Политика
ООО «Капитель»
в отношении обработки персональных данных

1. Общие положения

1.1. Политика обработки персональных данных в ООО «Капитель» (далее — Политика) в соответствии с пунктом 2 части 1 ст.18.1 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных» определяет для каждой цели обработки персональных данных перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а так же основные принципы, основные права и обязанности оператора и субъектов персональных данных, требования к защите персональных данных.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательства в области персональных данных.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «Капитель» вопросы обработки персональных данных работников ООО «Капитель» и других субъектов персональных данных.

1.4. ООО «Капитель», являясь оператором персональных данных, осуществляет обработку персональных данных работников ООО «Капитель» и других субъектов персональных данных, не состоящих с ООО «Капитель» в трудовых отношениях.

1.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в ООО «Капитель» не осуществляется, за исключением случаев, предусмотренных частью 2 ст.10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

2. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика

2.1. Политика определяется в соответствии со следующими нормативными правовыми актами:

• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных

данных и технологиям хранения таких данных вне информационных систем персональных данных»;

• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

2.2. В целях реализации положений Политики в ООО «Капитель» разработаны соответствующие локальные нормативные акты и иные документы, в том числе:

• положение о порядке обработки персональных данных в ООО «Капитель»;

• приказ «О назначении ответственного за организацию обработки персональных данных и создании комиссии по защите персональных данных»;

• распоряжение «Об утверждении списков должностей работников, имеющих доступ к персональным данным и отвечающих за выполнение мероприятий по их защите».

3. Основные термины и определения, используемые в локальных нормативных актах

ООО «Капитель», регламентирующих вопросы обработки персональных данных

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Принципы и цели обработки персональных данных

4.1. ООО «Капитель», являясь оператором персональных данных, осуществляет обработку персональных данных работников ООО «Капитель» и других субъектов персональных данных, не состоящих с ООО «Капитель» в трудовых отношениях.

4.2. Обработка персональных данных в ООО «Капитель» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ООО «Капитель» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных должна осуществляться на законной и справедливой основе;

• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

• обработке подлежат только персональные данные, которые отвечают целям их обработки;

• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;

• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не

установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.

4.3. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовые основания обработки персональных данных.

Обеспечение соблюдения трудового законодательства РФ:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, адрес места жительства, адрес регистрации, номер телефона, адрес электронной почты, СНИЛС, ИНН, гражданство, семейное положение, сведения о членах семьи, данные документа, удостоверяющего личность, номер расчетного счета, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании, сведения о состоянии здоровья, связанный с возможностью выполнения трудовой функции, сведения о открытых банковских счетах и картах;

категории субъектов, персональные данные которых обрабатываются: работники, родственники работников;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Трудовой Кодекс РФ, Федеральный закон от 01.04.1996 №27-ФЗ, Федеральный закон от 29.12.2006 №255-ФЗ, Федеральный закон от 24.07.1998 №125-ФЗ, Федеральный закон от 28.12.2013 №400-ФЗ, Налоговый кодекс РФ, трудовой договор;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Воинский учет:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, семейное положение, адрес места жительства, адрес регистрации, должность, сведения об образовании, данные документа, удостоверяющего личность, сведения об отношении к воинской обязанности;

категории субъектов, персональные данные которых обрабатываются: работники, родственники работников;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Федеральный закон от 28.03.1998 №53-ФЗ, Постановление Правительства РФ от 27.11.2006 №179;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Содействие в трудоустройстве и обучении:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, данные документа, удостоверяющего личность, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании;

категории субъектов, персональные данные которых обрабатываются: работники, соискатели;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, Трудовой кодекс РФ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Обеспечение пропускного режима на территорию оператора:

категории персональных данных: фамилия, имя, отчество, дата рождения, данные документа, удостоверяющего личность, адрес места жительства, сведения о трудовой

деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;

категории субъектов, персональные данные которых обрабатываются: работники, контрагенты, представители контрагентов;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; инструкция о пропускном и внутриобъектовом режиме;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Организация поощрения, награждения, поздравления:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

категории субъектов, персональные данные которых обрабатываются: работники;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Трудовой кодекс РФ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Предотвращение неисполнения трудовых обязанностей:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, адрес места жительства, адрес регистрации, номер телефона, адрес электронной почты, данные документа, удостоверяющего личность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

категории субъектов, персональные данные которых обрабатываются: работники;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, Трудовой кодекс РФ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Организация социальной поддержки, оздоровления, отдыха работника, членов его семьи, бывшего работника:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, семейное положение;

категории субъектов, персональные данные которых обрабатываются: работники, родственники работников;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; трудовой договор, согласие работника, члена семьи;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Получение лицензий:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании;

категории субъектов, персональные данные которых обрабатываются: работники;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Федеральный закон от 04.05.2011 №99-ФЗ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Обеспечение соблюдения страхового законодательства РФ:

категории персональных данных: фамилия, имя, отчество, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), адрес места жительства, адрес регистрации, номер телефона, адрес электронной почты, СНИЛС, семейное положение, сведения о членах семьи, данные документа, удостоверяющего личность, сведения о состоянии здоровья, связанный с возможностью выполнения трудовой функции, сведения о открытых банковских счетах и картах;

категории субъектов, персональные данные которых обрабатываются: работники, родственники работников;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Гражданский кодекс РФ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Обеспечение исполнения актов судов и иных юрисдикционных органов:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, адрес места жительства, адрес регистрации, номер телефона, гражданство, данные документа, удостоверяющего личность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

категории субъектов, персональные данные которых обрабатываются: иные категории субъектов персональных данных, персональные данные которых обрабатываются; физические лица, персональные данные которых необходимо обрабатывать в силу закона;

правовое основание обработки персональных данных: осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом; Гражданский процессуальный кодекс РФ, Уголовно-процессуальный кодекс РФ, Кодекс административного судопроизводства РФ, Уголовно-исполнительный кодекс РФ, Федеральный закон «Об исполнительном производстве»;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Ведение претензионно-исковой работы:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, адрес места жительства, адрес регистрации, номер телефона, гражданство, данные документа, удостоверяющего личность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

категории субъектов, персональные данные которых обрабатываются: работники, законные представители, иные категории субъектов персональных данных, персональные данные которых обрабатываются; участники уголовного и гражданского судопроизводства, участники деликатных (внедоговорных) обязательств;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом; Гражданский кодекс РФ, Трудовой кодекс РФ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Подготовка, заключение и исполнение гражданско-правового договора:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность;

категории субъектов, персональные данные которых обрабатываются: выгодоприобретатели по договорам, законные представители, иные категории субъектов персональных данных, персональные данные которых обрабатываются; физические лица, состоящие в договорных отношениях;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом; Гражданский кодекс РФ, гражданско-правовой договор;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Рассмотрение обращений граждан:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, адрес места жительства, адрес регистрации, номер телефона, должность;

категории субъектов, персональные данные которых обрабатываются: работники, уволенные работники, иные категории субъектов персональных данных, персональные данные которых обрабатываются; граждане, обратившиеся к оператору с запросом о предоставлении информации;

правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; Федеральный закон от 02.05.2006 №59-ФЗ, Трудовой кодекс РФ, Федеральный закон от 28.12.2013 №400-ФЗ

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

Контроль за безопасностью производства работ:

категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения;

категории субъектов, персональные данные которых обрабатываются: работники;

правовое основание обработки персональных данных: Трудовой кодекс РФ от 30.12.2001 №197-ФЗ;

перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет;

сроки обработки и хранения персональных данных, порядок уничтожения персональных данных определены в разделе 12 настоящей Политики.

5. Перечень субъектов,  персональные  данные  которых  обрабатываются  в  ООО

«Капитель»

• ООО «Капитель» обрабатываются персональные данные следующих категорий субъектов:

— работников подразделений ООО «Капитель»;

— других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в пункте 4.3 Политики).

6. Функции ООО «Капитель» при осуществлении обработки персональных данных

ООО «Капитель» при осуществлении обработки персональных данных:

• самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами;

• назначает ответственного за организацию обработки персональных данных;

• издает, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• принимает (или обеспечивает их принятие) необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

• осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, локальным актам ООО «Капитель»;

• обеспечивает ознакомление работников ООО «Капитель», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими Политику, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

• обеспечивает неограниченный доступ к настоящей Политике с использованием средств соответствующей информационно-телекоммуникационной сети;

• прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

• обеспечивает обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

• обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

• устанавливает запрет на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и по сетям Интернет без применения установленных в ООО «Капитель» мер по обеспечению безопасности

персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);

• осуществляет хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

• осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, настоящей Политике, локальным нормативным актам ООО «Капитель»;

• предпринимает иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

7. Условия обработки персональных данных в ООО «Капитель»

7.1. Обработка персональных данных в ООО «Капитель» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

7.2. ООО «Капитель» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

7.3. ООО «Капитель» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, обязанность по запросу ООО «Капитель» данных

• течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «Капитель» установленных законодательством требований, обязанность обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении ООО «Капитель» о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

7.4. В целях внутреннего информационного обеспечения ООО «Капитель» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

7.5. Доступ к обрабатываемым в ООО «Капитель» персональным данным разрешается только работникам ООО «Капитель», занимающим должности, включенные в перечень должностей подразделений ООО «Капитель», при замещении которых осуществляется обработка персональных данных.

8. Перечень действий с персональными данными и способы их обработки

8.1. ООО «Капитель» осуществляет: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

8.2. Обработка персональных данных в ООО «Капитель» осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

9. Права субъектов персональных данных

9.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;

• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

• информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

9.2. Субъект персональных данных имеет право:

• требовать от ООО «Капитель» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• на отзыв согласия на обработку персональных данных;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

• осуществление иных прав, предусмотренных законодательством Российской Федерации.

10. Основные права и обязанности оператора

10.1. Оператор имеет право:

• организовать и (или) осуществлять обработку персональных данных в соответствии с действующим законодательством;

• определять цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

• продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

10.2. Оператор обязан:

• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

• предоставлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных»;

• осуществлять передачу персональных данных работника в пределах ООО «Капитель» в соответствии c положением о порядке обработки персональных данных в ООО

«Капитель» ПД-К-ИС_26-05-2025;

• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

• прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, по требованию субъекта персональных данных;

• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

• уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных законодательством;

• уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных;

• предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;

• предоставить субъекту персональных данных по его просьбе информацию, касающеюся обработки его персональных данных;

• разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;

• предоставить субъекту персональных данных до начала обработки таких персональных данных информацию об операторе, целях обработки персональных данных и ее правовом основании, перечне персональных данных, предполагаемых пользователей персональных данных, правах субъекта персональных данных, источнике получения персональных данных, если персональные данные получены не от субъекта персональных данных;

• получать все персональные данные работника у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

• обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных федеральными законами;

• ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

• сообщить субъекту персональных данных при его обращении информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

• осуществить блокирование неправомерно обрабатываемых персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных;

• прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, данных лицом, действующим по поручению оператора;

• уничтожить персональные данные или обеспечить их уничтожение в случае, если обеспечить правомерность их обработки невозможно;

• уточнить персональные данные либо обеспечить их уточнение в случае подтверждения факта их неточности;

• прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае достижения цели обработки;

• прекратить обработку персональных данных случае отзыва субъектом персональных данных согласия на обработку его персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением

между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством;

• исключить из общедоступных источников персональных данных сведения о субъекте персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

11. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов ООО «Капитель» в области персональных данных, в том числе требований к защите персональных данных

11.1. Контроль за соблюдением подразделениями ООО «Капитель» законодательства Российской Федерации и локальных нормативных актов ООО «Капитель» в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью выявления нарушений законодательства Российской Федерации

• области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

11.2. Внутренний контроль за соблюдением подразделениями ООО «Капитель» законодательства Российской Федерации и локальных нормативных актов в области персональных данных осуществляется комиссией по защите персональных данных в ООО

«Капитель».

11.3. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов ООО «Капитель» в области персональных данных в подразделениях возлагается на их руководителей.

12. Сроки обработки персональных данных (в том числе хранения), порядок уничтожения персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных.

Срок обработки (в том числе срок хранения) персональных данных составляет пять лет с даты предоставления субъектом персональных данных согласия на обработку его персональных данных, если иной срок не установлен Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 N 236, иными нормативно-правовыми актами РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные на бумажных носителях хранятся в структурных подразделениях (подразделениях) ООО «Капитель». Персональные данные работников в электронном виде хранятся на серверах и хранилищах данных информационных систем персональных данных ООО «Капитель», перечень которых утверждается директором ООО «Капитель».

• «Капитель» обязано уничтожить персональные данные или обеспечить их уничтожение в случаях: невозможности обеспечения правомерности обработки персональных данных (в срок, не превышающий десяти рабочих дней с даты выявления

неправомерной обработки персональных данных); достижения цели обработки персональных данных (в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных); отзыва субъектом персональных данных согласия на обработку своих персональных данных (в срок, не превышающий тридцати дней с даты поступления указанного отзыва).

Об уничтожении персональных данных в связи с невозможностью обеспечения правомерности их обработки ООО «Капитель» обязано уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган.

Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

При необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

Уничтожение персональных данных на бумажных носителях и в информационных системах производится согласно требованиям приказа Роскомнадзора от 28.10.2022 N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных». Ответственный за инициализацию уничтожения персональных данных – структурное подразделение (подразделение), для целей которого эти персональные данные были собраны. Ответственный за процесс уничтожения персональных данных – структурное подразделение (подразделение), которое осуществляет хранение персональных данных.

13 Требования к защите персональных данных

Обеспечение безопасности персональных данных достигается:

а)  определением  угроз  безопасности  персональных  данных  при  их  обработке  в

информационных системах персональных данных;

б) применением организационных и технических мер по обеспечению безопасности

персональных данных при их обработке в информационных системах персональных

данных, необходимых для выполнения требований к защите персональных данных,

исполнение     которых      обеспечивает      установленные                              Правительством                       Российской

Федерации уровни защищенности персональных данных;

в) применением прошедших в установленном порядке процедур оценки соответствия

средств защиты информации; применением для уничтожения персональных данных

прошедших в установленном порядке процедуру оценки соответствия средств защиты

информации, в составе которых реализована функция уничтожения информации;

г)     оценкой     эффективности     принимаемых     мер     по        обеспечению                               безопасности

персональных данных до ввода в эксплуатацию информационной системы персональных

данных;

д) учетом машинных носителей персональных данных;

е) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

ж)  восстановлением  персональных  данных,  модифицированных  или  уничтоженных

вследствие несанкционированного доступа к ним;

з)    установлением    правил    доступа    к    персональным       данным,                 обрабатываемым  в

информационной системе персональных данных, а также обеспечением регистрации и

учета всех действий, совершаемых с персональными данными;

и) контролем доступа работников и посетителей на охраняемые объекты ООО «Капитель»

• соответствии с инструкцией о пропускном и внутриобъектовом режимах в ООО

«Капитель»;

к) контролем доступа в серверные помещения;

л) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; м) обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы.

Выбор средств защиты информации для системы защиты персональных данных осуществляется ООО «Капитель» в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности РФ и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:

а) хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, должно осуществляться раздельно; б) при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ; в) персональные данные при их обработке, осуществляемой без использования средств

автоматизации, должны обособляться от иной информации;

г) при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

Требования к помещениям, в которых осуществляется обработка персональных данных без использования средств автоматизации:

а) помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время; б) окна помещений, в которых осуществляется хранение персональных данных,

находящихся  в  зданиях,  расположенных  за  пределами контролируемой зоны  ООО

«Капитель», либо выходящих окнами за пределы контролируемой зоны ООО «Капитель» и находящихся на первых или последних этажах зданий, либо около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц (независимо от этажа), необходимо оборудовать металлическими решетками (ставнями или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения); в) размещение оборудования, охрана и организация режима в помещениях, в которых

обрабатываются персональные данные, должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц;

г)    все    документы,    содержащие    персональные    данные,       хранятся                      в                            хранилищах,

запираемых на ключ (шкафах, ящиках или сейфах). В конце каждого рабочего дня

документы, содержащие персональные данные, должны быть убраны в указанные

шкафы, ящики или сейфы;

д) в случае ухода из помещения в течение рабочего дня всех работников, дверь

помещения закрывается на ключ.