3.11. Срок обработки и хранения ПД зависит от цели обработки ПД:
Анализ посещаемости, пользовательской активности – 5 лет с момента получения ПД.
Подготовка, заключение и исполнение гражданско-правового договора - до момента окончания срока действия/расторжения/исполнения договора, до момента истечения срока исковой давности.
Направление сообщений рекламного характера, маркетинговые и иные исследования - по достижении целей обработки персональных данных, по получении отзыва согласия на обработку персональных данных.
Продвижение товаров, работ, услуг на рынке – 10 (десять) лет с момента его предоставления Оператором либо с момента получения отзыва согласия на обработку персональных данных.
Ведение бухгалтерского учёта - по достижении целей обработки персональных данных, по получении отзыва согласия на обработку персональных данных Ведение претензионной работы - до момента истечения срока исковой давности, по получении отзыва согласия на обработку персональных данных.
Ведение кадрового и бухгалтерского учёта - по достижении целей обработки персональных данных, до момента окончания действия трудового договора, по получении отзыва согласия на обработку персональных данных.
Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах – по достижении целей обработки персональных данных
Прекращение обработки персональных данных осуществляется при прекращении деятельности Оператора (ликвидация или реорганизация), исключения Оператора из Единого государственного реестра юридических лиц.
3.12. Обработка персональных данных, осуществляемая без использования средств автоматизации.
3.12.1. ПД при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях ПД (далее – материальные носители), в специальных разделах или на полях форм (бланков).
3.12.2. При фиксации ПД на материальных носителях не допускается фиксация на одном материальном носителе ПД, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД, осуществляемой без использования средств автоматизации, для каждой категории ПД используется отдельный материальный носитель.
3.12.3. Лица, осуществляющие обработку ПД без использования средств автоматизации (в том числе работники Оператора или лица, осуществляющие такую обработку по договору с Оператором), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПД, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами Российской Федерации, а также локальными правовыми актами Оператора.
3.12.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД (далее – типовая форма), соблюдаются следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки ПД, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПД, источник получения ПД, сроки обработки ПД, перечень действий с ПД, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
- типовая форма предусматривает поле, в котором субъект ПД может поставить отметку о своем согласии на обработку ПД, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку ПД;
- типовая форма составляется таким образом, чтобы каждый из субъектов ПД, содержащихся в документе, имел возможность ознакомиться со своими ПД, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПД;
- типовая форма исключает объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо не совместимы.
3.12.5. При несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД, принимаются меры по обеспечению раздельной обработки ПД, в частности:
- при необходимости использования или распространения определенных ПД отдельно от находящихся на том же материальном носителе других ПД осуществляется копирование ПД, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПД, не подлежащих распространению и использованию, и используется (распространяется) копия ПД;
- при необходимости уничтожения или блокирования части ПД уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПД, подлежащих уничтожению или блокированию.
3.12.6. Уничтожение или обезличивание части ПД, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Положения, предусмотренные в настоящем пункте и пункте 3.12.5. настоящей Политики применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПД и информации, не являющейся ПД.
3.12.7. Уточнение ПД при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.12.8. Меры по обеспечению безопасности ПД при их обработке, осуществляемой без использования средств автоматизации:
- обработка ПД, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПД можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ;
- обеспечивается раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях;
- при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются ООО «ТК Азур».
3.13. Хранение ПД.
Персональные данные, обрабатываемые без использования средств автоматизации, хранятся на следующих материальных носителях:- бумажные носители;
- машинные носители, а именно: жесткий диск на сервере оператора .
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.В целях обработки различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться следующие условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним:
- установка сейфов с замками для хранения материальных носителей с персональными данными;
- установка замков на двери в помещениях для хранения материальных носителей с персональными данными;
- допуск в помещения для хранения материальных носителей с персональными данными только лиц, входящих в перечень лиц, имеющих доступ к персональным данным в целях выполнения ими их трудовых (служебных) обязанностей.
3.14. Уничтожение ПД.
3.14.1. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.14.2. В случае прекращения обработки персональных данных на основании запроса субъекта персональных данных, Оператор обязан сообщить о прекращении обработки ПД в течение 10 дней.
3.14.3. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных.При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - Выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала.
Акт об уничтожении персональных данных и Выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных. Акт об уничтожении персональных данных должен содержать:- наименование и адрес Оператора;
- в случае поручения Оператором обработки персональных данных другому лицу - наименование юридического лица или фамилию, имя, отчество (при наличии) физического лица, адрес такого лица;
- фамилию, имя, отчество (при наличии) Субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
- фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные Субъекта персональных данных, а также их (его) подпись;
- перечень категорий уничтоженных персональных данных Субъекта персональных данных;
- наименование уничтоженных материальных носителей, содержащих персональные данные Субъекта персональных данных, с указанием количества листов в отношении каждого материального носителя в случае обработки персональных данных без использования средств автоматизации;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных Субъекта персональных данных.
Выгрузка из журнала должна содержать:- фамилию, имя, отчество (при наличии) Субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
- перечень категорий уничтоженных персональных данных Субъекта персональных данных;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных.
В случае если Выгрузка из журнала не позволяет указать отдельные необходимые сведения, они вносятся в Акт об уничтожении персональных данных.
4. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Ответственным за организацию обработки персональных данных является генеральный директор .
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:- осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников Оператора положения законодательства РФ о персональных данных, Политики обработки персональных данных и иных локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, отслеживать изменения в них;
- организовывать прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
- участвовать в организации внутреннего расследования в случае выявления неправомерной обработки персональных данных;
- участвовать в комиссии по уничтожению персональных данных.
4.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
4.2.1. во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных работников» (далее — Положение) и иные локальные акты;
4.2.2. устанавливает правила доступа к персональным данным Пользователя, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
4.2.3. производит оценку вреда, который может быть причинен Пользователям (субъектам) персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
4.2.4. производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
4.2.5. применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
4.2.6. осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.2.7. производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
4.2.8. осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в инфо
рмационной системе Оператора.
4.2.9. обеспечивает конфиденциальность персональных данных. Работники оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.2.10. знакомит работников оператора с положениями законодательства Российской Федерации о персональных данных, внутренними документами оператора по вопросам обработки персональных данных, требованиями к защите персональных данных. Работники Оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.2.11. использует антивирусные средств защиты информации; производит идентификацию и проверку подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия; своевременно устанавливает обновление используемого программного обеспечения информационных систем персональных данных и средств защиты информации.
4.3. Источником информации обо всех персональных данных является непосредственно сам Пользователь (субъект ПД).
4.4. Согласно законодательству РФ, Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.5. При достижении целей обработки персональных данных, истечения сроков действия согласия, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
4.6. В случае отзыва согласия на обработку, либо в связи с достижением целей обработки персональных данных Оператор обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 календарных дней с даты отзыва согласия.
В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.
4.7. Система защиты персональных данных соответствует требованиям постановления Правительства РФ от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Основными методами и способами защиты информации в информационных системах персональных данных являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Выбранные и реализованные методы и способы защиты информации обеспечивают нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.
Оператор и ответственные лица, назначенные оператором, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением о защите персональных данных оператора,