1. Имя, фамилия, отчество;

2.   Пол;

3.   Гражданство;

4.   Дата и место рождения;

5.   Паспортные данные;

6. Адрес регистрации по месту жительства;

7. Адрес фактического проживания;

8. Контактные данные;

9. ИНН;

10. СНИЛС;

11. Сведения об образовании, квалификации, профессиональной подготовке

и повышении квалификации;

12.   Семейное положение, наличие детей, родственные связи;

13.   Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

14.   Данные о регистрации брака;

15.   Сведения о воинском учете;

16.   Сведения об инвалидности;

17.   Сведения об удержании алиментов;

18.   Сведения о доходе с предыдущего места работы.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели.

5.3.Обеспечение соблюдения налогового законодательства РФ

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков), родственники работников.

5.4.Обеспечение соблюдения пенсионного законодательства РФ

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.5.Обеспечение соблюдения законодательства о государственной        социальной помощи

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.6.Обеспечение соблюдения законодательства РФ в сфере образования

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Сведения об образовании.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов).

5.7.Обеспечение соблюдения законодательства РФ об исполнительном производстве

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов), поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.8.Подготовка, заключение и исполнение гражданско-правового договора

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам.

5.9.Добровольное медицинское страхование

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Семейное положение, наличие детей, родственные связи

12.   Данные о регистрации брака;

13.   Сведения об инвалидности.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, бенефициарные владельцы компании.

5.10.     Заключение договора на оказание платных образовательных услуг

1.       Имя, фамилия, отчество (подтверждающие их данные при необходимости);

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Сведения об образовании.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: обучающиеся (физические лица, руководители, сотрудники, представители и акционеры клиентов) и заказчики (физические лица и ИП).

5.11.     Обеспечение пропускного режима на территорию Оператора

1.       Имя, фамилия, отчество;

2.       Паспортные данные.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: посетители офисов и помещений компании (в том числе лица, в отношении которых ведется видеонаблюдение).

5.12.     Консультирование, услуги по составлению резюме

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       Сведения об образовании, квалификации, профессиональной        подготовке и повышении квалификации;

10.   Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, окончившие обучение и обратившиеся за содействием в трудоустройстве.

5.13.     Продвижение товаров, работ, услуг на рынке

1.       Имя, фамилия, отчество;

2.       Контактные данные;

3.       Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: потенциальные клиенты, посетители и незарегистрированные пользователи интернет- сайтов и мобильных приложений, зарегистрированные пользователи интернет-сайтов и мобильных приложений, получатели рассылок.

6.   Сроки обработки и хранения персональных данных

6.1.              Сроки обработки и хранения персональных данных работников Общества определяются в соответствии с законодательством Российской Федерации.

6.2.              Персональные данные, предоставляемые субъектами на бумажном носителе для целей, указанных подпунктами 3.1.2-3.1.8 Политики, хранятся на бумажных носителях в Обществе с момента получения таких данных до момента отзывы таких данных субъектом персональных данных.

6.3.              Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

6.4.              Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.5.              Ответственные должностные лица Общества обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Политикой.

6.6.              Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет руководитель Общества.

7.            Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Ответственные должностные лица Общества осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается ответственными должностными лицами Общества. По итогам рассмотрения составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается ответственными должностными лицами Общества и утверждается руководителем Общества.

7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7.4. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

8.       Перечень подразделений и работников, допущенных к обработке персональных данных

8.1.В НИИТ утвержден Перечень подразделений и работников, допущенных к работе с ПДн, обрабатываемыми в НИИТ.

8.2.Работники НИИТ допускаются к обработке только тех ПДн, которые им необходимы для выполнения своих служебных обязанностей.

8.3.Работники НИИТ допускаются к обработке ПДн только после ознакомления с порядком и правилами работы с ПДн, закрепленными в организационно- распорядительной документации по защите ПДн в НИИТ.

8.4.Работники НИИТ принимают на себя обязательство о неразглашении ПДн, к которым они допускаются в связи с выполнением ими своих служебных обязанностей.

8.5.Работники НИИТ обязуются соблюдать установленные законодательством и подзаконными нормативными правовыми актами Российской Федерации требования к срокам хранения и уничтожения ПДн.

8.6.Лица, не имеющие прав доступа к ПДн, могут его получить на основании заявки, согласованной с ответственным за организацию обработки ПДн с обязательным указанием причины необходимости предоставления прав доступа и срока предоставления.

9.       Правила обработки персональных данных

9.1.Способы обработки персональных данных

9.1.1.   В НИИТ применяются следующие способы обработки ПДн:

●         автоматизированная обработка;

●         неавтоматизированная обработка (без использования средств автоматизации);

●         смешанная обработка.

9.1.2.   В НИИТ запрещено   принятие   решений, порождающих юридические обязательства, на основании исключительно автоматизированной обработки ПДн.

9.2.Действия (операции) с персональными данными

9.2.1.   НИИТ осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных данных.

9.2.2.   Особенности осуществления отдельных действий (операций) с ПДн установлены п.п. 7.3 – 7.9 настоящего Положения.

9.3.Сбор персональных данных

9.3.1.   НИИТ получает ПДн:

●         непосредственно от субъекта ПДн;

●         от третьего лица или с целью исполнения требований нормативных правовых актов Российской Федерации, а также в иных случаях, когда это не противоречит действующему законодательству Российской Федерации.

9.3.2.   В НИИТ осуществляется получение согласия на обработку ПДн следующих категорий субъектов ПДн:

●         клиенты, посетители сайта НИИТ;

●         потенциальные потребители и лица, принимающие участие в программах лояльности НИИТ, в рекламных и иных мероприятиях, направленных на продвижение продукции НИИТ, организуемых и (или) проводимых НИИТ.

9.3.3.   По общему правилу, субъекты ПДн самостоятельно предоставляют НИИТ согласие на обработку персональных данных.

9.3.4.   Обработка ПДн без получения согласия субъекта ПДн возможна в следующих случаях:

●         обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;

●         обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

●         осуществляется обработка ПДн, сделанных общедоступными субъектом ПДн;

●         в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.

9.3.5.   При сборе ПДн субъекту ПДн по его просьбе может быть предоставлена следующая информация:

●         подтверждение факта обработки ПДн;

●         правовые основания и цели обработки ПДн;

●         способы обработки ПДн, применяемые в НИИТ;

●         наименование и фактический адрес НИИТ, сведения о лицах (за исключением работников НИИТ), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

●         обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством о ПДн;

●         сроки обработки ПДн, в том числе сроки их хранения;

●         порядок осуществления субъектом ПДн своих прав, предусмотренных федеральным законодательством о ПДн;

●         наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению НИИТ, если обработка поручена или будет поручена такому лицу;

●         иные сведения, подлежащие предоставлению согласно действующему законодательству Российской Федерации.

9.3.6.   В случае получения ПДн не от субъекта ПДн, субъекту ПДн представляется следующая информация о получении его ПДн от третьего лица:

●         наименование и фактический адрес НИИТ;

●         цель обработки ПДн и ее правовое основание;

●         предполагаемые пользователи ПДн;

●         права субъекта ПДн;

●         источник получения ПДн.

9.3.7.   Информация, указанная в п. 7.3.5 может не предоставляться субъекту ПДн в следующих случаях:

●         субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

●         ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

·          обработка ПДн осуществляет для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;

●         предоставление субъекту ПДн указанных сведений нарушает права и законные интересы третьих лиц.

9.3.8.   Порядок и форма предоставления информации, указанной в п.п. 7.3.5, 7.3.6, определяются в соответствии с локальными актами, регламентирующими порядок реагирования на запросы субъектов персональных данных.

9.4.Накопление и хранение персональных данных

9.4.1.   В НИИТ накопление ПДн осуществляется следующими способами:

●         копирование оригиналов документов;

●         получение оригиналов документов;

●         внесение сведений в учетные формы (на бумажные носители и в базы данных автоматизированных систем);

●         запись на материальные носители.

9.4.2.   Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки и требования нормативных правовых актов Российской Федерации, связанных с хранением документов.

9.4.3.   При неавтоматизированной обработке осуществляется раздельное хранение ПДн, соответствующих разным целям обработки.

9.4.4.   Порядок учета, хранения и уничтожения носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НИИТ.

9.4.5.   Сроки хранения ПДн в НИИТ определены законодательством и подзаконными нормативными правовыми актами Российской Федерации и зависят от их состава и целей их обработки.

9.5.Блокирование персональных данных

9.5.1.   Блокирование ПДн осуществляется в следующих случаях:

●         по требованию субъекта ПДн (в соответствии с Регламентом реагирования на запросы субъектов ПДн);

●         по требованию уполномоченных органов по защите прав субъектов ПДн;

●         по результатам внутренних контрольных мероприятий.

9.5.2.   Блокировка ПДн субъекта может быть временно снята, если это требуется в целях соблюдения законодательства Российской Федерации.

9.6.Уничтожение персональных данных

9.6.1.   ПДн подлежат уничтожению в следующих случаях:

●         по достижении целей обработки или в случае утраты необходимости в их достижении;

●         получение соответствующего запроса субъекта ПДн, при условии, что запрос не противоречит требованиям нормативных правовых актов Российской Федерации;

●         получение соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;

●         по истечении сроков хранения ПДн.

9.6.2.   Уничтожение носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НИИТ.

10.   Права субъектов персональных данных

Субъекты ПДн имеют право:

10.1.     Принимать решение о предоставлении своих ПДн НИИТ и третьим лицам и давать согласие на их обработку свободно, своей волей и в своем интересе;

10.2.     Отозвать свое согласие на обработку ПДн;

10.3.     Получить от НИИТ информацию, касающуюся обработки их ПДн посредством направления соответствующего запроса (форма запроса представлена в Приложении 1 к Регламенту реагирования на запросы субъектов ПДн в НИИТ);

10.4.     Требовать от НИИТ уточнения ПДн, их блокирования или уничтожения, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;

10.5.     Требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с ними с помощью средств связи;

10.6.     Заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн;

10.7.     Обжаловать действия или бездействие НИИТ в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что НИИТ осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы;

10.8.     Осуществлять иные права, предусмотренные законодательством Российской Федерации.

11.   Права и обязанности оператора персональных данных

11.1.     НИИТ обязано:

11.1.1.   Издавать документы, определяющие требования в отношении обработки и защиты ПДн;

11.1.2.   Опубликовать или иным образом обеспечить неограниченный доступ к   документу, определяющему его политику в отношении обработки и защиты ПДн;

11.1.3.   Принимать необходимые организационные и технические меры по обеспечению безопасности персональных данных;

11.1.4.   Назначить лицо, ответственное за организацию обработки ПДн в НИИТ;

11.1.5.   По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке, предусмотренном законодательством Российской Федерации;

11.1.6.   В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом ПДн сведений о том, что обрабатываемые ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения и уведомить об этом субъекта ПДн;

11.1.7.   В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным образом и уведомить об этом субъекта ПДн в срок, не превышающий 30 (тридцать) календарных дней;

11.1.8.   Предоставить субъекту ПДн возможность ознакомления с ПДн, относящимися к нему, в течение 10 (десяти) календарных дней со дня получения соответствующего заявления субъекта ПДн за исключением случаев, предусмотренных законодательством Российской Федерации;

11.1.9.   Рассмотреть возражение субъекта ПДн против решения, принятого на основании исключительно автоматизированной обработки ПДн, и в течение 30 (тридцати) календарных дней уведомить субъекта ПДн о результатах рассмотрения;

11.1.10.                      Выполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами НИИТ.

11.2.          НИИТ имеет право:

11.2.1.   В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их обработку без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации;

11.2.2.   Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

11.2.3.   Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

11.2.4.   Осуществлять иные права, предусмотренные законодательством Российской Федерации и локальными нормативными актами НИИТ.

12.   Взаимодействие с субъектами персональных данных и третьими лицами

12.1.     Взаимодействие с субъектами персональных данных

12.1.1.   Субъект ПДн имеет права, предусмотренные разделом 8 настоящего Положения и законодательством Российской Федерации.

12.1.2.   Процедура взаимодействия с субъектами ПДн осуществляется в соответствии с Регламентом реагирования на обращения субъектов ПДн, принятым в НИИТ.

12.2.     Взаимодействие с третьими лицами

12.2.1.   НИИТ может передавать ПДн следующим третьим лицам:

●         Федеральная налоговая служба (ФНС России);

●         Пенсионный фонд Российской Федерации;

●         Фонд социального страхования Российской Федерации;

●         иные третьи лица, предоставление ПДн, которым является необходимым в силу действующего законодательства и подзаконных нормативных правовых актов Российской Федерации;

●         контрагенты НИИТ (организации, индивидуальные предприниматели и иные лица, оказывающие услуги НИИТ, банки, негосударственные пенсионные фонды и т.п.).

12.2.2.   Взаимодействие с государственными контролирующими и регулирующими органами регламентируется соответствующими федеральными законами, нормативными правовыми актами регулирующих органов и другими нормативными правовыми актами Российской Федерации.

12.2.3.   Взаимодействие с контрагентами НИИТ в рамках передачи ПДн, производится на основании Соглашения о конфиденциальности и неразглашении информации или раздела в договоре о соблюдении конфиденциальности. НИИТ передает ПДн только в объеме необходимом для достижения заявленных целей обработки.

12.3.     Поручение обработки персональных данных

12.3.1.   НИИТ может поручать обработку ПДн другим лицам (третьим лицам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.

12.3.2.   НИИТ поручает обработку ПДн третьим лицам только с согласия субъекта ПДн, если иное не предусмотрено действующим российским законодательством, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению НИИТ, принципов и правил обработки и обеспечения безопасности ПДн, установленных законодательством Российской Федерации. Лицо, осуществляющее обработку ПДн по поручению НИИТ, не обязано получать согласие субъекта ПДн на обработку его ПДн.

12.3.3.   Перечень третьих лиц, обрабатывающих ПДн по поручению НИИТ, определяется Приложением 1 к настоящему Положению.

12.3.4.   В поручении на обработку ПДн в обязательном порядке определяются:

●         перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн (перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●         цели обработки (цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●         обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

●         требования к защите ПДн (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть выше требований, выполняемых самим оператором).

12.3.5.   При поручении обработки ПДн третьим лицам, ответственность перед субъектом ПДн за действия указанного лица несет НИИТ. Лицо, осуществляющее обработку ПДн по поручению НИИТ, несет ответственность перед НИИТ.

13.   Порядок реагирования на утечки персональных данных

В случае обнаружения неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц.

14.   Порядок пересмотра и внесения изменений в настоящее Положение

14.1.     Пересмотр положений настоящего Положения проводится в следующих случаях:

●         по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;

●         при появлении новых требований к обеспечению безопасности ПДн со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации;

●         по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае выявления существенных нарушений;

●         по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы защиты;

●         при рассмотрении вопросов применения новых средств и методов защиты ПДн, существенно отличающихся от применяемых в НИИТ;

●         в иных случаях по усмотрению НИИТ.

14.2.     Лицом, ответственным за пересмотр настоящего Положения и составление рекомендаций по изменению, является ответственный за организацию обработки ПДн в НИИТ.

1. Имя, фамилия, отчество;

2.   Пол;

3.   Гражданство;

4.   Дата и место рождения;

5.   Паспортные данные;

6. Адрес регистрации по месту жительства;

7. Адрес фактического проживания;

8. Контактные данные;

9. ИНН;

10. СНИЛС;

11. Сведения об образовании, квалификации, профессиональной подготовке

и повышении квалификации;

12.   Семейное положение, наличие детей, родственные связи;

13.   Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

14.   Данные о регистрации брака;

15.   Сведения о воинском учете;

16.   Сведения об инвалидности;

17.   Сведения об удержании алиментов;

18.   Сведения о доходе с предыдущего места работы.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели.

5.3.Обеспечение соблюдения налогового законодательства РФ

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков), родственники работников.

5.4.Обеспечение соблюдения пенсионного законодательства РФ

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.5.Обеспечение соблюдения законодательства о государственной        социальной помощи

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.6.Обеспечение соблюдения законодательства РФ в сфере образования

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Сведения об образовании.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов).

5.7.Обеспечение соблюдения законодательства РФ об исполнительном производстве

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов), поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.8.Подготовка, заключение и исполнение гражданско-правового договора

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам.

5.9.Добровольное медицинское страхование

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Семейное положение, наличие детей, родственные связи

12.   Данные о регистрации брака;

13.   Сведения об инвалидности.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, бенефициарные владельцы компании.

5.10.     Заключение договора на оказание платных образовательных услуг

1.       Имя, фамилия, отчество (подтверждающие их данные при необходимости);

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       ИНН;

10.   СНИЛС;

11.   Сведения об образовании.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: обучающиеся (физические лица, руководители, сотрудники, представители и акционеры клиентов) и заказчики (физические лица и ИП).

5.11.     Обеспечение пропускного режима на территорию Оператора

1.       Имя, фамилия, отчество;

2.       Паспортные данные.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: посетители офисов и помещений компании (в том числе лица, в отношении которых ведется видеонаблюдение).

5.12.     Консультирование, услуги по составлению резюме

1.       Имя, фамилия, отчество;

2.       Пол;

3.       Гражданство;

4.       Дата и место рождения;

5.       Паспортные данные;

6.       Адрес регистрации по месту жительства;

7.       Адрес фактического проживания;

8.       Контактные данные;

9.       Сведения об образовании, квалификации, профессиональной        подготовке и повышении квалификации;

10.   Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, окончившие обучение и обратившиеся за содействием в трудоустройстве.

5.13.     Продвижение товаров, работ, услуг на рынке

1.       Имя, фамилия, отчество;

2.       Контактные данные;

3.       Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: потенциальные клиенты, посетители и незарегистрированные пользователи интернет- сайтов и мобильных приложений, зарегистрированные пользователи интернет-сайтов и мобильных приложений, получатели рассылок.

6.   Сроки обработки и хранения персональных данных

6.1.              Сроки обработки и хранения персональных данных работников Общества определяются в соответствии с законодательством Российской Федерации.

6.2.              Персональные данные, предоставляемые субъектами на бумажном носителе для целей, указанных подпунктами 3.1.2-3.1.8 Политики, хранятся на бумажных носителях в Обществе с момента получения таких данных до момента отзывы таких данных субъектом персональных данных.

6.3.              Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

6.4.              Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.5.              Ответственные должностные лица Общества обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Политикой.

6.6.              Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет руководитель Общества.

7.            Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Ответственные должностные лица Общества осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается ответственными должностными лицами Общества. По итогам рассмотрения составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается ответственными должностными лицами Общества и утверждается руководителем Общества.

7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7.4. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

8.       Перечень подразделений и работников, допущенных к обработке персональных данных

8.1.В НИИТ утвержден Перечень подразделений и работников, допущенных к работе с ПДн, обрабатываемыми в НИИТ.

8.2.Работники НИИТ допускаются к обработке только тех ПДн, которые им необходимы для выполнения своих служебных обязанностей.

8.3.Работники НИИТ допускаются к обработке ПДн только после ознакомления с порядком и правилами работы с ПДн, закрепленными в организационно- распорядительной документации по защите ПДн в НИИТ.

8.4.Работники НИИТ принимают на себя обязательство о неразглашении ПДн, к которым они допускаются в связи с выполнением ими своих служебных обязанностей.

8.5.Работники НИИТ обязуются соблюдать установленные законодательством и подзаконными нормативными правовыми актами Российской Федерации требования к срокам хранения и уничтожения ПДн.

8.6.Лица, не имеющие прав доступа к ПДн, могут его получить на основании заявки, согласованной с ответственным за организацию обработки ПДн с обязательным указанием причины необходимости предоставления прав доступа и срока предоставления.

9.       Правила обработки персональных данных

9.1.Способы обработки персональных данных

9.1.1.   В НИИТ применяются следующие способы обработки ПДн:

●         автоматизированная обработка;

●         неавтоматизированная обработка (без использования средств автоматизации);

●         смешанная обработка.

9.1.2.   В НИИТ запрещено   принятие   решений, порождающих юридические обязательства, на основании исключительно автоматизированной обработки ПДн.

9.2.Действия (операции) с персональными данными

9.2.1.   НИИТ осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных данных.

9.2.2.   Особенности осуществления отдельных действий (операций) с ПДн установлены п.п. 7.3 – 7.9 настоящего Положения.

9.3.Сбор персональных данных

9.3.1.   НИИТ получает ПДн:

●         непосредственно от субъекта ПДн;

●         от третьего лица или с целью исполнения требований нормативных правовых актов Российской Федерации, а также в иных случаях, когда это не противоречит действующему законодательству Российской Федерации.

9.3.2.   В НИИТ осуществляется получение согласия на обработку ПДн следующих категорий субъектов ПДн:

●         клиенты, посетители сайта НИИТ;

●         потенциальные потребители и лица, принимающие участие в программах лояльности НИИТ, в рекламных и иных мероприятиях, направленных на продвижение продукции НИИТ, организуемых и (или) проводимых НИИТ.

9.3.3.   По общему правилу, субъекты ПДн самостоятельно предоставляют НИИТ согласие на обработку персональных данных.

9.3.4.   Обработка ПДн без получения согласия субъекта ПДн возможна в следующих случаях:

●         обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;

●         обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

●         осуществляется обработка ПДн, сделанных общедоступными субъектом ПДн;

●         в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.

9.3.5.   При сборе ПДн субъекту ПДн по его просьбе может быть предоставлена следующая информация:

●         подтверждение факта обработки ПДн;

●         правовые основания и цели обработки ПДн;

●         способы обработки ПДн, применяемые в НИИТ;

●         наименование и фактический адрес НИИТ, сведения о лицах (за исключением работников НИИТ), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

●         обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством о ПДн;

●         сроки обработки ПДн, в том числе сроки их хранения;

●         порядок осуществления субъектом ПДн своих прав, предусмотренных федеральным законодательством о ПДн;

●         наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению НИИТ, если обработка поручена или будет поручена такому лицу;

●         иные сведения, подлежащие предоставлению согласно действующему законодательству Российской Федерации.

9.3.6.   В случае получения ПДн не от субъекта ПДн, субъекту ПДн представляется следующая информация о получении его ПДн от третьего лица:

●         наименование и фактический адрес НИИТ;

●         цель обработки ПДн и ее правовое основание;

●         предполагаемые пользователи ПДн;

●         права субъекта ПДн;

●         источник получения ПДн.

9.3.7.   Информация, указанная в п. 7.3.5 может не предоставляться субъекту ПДн в следующих случаях:

●         субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

●         ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

·          обработка ПДн осуществляет для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;

●         предоставление субъекту ПДн указанных сведений нарушает права и законные интересы третьих лиц.

9.3.8.   Порядок и форма предоставления информации, указанной в п.п. 7.3.5, 7.3.6, определяются в соответствии с локальными актами, регламентирующими порядок реагирования на запросы субъектов персональных данных.

9.4.Накопление и хранение персональных данных

9.4.1.   В НИИТ накопление ПДн осуществляется следующими способами:

●         копирование оригиналов документов;

●         получение оригиналов документов;

●         внесение сведений в учетные формы (на бумажные носители и в базы данных автоматизированных систем);

●         запись на материальные носители.

9.4.2.   Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки и требования нормативных правовых актов Российской Федерации, связанных с хранением документов.

9.4.3.   При неавтоматизированной обработке осуществляется раздельное хранение ПДн, соответствующих разным целям обработки.

9.4.4.   Порядок учета, хранения и уничтожения носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НИИТ.

9.4.5.   Сроки хранения ПДн в НИИТ определены законодательством и подзаконными нормативными правовыми актами Российской Федерации и зависят от их состава и целей их обработки.

9.5.Блокирование персональных данных

9.5.1.   Блокирование ПДн осуществляется в следующих случаях:

●         по требованию субъекта ПДн (в соответствии с Регламентом реагирования на запросы субъектов ПДн);

●         по требованию уполномоченных органов по защите прав субъектов ПДн;

●         по результатам внутренних контрольных мероприятий.

9.5.2.   Блокировка ПДн субъекта может быть временно снята, если это требуется в целях соблюдения законодательства Российской Федерации.

9.6.Уничтожение персональных данных

9.6.1.   ПДн подлежат уничтожению в следующих случаях:

●         по достижении целей обработки или в случае утраты необходимости в их достижении;

●         получение соответствующего запроса субъекта ПДн, при условии, что запрос не противоречит требованиям нормативных правовых актов Российской Федерации;

●         получение соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;

●         по истечении сроков хранения ПДн.

9.6.2.   Уничтожение носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НИИТ.

10.   Права субъектов персональных данных

Субъекты ПДн имеют право:

10.1.     Принимать решение о предоставлении своих ПДн НИИТ и третьим лицам и давать согласие на их обработку свободно, своей волей и в своем интересе;

10.2.     Отозвать свое согласие на обработку ПДн;

10.3.     Получить от НИИТ информацию, касающуюся обработки их ПДн посредством направления соответствующего запроса (форма запроса представлена в Приложении 1 к Регламенту реагирования на запросы субъектов ПДн в НИИТ);

10.4.     Требовать от НИИТ уточнения ПДн, их блокирования или уничтожения, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;

10.5.     Требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с ними с помощью средств связи;

10.6.     Заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн;

10.7.     Обжаловать действия или бездействие НИИТ в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что НИИТ осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы;

10.8.     Осуществлять иные права, предусмотренные законодательством Российской Федерации.

11.   Права и обязанности оператора персональных данных

11.1.     НИИТ обязано:

11.1.1.   Издавать документы, определяющие требования в отношении обработки и защиты ПДн;

11.1.2.   Опубликовать или иным образом обеспечить неограниченный доступ к   документу, определяющему его политику в отношении обработки и защиты ПДн;

11.1.3.   Принимать необходимые организационные и технические меры по обеспечению безопасности персональных данных;

11.1.4.   Назначить лицо, ответственное за организацию обработки ПДн в НИИТ;

11.1.5.   По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке, предусмотренном законодательством Российской Федерации;

11.1.6.   В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом ПДн сведений о том, что обрабатываемые ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения и уведомить об этом субъекта ПДн;

11.1.7.   В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным образом и уведомить об этом субъекта ПДн в срок, не превышающий 30 (тридцать) календарных дней;

11.1.8.   Предоставить субъекту ПДн возможность ознакомления с ПДн, относящимися к нему, в течение 10 (десяти) календарных дней со дня получения соответствующего заявления субъекта ПДн за исключением случаев, предусмотренных законодательством Российской Федерации;

11.1.9.   Рассмотреть возражение субъекта ПДн против решения, принятого на основании исключительно автоматизированной обработки ПДн, и в течение 30 (тридцати) календарных дней уведомить субъекта ПДн о результатах рассмотрения;

11.1.10.                      Выполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами НИИТ.

11.2.          НИИТ имеет право:

11.2.1.   В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их обработку без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации;

11.2.2.   Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

11.2.3.   Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

11.2.4.   Осуществлять иные права, предусмотренные законодательством Российской Федерации и локальными нормативными актами НИИТ.

12.   Взаимодействие с субъектами персональных данных и третьими лицами

12.1.     Взаимодействие с субъектами персональных данных

12.1.1.   Субъект ПДн имеет права, предусмотренные разделом 8 настоящего Положения и законодательством Российской Федерации.

12.1.2.   Процедура взаимодействия с субъектами ПДн осуществляется в соответствии с Регламентом реагирования на обращения субъектов ПДн, принятым в НИИТ.

12.2.     Взаимодействие с третьими лицами

12.2.1.   НИИТ может передавать ПДн следующим третьим лицам:

●         Федеральная налоговая служба (ФНС России);

●         Пенсионный фонд Российской Федерации;

●         Фонд социального страхования Российской Федерации;

●         иные третьи лица, предоставление ПДн, которым является необходимым в силу действующего законодательства и подзаконных нормативных правовых актов Российской Федерации;

●         контрагенты НИИТ (организации, индивидуальные предприниматели и иные лица, оказывающие услуги НИИТ, банки, негосударственные пенсионные фонды и т.п.).

12.2.2.   Взаимодействие с государственными контролирующими и регулирующими органами регламентируется соответствующими федеральными законами, нормативными правовыми актами регулирующих органов и другими нормативными правовыми актами Российской Федерации.

12.2.3.   Взаимодействие с контрагентами НИИТ в рамках передачи ПДн, производится на основании Соглашения о конфиденциальности и неразглашении информации или раздела в договоре о соблюдении конфиденциальности. НИИТ передает ПДн только в объеме необходимом для достижения заявленных целей обработки.

12.3.     Поручение обработки персональных данных

12.3.1.   НИИТ может поручать обработку ПДн другим лицам (третьим лицам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.

12.3.2.   НИИТ поручает обработку ПДн третьим лицам только с согласия субъекта ПДн, если иное не предусмотрено действующим российским законодательством, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению НИИТ, принципов и правил обработки и обеспечения безопасности ПДн, установленных законодательством Российской Федерации. Лицо, осуществляющее обработку ПДн по поручению НИИТ, не обязано получать согласие субъекта ПДн на обработку его ПДн.

12.3.3.   Перечень третьих лиц, обрабатывающих ПДн по поручению НИИТ, определяется Приложением 1 к настоящему Положению.

12.3.4.   В поручении на обработку ПДн в обязательном порядке определяются:

●         перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн (перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●         цели обработки (цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●         обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

●         требования к защите ПДн (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть выше требований, выполняемых самим оператором).

12.3.5.   При поручении обработки ПДн третьим лицам, ответственность перед субъектом ПДн за действия указанного лица несет НИИТ. Лицо, осуществляющее обработку ПДн по поручению НИИТ, несет ответственность перед НИИТ.

13.   Порядок реагирования на утечки персональных данных

В случае обнаружения неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц.

14.   Порядок пересмотра и внесения изменений в настоящее Положение

14.1.     Пересмотр положений настоящего Положения проводится в следующих случаях:

●         по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;

●         при появлении новых требований к обеспечению безопасности ПДн со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации;

●         по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае выявления существенных нарушений;

●         по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы защиты;

●         при рассмотрении вопросов применения новых средств и методов защиты ПДн, существенно отличающихся от применяемых в НИИТ;

●         в иных случаях по усмотрению НИИТ.

14.2.     Лицом, ответственным за пересмотр настоящего Положения и составление рекомендаций по изменению, является ответственный за организацию обработки ПДн в НИИТ.