Политика оператора в отношении обработки персональных данных

1. Общие положения
1.1. Политика оператора ООО «Алидан» в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также  в целях определения принципов работы ООО «Алидан» с персональными данными.
1.2. Основные понятия, используемые в Политике:
Персональные данные - любая информация, относящаяся  прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- распространение;
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Оператор обязан:
1.3.1. при обработке персональных данных соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
1.3.2. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных (граждан Российской Федерации) с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации;
1.3.3. при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
1.3.4. в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства Российской Федерации и субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
1.3.5. в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную ФЗ «О персональных данных», с учетом установленных законодательством Российской Федерации исключений;
1.3.6. выполнять обязанности, предусмотренные для операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от субъекта персональных данных и/или его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), и/или от надзорного органа;
1.3.7. принимать меры, направленные на обеспечение выполнения требований ФЗ «О персональных данных»;
1.3.8. принимать меры по обеспечению безопасности персональных данных при их обработке;
1.3.9. выполнять обязанности по устранению нарушений законодательства Российской Федерации, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных законодательством Российской Федерации;
1.3.10. выполнять обязанности, установленные ФЗ «О персональных данных» для операторов персональных данных, в случае получения от субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
1.3.11. взаимодействовать с надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных ФЗ «О персональных данных»;
1.3.12. выполнять иные обязанности, предусмотренные законодательством РФ.
1.4. Оператор имеет право:
1.4.1. обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;
1.4.2. осуществлять передачу персональных данных субъектов персональных данных третьим лицам/контрагентам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных субъектов персональных данных третьим лицам/контрагентам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований ФЗ «О персональных данных»;
1.4.3. отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;
1.4.4. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;
1.4.5. самостоятельно, с учетом требований ФЗ «О персональных данных», определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
1.4.6. реализовывать иные права, предусмотренные законодательством Российской Федерации.
1.5. Субъект персональных данных имеет право:
1.5.1. свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований ФЗ «О персональных данных» к форме и содержанию согласий на обработку персональных данных;
1.5.2. направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством Российской Федерации;
1.5.3. требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав с учетом исключений, установленных ФЗ «О персональных данных»;
1.5.4. обратиться с требованием к оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
1.5.5. осуществлять иные права, предусмотренные законодательством оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в установленный законом срок уведомить уполномоченный орган по защите прав субъектов персональных данных.

2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, определенных настоящим документом и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
2.2. Цели обработки персональных данных происходят из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена уставом оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
2.3. К целям обработки персональных данных оператора относятся:
- организация, обеспечение и регулирование трудовых и непосредственно связанных с ними отношений;
- подбор персонала на вакантные должности;
- подготовка, заключение, исполнение гражданско-правовых договоров;
-обеспечение прохождения ознакомительной, производственной, преддипломной практики на основании договора с учебным заведением;
- предоставление посетителям сайта Оператора доступа к размещенным на нем материалам и информации, улучшение работы сайта и его содержания;
- обеспечение безопасности, сохранности имущества на территории предприятия.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных являются:
- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации, ФЗ «Об исполнительном производстве», «Об официальном статистическом учете и системе государственной статистики в РФ», ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством", ФЗ «О воинской обязанности и военной службе» .
- судебные акты, акты другого органа или должностного лица, подлежащие исполнению оператором в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
- Устав и локальные нормативные акты ООО «Алидан»;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Условия обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором исключительно для достижения целей, установленных Политикой. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Для каждой цели обработки персональных данных устанавливаются соответствующие:
4.2.1. категории и перечень обрабатываемых персональных данных;
4.2.2. категории субъектов, персональные данные которых могут обрабатываться;
4.2.3. способы, сроки обработки и хранения персональных данных;
4.2.4. порядок уничтожения персональных данных.
4.3. Перечень целей обработки персональных данных Оператора приведен в приложении № 1 к Политике.
4.4. Для каждой цели обработки персональных данных в отношении каждой категории субъектов персональных данных приложением № 1 Политики устанавливается перечень обрабатываемых персональных данных в следующих категориях:
4.4.1. специальные;
4.4.2. биометрические;
4.4.3. иные персональные данные.
4.5. Перечень обрабатываемых персональных данных устанавливается в отношении следующих основных категорий субъектов персональных данных:
4.5.1. Работники;
4.5.2. Бывшие работники;
4.5.3. Родственники работников;
4.5.4. Клиенты и контрагенты оператора (физические лица);
4.5.5. Представители/работники клиентов и контрагентов оператора (юридических лиц);
4.5.6. Соискатели;
4.5.7. Пользователи сайта;
4.5.8. Студенты и обучающиеся;
4.5.9. Лица, находящиеся на территории предприятия.
4.6. Установленные пунктом 4.5 категории субъектов персональных данных не являются исчерпывающими. Приложением № 1 могут быть установлены дополнительные категории субъектов, обработка персональных данных которых требуется для достижения соответствующей цели обработки.
4.7. Для каждой цели обработки персональных данных могут быть применены следующие способы обработки персональных данных:
4.7.1. автоматизированная обработка персональных данных в информационной системе персональных данных оператора с использованием средств вычислительной техники;
4.7.2. неавтоматизированная обработка персональных данных без использования средств вычислительной техники с фиксацией персональных данных на материальных носителях;
4.7.3. смешанная обработка персональных данных.
4.8. Сроки обработки и хранения персональных данных устанавливаются, исходя из  правовых оснований обработки персональных данных с учетом необходимости достижения целей обработки, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено действующим законодательством о ПДн.
4.9. Уничтожение персональных данных производится в следующих случаях:
4.9.1. при достижении целей обработки персональных данных или в случае утраты необходимости в достижении целей обработки персональных данных, если иное не установлено правилами Политики и требованиями действующего законодательства о ПДн;
4.9.2. при истечении срока действия правовых оснований обработки персональных данных;
4.9.3. при выявлении факта обработки персональных данных, не соответствующей требованиям Политики и/или требованиям действующего законодательства о ПДн;
4.9.4. при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено требованиями действующего законодательства о ПДн;
4.9.5. при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не предусмотрено требованиями действующего законодательства о ПДн;
4.9.6. при получении от надзорного органа решения об уничтожении ПДн, в том числе решения о запрете или ограничении трансграничной передачи ПДн.
4.10. Уничтожение персональных данных производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационных системах и/или в результате которых уничтожаются материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в информационной системе персональных данных.
5.    Организация процесса управления обработкой персональных данных
5.1. Обрабатывая персональные данные, оператор  руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленными положениями законодательства Российской Федерации, Политикой и  иными локальными нормативными актами оператора.
5.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов субъектов персональных данных в рамках утвержденных процессов и/или локальных нормативных актов оператора, определяющих, в частности:
5.2.1. правовые основания (условия) и источники сбора (получения) персональных данных;
5.2.2. цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных;
5.2.3. сроки обработки и хранения персональных данных;
5.2.4. обязанности владельцев функциональных процессов в структурном подразделении, этапы/операции (действия) и способы обработки персональных данных;
5.2.5. порядок доступа работников оператора к персональным данным и их обработке;
5.2.6. порядок передачи персональных данных третьим лицам/ контрагентам оператора/иным лицам (если применимо, в том числе государственным органам и/или учреждениям, государственным внебюджетным фондам, муниципальным органам), порядок распространения персональных данных в отношении неопределенного круга лиц;
5.2.7. порядок уточнения (обновления, изменения) персональных данных;
5.2.8. порядок архивного хранения персональных данных;
5.2.9. порядок прекращения обработки и уничтожения персональных данных или обеспечения уничтожения, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
5.3. Оператором определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем работникам оператора, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции работников оператора и/или в трудовые договоры, в том числе, если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению конфиденциальности и безопасности персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных работники оператора, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, ознакамливаются под роспись с положениями законодательства о ПДн, в том числе с требованиями к защите персональных данных, а также с требованиями локальных нормативных актов оператора, регламентирующих вопросы обработки и защиты персональных данных.
5.4. В части обработки персональных данных работников оператор, в том числе, руководствуется требованиями Трудового кодекса Российской Федерации.
5.5. При обработке персональных данных оператором обеспечивается своевременное уточнение (обновление, изменение) персональных данных субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:
5.5.1. обращения к оператору субъекта персональных данных, его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;
5.5.2. установления оператором расхождений между ранее полученными персональными данными субъекта персональных данных и персональными данными, предоставляемыми субъектом персональных данных, его представителем, (обладающим полномочиями на представление интересов субъекта персональных данных), надзорным органом наряду с подтверждающими документами.
5.6. Получение оператором персональных данных от третьего лица/контрагента/иных лиц (если применимо) и/или передача (предоставление, доступ) персональных третьему лицу/контрагенту/иному лицу (если применимо), а также поручение обработки персональных данных третьему лицу/контрагенту/иному лицу (если применимо) допускается с согласия субъекта персональных данных на обработку персональных данных, в том числе предоставленного третьему лицу/контрагенту, или при наличии иных оснований, предусмотренных законодательством Российской Федерации. Получение оператором персональных данных от третьего лица/контрагента/иного лица (если применимо) и/или передача (предоставление, доступ) персональных данных третьему лицу/контрагенту/иному лицу (если применимо), а также поручение обработки персональных данных третьему лицу/контрагенту/иному лицу (если применимо) осуществляется на основании соответствующего договора с третьим лицом/контрагентом/иным лицом (если применимо), включающего в себя условия обработки персональных данных, требования к обеспечению конфиденциальности и безопасности персональных данных при их обработке и иные требования в соответствии с ФЗ «О персональных данных».
5.7. Передача персональных данных государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных законодательством Российской Федерации.
5.8. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при условии наличия оснований (условий обработки персональных данных), предусмотренных ФЗ «О персональных данных».
5.9. В случае отсутствия у оператора правовых оснований на обработку персональных данных (условий обработки персональных данных) оператор в порядке, установленном ФЗ «О персональных данных», производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению оператора) в порядке, предусмотренном настоящей Политикой.
6. Порядок рассмотрения обращений и/или запросов субъектов персональных данных
6.1. В целях соблюдения прав и законных интересов субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений субъектов персональных данных, а также контроль обеспечения такого приема и обработки.
6.2. При рассмотрении обращений и/или запросов субъектов персональных данных оператор руководствуется положениями законодательства Российской Федерации, согласно которым запрос и/или обращение, направляемый и/или направляемое субъектом персональных данных, должен/должно содержать информацию, предусмотренную ФЗ «О персональных данных».
6.3. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов персональных данных производится оператором в объеме и сроки, предусмотренные законодательством Российской Федерации. Установленный законодательством Российской Федерации срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных ФЗ «О персональных данных» ограничений с направлением в адрес субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
6.4. Оператор, получив обращение и/или запрос субъекта персональных данных и убедившись в его законности, предоставляет субъекту персональных данных и/или его представителю, обладающему полномочиями на представление интересов субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые оператором сведения не могут содержать персональные данные, принадлежащие другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.5. Оператор вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту персональных данных или его представителю мотивированного отказа, если у оператора в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении/удовлетворении поступивших требований.
7. Меры обеспечения конфиденциальности и безопасности персональных данных
7.1. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.1.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных оператора.
7.1.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных оператора, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
7.1.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
7.1.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
7.1.5. Учет машинных носителей персональных данных.
7.1.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
7.1.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
7.1.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных оператора, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных оператора.
7.1.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
7.2. Лицо, ответственное за организацию обработки ПДн, организует и контролирует ведение учета материальных носителей персональных данных.
7.3. Лицо, ответственное за информационную безопасность, при их обработке в информационных системах персональных данных оператора, должно обеспечить:
7.3.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных.
7.3.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
7.3.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.3.4. Постоянный контроль за обеспечением уровня защищенности персональных данных.
7.3.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
7.3.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
7.3.7. При обнаружении нарушений порядка представления персональных данных незамедлительное приостановление представления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин.
7.3.8. Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.4. Обмен персональными данными при их обработке в информационных системах персональных данных оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
7.5. Доступ работников оператора к персональным данным, находящимся в информационных системах персональных данных оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
7.6. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
7.7. Помимо этого, проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных».

Приложение №1

к Политике оператора в отношении

обработки персональных данных

Перечень целей обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения

Цель 1. Организация, обеспечение и регулирование трудовых и непосредственно связанных с ними отношений

Цель обработки персональных данных охватывает процессы трудоустройства, выполнения трудовой функции и все непосредственно связанные с этим отношения, в том числе выполнение оператором обязанностей, установленных налоговым, страховым законодательством, законодательством об охране труда, законодательством об исполнительном производстве, проведение статистического учета.
Достижением цели следует считать окончание установленного законодательством срока хранения личного дела работника.
1.1. В отношении работников, бывших работников обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
фамилия, имя, отчество, год, месяц, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона (рабочего, домашнего, сотового), СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами РФ, данные водительского удостоверения, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображение лица.
Категория «Специальные персональные данные»: сведения о состоянии здоровья.
Категория «Биометрические персональные данные»: не обрабатываются.
1.2. В отношении родственников работников, обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
 фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; семейное положение; пол; гражданство; данные документа, содержащиеся в свидетельстве о рождении.
Категория «Специальные категории персональных данных»: сведения о состоянии здоровья.
Категория «Биометрические персональные данные»: не обрабатываются.
1.3. Применяемые способы обработки персональных данных: смешанная обработка.
1.4. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
1.5. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.

Цель 2. Подбор персонала на вакантные должности
Цель обработки персональных данных охватывает процессы подбора и оценки кандидатов в рамках трудоустройства к оператору.
Достижением цели следует считать заключение трудового договора с кандидатом, либо отказ в заключении трудового договора по итогам оценки соответствия вакантной должности.
2.1. В отношении соискателей – лиц, имеющих намерение заключить с оператором трудовой договор, обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; пол; адрес электронной почты; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании;  фото-видео изображение лица.
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
2.2. Применяемые способы обработки персональных данных: смешанная обработка.
2.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
2.4. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.

Цель 3. Подготовка, заключение и исполнение гражданско-правовых договоров
Цель обработки персональных данных охватывает процессы согласования условий, заключения договора, действия сторон по исполнению обязательств, установленных договором, взаимодействие с представителями контрагентов.
Достижением цели следует считать исполнение сторонами обязательств, принятых по договору в течение всего срока его действия.
3.1. В отношении  клиентов и контрагентов оператора (физических лиц) обработке подлежат следующие персональные данные:
Категория «иные персональные данные»: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; пол; адрес электронной почты; номер телефона; гражданство; должность; адрес регистрации; ИНН; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ, данные водительского удостоверения; номер расчетного счета; фото-видео изображение лица.
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
3.2. В отношении представителей/работников клиентов и контрагентов оператора (юридических лиц) обработке подлежат следующие персональные данные:
Категория «иные персональные данные»: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; пол; адрес электронной почты; номер телефона; гражданство; должность; адрес регистрации; данные документа, удостоверяющего личность.
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
3.3. Применяемые способы обработки персональных данных: смешанная обработка.
3.4. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
3.5. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.

Цель 4. Обеспечение прохождения ознакомительной, производственной, преддипломной практики на основании договора с учебным заведением
Цель обработки персональных данных включает организацию прохождения ознакомительной, производственной, преддипломной практики студентами и обучающимися, направленными на основании договора с учебным заведением.
Достижением цели следует прохождение практики, исполнение оператором обязательств по договору с учебным заведением.
4.1. В отношениистудентов и учащихся обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; пол; адрес электронной почты; номер телефона; гражданство; профессия; сведения об образовании.
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
4.2. Применяемые способы обработки персональных данных: смешанная обработка.
4.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
4.4. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.

Цель 5. Предоставление посетителям сайта Оператора доступа к размещенным на нем материалам и информации, улучшение работы сайта и его содержания
 Цель обработки персональных данных охватывает процесс предоставления Оператором информации посетителям на официальном сайте с анализом полученных данных сервисами интернет-статистики.
Достижением цели следует считать доведение информации Оператора до Посетителей сайта, улучшение работы сайта и его содержания.
5.1. В отношении Посетителей сайта обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
фамилия, имя, отчество; адрес электронной почты; номер телефона, cookies-файлы .
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
5.2. Применяемые способы обработки персональных данных: автоматизированная обработка.
5.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
5.4. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.

Цель 6. Обеспечение безопасности, сохранности имущества на территории предприятия, использование пропускного режима на территории предприятия.
 Цель обработки персональных данных включает систему мер, направленных на обеспечение безопасности на производственных, складских площадках, в офисных помещениях оператора, в том числе организацию пропускного режима и видеонаблюдение.
6.1. В отношении лиц, находящихся на территории предприятия, в том числе работников оператора, клиентов, представителей/работников контрагентов оператора, обработке подлежат следующие персональные данные:
Категория «иные персональные данные»:
фамилия, имя, отчество; фото-видеофиксация лица; данные документа, удостоверяющего личность.
Категория «Специальные категории персональных данных»: не обрабатываются.
Категория «Биометрические персональные данные»: не обрабатываются.
6.2. Применяемые способы обработки персональных данных: смешанная обработка.
6.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 4.8 Политики.
6.4. Порядок уничтожения персональных данных: в соответствии с пунктом 4.9 Политики.