Положение об обработке персональных данных

УТВЕРЖДАЮ Генеральный директор ООО «Беркана-Логистика» ________________ Бреннер М.Е. Приказ № 2-ПДн от 12.08.2025 г. ПОЛОЖЕНИЕ о защите, сборе, обработке, хранении и распостранении персональных данных Общества с ограниченной ответственностью ООО «Беркана-Логистика» 1. Понятие и состав персональных данных, условные обозначения 1.1. Основные понятия, используемые в Положении: Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Субъекту, т.е. такая информация, как: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация, позволяющая по совокупности определить, идентифицировать Субъекта персональных данных. Оператор – Общество с ограниченной ответсвенностью ООО «Беркана-Логистика» самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных; Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 1.2. Перечень действий с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение, распостранение. Согласно разделу 4 настоящего Положения к каждой цели предусмотрен определенный перечень персональных данных, которые обрабатывает Оператор. 1.3. Условные обозначения и сокращения. ФСТЭК– Федеральная служба по техническому и экспортному контролю РФ ИСПДн – информационная система персональных данных ПДн – персональные данные РФ – Российская Федерация ФИО – фамилия, имя, отчество КЗ – контролируемая зона 2. Общие положения 2.1. Настоящее Положение регламентирует порядок сбора, обработки, хранения, распространения, защиты персональных данных граждан, которые осуществляет Общество с ограниченной ответсвенностью ООО «Беркана-Логистика» (далее по тексту – Общество, Оператор), а также содержит образцы необходимых внутренних документов, используемых в работе с персональными данными. 2.2. Целями настоящего Положения являются: - защита персональных данных Субъектов от несанкционированного доступа третьих лиц; - определение порядка обработки персональных данных; - обеспечение соответствия порядка обработки персональных данных законодательству Российской Федерации. 2.3. Задачами настоящего Положения являются: - определение принципов обработки персональных данных; - определение условий обработки персональных данных, способов защиты персональных данных; - определение прав Субъектов персональных данных, прав и обязанностей Оператора при обработке персональных данных. 2.4. Настоящее Положение является обязательным для исполнения Оператором и всеми лицами, имеющими доступ к персональным данным Субъектов, которые должны быть ознакомлены с настоящим Положением под подпись. 2.5. Лица, в обязанность которых входит организация обработки персональных данных - далее по тексту «Ответственное лицо», обязано обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы в области персональных данных , если иное не предусмотрено законом. 2.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан. Ограничение прав граждан на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством. 2.7. Действие Положения распространяется на все персональные данные Субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств. 2.8. Обработка и обеспечение безопасности персональных данных Оператором осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России. 2.9. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно до замены его новым Положением. 3. Порядок, принципы и условия обработки персональных данных 3.1. До начала обработки персональных данных Оператор обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о намерении осуществлять обработку персональных данных. 3.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, а также Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». 3.3. При обработке персональных данных Оператор придерживается следующих принципов: • Законность и справедливость основы; • Ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей; • Недопущения обработки персональных данных, несовместимой с целями сбора персональных данных, • Недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; • Обработки персональных данных, которые отвечают целям их обработки; • Соответствия содержания; • Точность и достаточность персональных данных, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки; • Принятие необходимых мер по уничтожению или уточнению неполных или неточных персональных данных. 3.4. Оператор обрабатывает персональные данные при наличии хотя бы одного из следующих условий: • обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных; • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей; • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем; • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных; • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных либо по его просьбе; • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 3.5. Обработка персональных данных Оператором может осуществляться следующими способами: • неавтоматизированная обработка персональных данных; • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; • смешанная обработка персональных данных. 4. Цели обработки персональных данных, перечень персональных данных, перечень Субъектов персональных данных, способы и сроки обработки персональных данных 4.1. Оператором утвержден следующий перечень целей и персональных данных Субъектов, способы и сроки, порядок уничтожения: Цель Перечень ПДн Перечень субъектов ПДн Срок обработки прекращается от даты наступления первого события. Способ обработки № 1 Подготовка, заключение и исполнение гражданско-правового договора. - ФИО; - пол; - гражданство; - дата рождения; - месяц рождения; - год рождения; - место рождения; - адрес регистрации; - адрес места жительства; - данные документа, удостоверяющего личность; - ИНН; - банковские реквизиты (реквизиты банковской карты; номер счета); - номер телефона; - адрес электронной почты. - выгодоприобретатели по договорам; - контрагенты; - клиенты. - по истечении 30 лет с момента предоставления согласия на обработку ПДн; - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на обработку ПДн, учитывая сроки рассмотрения поступившего отзыва согласно закону; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 2 Рассмотрение субъекта персональных данных в качестве кандидата на вакантную должность Оператора. - ФИО; - пол; - гражданство; - дата рождения; - месяц рождения; - год рождения; - место рождения; - адрес места жительства; - сведения об образовании; - профессия; - должность; - сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); - фотоизображение кандидата (не используется для идентификации личности субъекта персональных данных); - номер телефона; - адрес электронной почты; - другие сведения, указанные в резюме субъектом персональных данных; - соискатели; - кандидаты. - по истечении 30 лет с момента предоставления согласия на обработку ПДн; - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на обработку ПДн, учитывая сроки рассмотрения поступившего отзыва согласно закону; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 3 Выполнение требований законодательства в сфере труда и налогообложения. - ФИО; - пол; - гражданство; - дата рождения; - месяц рождения; - год рождения; - место рождения; - адрес регистрации; - дата регистрации по месту жительства; - адрес места жительства; - данные документа, удостоверяющего личность; - ИНН; -СНИЛС; - сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); - сведения об образовании; - профессия; - должность; - номер телефона; - работники; - уволенные работники. - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на обработку ПДн, учитывая сроки рассмотрения поступившего отзыва согласно закону; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 4 Выполнение требований законодательства в области воинского учета. - ФИО; - пол; - гражданство; - дата рождения; - месяц рождения; - год рождения; - место рождения; - адрес регистрации; адрес места жительства (места пребывания); - данные документа, удостоверяющего личность; - данные водительского удостоверения; - данные об образовании; - профессия; - должность; - состав семьи (степень родства, ФИО, год рождения); - семейное положение; - данные свидетельства о заключении брака; - данные свидетельств о рождении детей; - сведения о трудовой деятельности, в том числе сведения о приеме и увольнении; - ИНН; - СНИЛС; - отношение к воинской обязанности; - сведения о воинском учете; - номер телефона (сотовый, рабочий при наличии); - адрес электронный почты. - работники; - уволенные работники; - родственники работников. - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на обработку ПДн, учитывая сроки рассмотрения поступившего отзыва согласно закону; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 5 Оказание консультационных услуг - имя; -номер телефона; - потенциальные клиенты; - клиенты; - посетители сайта; - по истечении 30 лет с момента предоставления согласия на обработку ПДн; - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на передачу ПДн; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 6 Осуществление маркетинговых коммуникаций и информирование о сервисах и услугах Оператора - имя; - номер телефона; - адрес электронной почты; - потенциальные клиенты; - клиенты; - по истечении 30 лет с момента предоставления согласия на обработку ПДн; - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на передачу ПДн; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. с использованием и без использования средств автоматизации. № 7 Обеспечение работы сайта и сбор статистики - IP адрес; - информация из cookies; - информация о браузере; - информация о типе устройства; - место нахождение; - сведения о действиях пользователя; -время доступа. - посетители сайта; - до удаления официального сайта Оператора; - прекращение деятельности Оператора (ликвидация); - получение отзыва согласия на обработку ПДн, учитывая сроки рассмотрения поступившего отзыва согласно закону; - получение требования о прекращении обработки ПДн, учитывая сроки рассмотрения поступившего требования согласно закону. - с использованием средств автоматизации 5. Назначение Ответственных лиц и их обязанности. 5.1. С целью соблюдения требования ФЗ «О персональных данных», а также обеспечения безопасности обработки персональных данных, Генеральным директором назначается ответственное лицо и лица, допущенные к персональным данным Субъектам в связи с исполнением своих трудовых или договорных обязанностей. 5.2. Ответственные лица обязаны соблюдать следующие общие требования: 5.2.1. Действия с персональными данными могут осуществляться для исполнения трудовых, иных договорных обязательств или по распоряжению самих Субъектов в строгом соответствии с нормами законодательства и иных внутренних локальных актов Оператора. 5.2.2. Все персональные данные следует получать непосредственно у Субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Субъекту необходимо сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение. 5.2.3. Должностные лица, ответственные за обработку персональных данных, не имеют права получать персональные данные Субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, ответственные вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. 6. Обработка и хранение персональных данных 6.1. Обработка персональных данных Субъекта – любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, и передачу третьим лицам в соответствии с договорными и гражданско-правововыми отношениями с Оператором. 6.2. При передаче персональных данных Субъекта отвественные лица и лица, допущенные к персональным данным Субъекта Оператора, должны соблюдать следующие требования: • не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных федеральным законом; • не сообщать персональные данные Субъекта в коммерческих целях без его письменного согласия; • предупредить лиц, получающих персональные данные Субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Субъекта, обязаны соблюдать режим безопасности. Данное положение не распространяется на обмен персональными данными Субъектов в порядке, установленном федеральными законами; • разрешать доступ к персональным данным Субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Субъекта, которые необходимы для выполнения конкретных функций; • передавать персональные данные Субъекта представителям Субъектов в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций. 6.3. Оператором утверждаются сроки обработки персональных данных (раздел 4 настоящего Положения). 6.4. Передача персональных данных от Субъекта или его предствителей третьим лицам может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных. 6.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. 6.6. По возможности персональные данные обезличиваются. 6.7. Не требуется согласия работника на передачу персональных данных: - третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - в СФР в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 № 165-ФЗ, п. п. 1, 2 ст. 9, п. п. 1, 2, 2.1, 3 ст. 11, абз. 2 ч. 2 ст. 15 Федерального закона от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 № 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, п. 2 ст. 12 Закона об основах обязательного соцстрахования, абз. 5 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г); - в военные комиссариаты (абз. 3-4 п. 1 ст. 4 Федерального закона от 28.03.1998 № 53-ФЗ, пп. «г» п. 30, пп. «а» - «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719, абз. 5 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 № 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 № 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 № 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 № 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 № 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора от 14.12.2012 г.); - по запросу суда - в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ; - в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку. 7. Обязанности субъектов персональных данных. 7.1. Передавать Оператору в лице ответственных лиц достоверные персональные данные, состав которых утвержден приказом Генерального Директора. 7.2. В течение 5 (Пяти) рабочих дней с момента изменения сведений сообщать Оператору об изменении своих персональных данных. При несоблюдении данной обязанности - ответственность за обработку недостоверных сведений полностью возлагается на Субъекта. 7.3. Соблюдать все требования Оператора по защите персональных данных. 8. Права субъекта персональных данных 8.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся у Оператора, вправе получать от Оператора: - подтверждения факта обработки персональных данных; - правовые основания и цели обработки персональных данных; - сведения, о применяемых Оператором; способах обработки персональных данных; - местонахождение Оператора, сведения о лицах (за исключением ответственных лиц Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператораом или на основании федерального закона; - перечень обрабатываемых персональных данных, относящихся к Субъекту, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом; - сведения о сроках обработки персональных данных, в том числе о сроках их хранения; - сведения о порядке осуществления Субъектом прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; - информацию о способах исполнения Оператораом обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; - иные сведения, предусмотренные Федеральным законом «О персональных данных» №152-ФЗ или другими федеральными законами. Запрос Субъекта персональных данных на предоставление сведений должен содержать: номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператораом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператораом, подпись Субъекта персональных данных или его представителя. Субъекты вправе направлять запросы одним из следующих способов: лично Оператораом, по почте России заказным письмом или иным другим способом по усмотрению Субъекта, позволяющим идентифицировать его личность. Оператора предоставляет сведения, указанные в п. 8.1. настоящего Положения, Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Сведения, указанные в п. 8.1. настоящего Положения предоставляются Субъекту персональных данных или его представителю Оператораом в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператораом запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператораом в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В случае выявления неточностей в персональных данных, Субъект персональных данных может актуализировать их самостоятельно, путем направления Оператораом уведомления; с пометкой «Актуализация персональных данных». 8.2. Субъект персональных данных вправе требовать отзыва согласия на обработку персональных данных, составленного в свободной форме, с пометкой «Отзыв согласия на обработку ПД». 8.3. Субъект вправе требовать у Оператора прекращение обработки персональных данных, составленного в свободной форме, путем направления электронного сообщения с пометкой «Требование о прекращении обработки ПД». 8.4. При реализации прав, установленных пунктами 8.1. - 8.3. настоящего Положения, Субъекты вправе направлять обращения (запросы, требования, отзывы) одним из следующих способов: лично Оператору; по почте России заказным письмом или иным другим способом по усмотрению Субъекта, позволяющим идентифицировать его личность. 8.5. Требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъектов, обо всех произведенных в них исключениях, исправлениях или дополнениях; 8.6. Требовать блокирования, уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 8.7. По требованию Субъекта сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 8.8. Если Субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке. 9. Доступ к персональным данным 9.1. Внешний доступ к персональным данным субъектов имеют: 9.1.1.Государственные и негосударственные функциональные структуры: • налоговые инспекции; • правоохранительные органы; • органы статистики; • страховые агентства; • военкоматы; • СФР • и т.д. 9.1.2. Надзорно-контрольные органы в сфере своей компетенции. 9.1.3. Субъект, его родственники и члены семей. 9.1.4. Персональные данные Субъекта могут быть предоставлены самому Субъекту или, с его письменного разрешения, его родственникам или членам его семьи. 9.2. Внутренний доступ к персональным данным Субъектов имеют: - в отношении Субъектов: отвественное лицо и лица, имеющие доступ к персональным данным, соответствующий доступ утверждается приказом Генерального Директора. 10. Порядок уничтожения, блокирования персональных данных. 10.1. В случае выявления неправомерной обработки персональных данных при обращении Субъекта Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения на период проверки. 10.2. В случае выявления неточных персональных данных при обращении Субъекта Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц. 10.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектами, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных. 10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. 10.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные. 10.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав Субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав Субъектов персональных данных: • в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам убъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав Субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; • в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). 10.7. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет Субъектов персональных данных. 10.8. В случае отзыва Субъектами согласия на обработку их персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва. 10.9. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 10.10. Форму запроса на уничтожения, уточнение, блокирование, ознакомление Субъект вправе получить от Оператора путем направления сообщения на адрес электронной почты. Оператор направляет форму в течение 2 (Двух) рабочих дней с момента получения сообщения. 10.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в 10.5. настоящего Положения, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами. 10.12. Способ уничтожения персональных данных Субъекта зависит от способа обработки персональных данных: • В случае автоматизированной обработки персональных данных, персональные данные уничтожаются путем удаления персональных данных Субъекта из папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, либо путем полного форматирования папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, содержащих персональные данные Субъекта (-ов); • В случае, если персональные данные Субъекта содержатся в информационных системах без использования папок, то эти персональные данные уничтожаются путем удаления из информационных систем персональных данных Субъекта; • В случае обработки персональных данных без использования средств автоматизации, персональные данные уничтожаются путем измельчения бумаги в очень мелкие полоски; • В случае смешанной обработки (то есть с использованием средств автоматизации и без) персональные данные уничтожаются путем удаления персональных данных Субъекта из папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, либо путем полного форматирования папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, содержащих персональные данные Субъекта (-ов) и путем измельчения бумаги в очень мелкие полоски. 10.13. В случае если обработка персональных данных осуществляется Оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных Субъектов, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – выгрузка из журнала ИСПДн). 10.14. Оператор издает приказ о создании комиссии по уничтожению документов по работе с персональными данными. В состав комиссии, кроме председателя, включается еще как минимум два сотрудника – общее число членов комиссии должно быть нечетным. В состав комиссии включается лицо, ответственное за обработку персональных данных, которые планируется уничтожить. Комиссия анализирует персональные данные, хранящиеся на бумажных и электронных носителях, и составляет перечень документов для уничтожения с учетом сроков их хранения. 10.15. На основании Требований к подтверждению уничтожения персональных данных, утвержденных приказом Роскомнадзора от 28.10.2022 № 179, Акт об уничтожении персональных данных должен содержать: • наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора; • наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных Субъекта (Субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам); • фамилию, имя, отчество (при наличии) Субъекта (Субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; • фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные Субъекта персональных данных, а также их (его) подпись; • перечень категорий уничтоженных персональных данных субъекта (Субъектов) персональных данных; • наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные Субъекта (Субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); • наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные Субъекта (Субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации); • способ уничтожения персональных данных; • причину уничтожения персональных данных; • дату уничтожения персональных данных Субъекта (Субъектов) персональных данных. Выгрузка из журнала регистрации событий в информационной системе персональных данных должна содержать: • фамилию, имя, отчество (при наличии) Субъекта (Субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены; • перечень категорий уничтоженных персональных данных Субъекта (Субъектов) персональных данных; • наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта (Субъектов) персональных данных; • причину уничтожения персональных данных; • дату уничтожения персональных данных Субъекта (Субъектов) персональных данных. Акт об уничтожении персональных данных в электронной форме, подписанный электронно-цифровой подписью ответственного лица Оператора, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью ответственных лиц. 10.16. Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных. 11. Защита персональных данных 11.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. 11.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. 11.3. Защита персональных данных представляет комплекс мер, направленных на предупреждение нарушение доступности, целостности, достоверности и конфиденциальности персональных данных. Настоящее Положение - составная часть комплекса мер, разработанных Оператором и направленных на организацию защиты персональных данных Субъектов. 11.4. В целях защиты персональных данных Оператором разработны и утверждены следующие документы: Политика в отношении обработки ПДн (Политика конфиденциальности); Формы согласий (Отдельное к каждой цели); Положение о защите сборе, обработке, хранении и распространении персональных данных; Приказы: • о назначении ответственного за обработку ПДн и обеспечение безопасности ПДн; • об утверждении локальных нормативных документов в отношении ПДн; • об утверждении перечня ПДн; • об утверждении мест хранении материальных носителей ПДн и списка лиц, допущенных к данным материальным носителям; • об утверждении границ контролируемой зоны; • об утверждении перечня ИСПДн и списка лиц, допущенных к ИСПДн; • об утверждении комиссии; Обязательство о неразглашении Акт определения уровня защищенности Акт оценки вреда, который может быть причинен субъектам ПД Инструкции: • ответственного лица за обеспечение безопасности обработки персональных данных; • ответственного лица за организацию обработки персональных данных; • по обеспечению порядка реагирования на обращения субъектов персональных данных и их представителей; • по резервному копированию и восстановлению, восстановление работоспособности технических средств, программного обеспечения, баз данных и средств защиты информации; • по ведению журнала по учету лиц, допущенных к информационным системам персональных данных; • по ведению журнала по учету лиц, допущенных к местам хранения материальных носителей персональных данных субъектов; • по проведению инструктажа лиц, допущенных к информационным системам персональных данных; • по проведению инструктажа лиц, допущенных к местам хранения материальных носителей персональных данных субъектов; Журналы: • учета прохождения инструктажа лицами, допущенными к персональным данным субъектов в ИСПДн, обрабатываемых Оператором; • учета прохождения инструктажа сотрудниками, допущенными к местам хранения материальных носителей персональных данных субъектов, обрабатываемых Оператором; • учета фактов нарушения и восстановления работоспособности оборудования или ИСПДн, в которых обрабатываются персональные данные субъектов Оператором; • учета мест хранения носителей ПД без использования средств автоматизации; • учета обращений субъектов персональных данных к Оператору; • учета прав доступа к ИСПДн; • учета прав доступа сотрудников к местам хранения материальных носителей персональных данных субъектов; • учета проверок, проводимых органами государственного контроля (надзора), органами муниципального контроля; • учета и содержания средств защиты, предпринимаемых Оператором; • учета машинных носителей. Формы запросов: • форма запроса субъекта персональных данных на блокирование персональных данных; • форма запроса субъекта персональных данных на уничтожение персональных данных; • форма запроса субъекта персональных данных на уточнение персональных данных; • форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными. Формы уведомлений: • Уведомление об устранении неправомерных действий с персональными данными; • Уведомление об изменении обработки персональных данных; • Уведомление об уничтожении, прекращении обработки персональных данных. Положение о порядке уничтожения ПД; Акт об уничтожении персональных данных; Выгрузка из журнала ИСПДн; Модель угроз безопасности. 11.5. Ответственное лицо в рамках своих обязательств строго контролирует доступ лиц к персональным данным Субъектов. Сотрудникам и другим лицам Оператора, которым в силу своих должностных обязанностей необходимо использовать персональные данные Субъектов предупреждаются об ответственности за разглашение персональных данных, а также обеспечивают хранение имеющихся у них сведений с должным уровнем безопасности. 11.6. Все электронные папки, содержащие персональные данные, должны быть защищены паролем, который доводиться до сведения только ответственному лицу. 11.7. Все сведения, относящиеся к персональным данным Субъектов, хранятся в специально оборудованном месте. 11.8. Оператор обеспечивает рациональное размещение рабочих мест своих работников, при котором исключалось бы бесконтрольное использование защищаемой информации. 11.9. Оператором не реже чем 1 раз в год проводиться плановая проверка исполнения требований законодательства и внутренних локальных актов, касающихся обработки персональных данных. 11.10. Все лица, связанные с получением, обработкой и защитой персональных данных Субъектов обязаны подписать Обязательство о неразглашении персональных данных. 12. Контроль выполнения требований настоящего положения 12.1. Повседневный контроль порядка обращения с персональными данными осуществляет Ответственное лицо. 12.2. Периодический контроль выполнения настоящего Положения возлагается на Оператора – Генерального директора. 13. Ответственность за разглашение персональных данных 13.1. Персональная ответственность – одно из главных требований Оператора функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы. 13.2. Каждое лицо Оператора, получающее для работы конфиденциальный документ, несет единоличную ответственность за сохранность конфиденциальности информации. 13.3. Лица, виновные в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о Субъектах (персональных данных) несут дисциплинарную, административную, гражданско–правовую или уголовную ответственность в соответствии с законодательством. 13.3.1. Административная ответственность работника, имеющего доступ к персональным данным субъектов В соответствии со ст. 13.14 КоАП РФ разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до двухсот тысяч рублей. 13.3.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным субъектов Согласно пп. в п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. 13.3.3. Уголовная ответственность работника, имеющего доступ к субъектам персональным данным субъектов В соответствии со ст. 137 УК РФ Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет. 13.3.4. Материальная ответственность работника, имеющего доступ к персональным данным субъектов Статьей 90 ТК РФ предусмотрена материальная ответственность за виновное нарушение норм, регулирующих обработку и защиту персональных данных работников. Поскольку в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем, то ы соответствии со ст. 238 ТК РФ виновный работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 ст. 238 ТК РФ под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Если сотруднику или клиенту Оператора был причинен вред по вине ответственного лица, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен Субъекту такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемой законом тайну. Приложение № 1 к Положению о защите, сборе, обработке, хранении и распространении персональных данных ЛИСТ ОЗНАКОМЛЕНИЯ С Положением о защите, сборе, обработке, хранении и распространении персональных данных Оператора – Общества с ограниченной ответственностью ООО «Беркана-Логистика», утвержденным Генеральным директором (приказом № 2-ПДн/2025 от 12.08.2025 г.) ознакомлен (а):