе персональных данных в соответствии с Требованиями к подтверждению уничтожения персональных данных, утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179.
14.10. Если обработка персональных данных осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, Комиссия по итогам уничтожения таких данных составляет акт об уничтожении персональных данных, соответствующий пунктам 3 и 4 Требований к подтверждению уничтожения персональных данных, утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. №179.
14.11. Акты об уничтожении персональных данных подписываются членами Комиссии, уничтожившими данные, и утверждаются ответственным работником оператора.
14.12. Акты о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению хранятся у ответственного работника оператора в течение срока хранения, предусмотренного номенклатурой дел, затем акты передаются в архив.
14.13. Акты об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных хранятся у ответственного работника оператора в течение трех лет с момента уничтожения персональных данных.
Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты doma@teplodina.ru.
В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://teplodina.ru/privacy-policy/.