ПОЛИТИКА Общества с ограниченной ответственностью «МФИ Софт» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») Общества с ограниченной ответственностью «МФИ Софт» (далее – «Компания»), ИНН 5260146265, расположенного по адресу: 603126, г. Нижний Новгород, ул. Родионова, д. 192, корп. 1, разработана в соответствии с ч. 2 ст. 18.1. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
1.2. Настоящая Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
1.3. В Компании разрабатываются и вводятся в действие локальные нормативные акты Компании в области обработки и защиты персональных данных, которые являются обязательными для исполнения всеми работниками Компании.
1.4. Политика в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» является общедоступным документом и размещается на официальном сайте Компании.
2. Основные понятия
2.1. Для целей настоящего Политики используются следующие основные понятия:
2.1.1. персональные данные - любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных);
2.1.2. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.3. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.1.4. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «МФИ Софт», расположенное по адресу: 603126, г. Нижний Новгород, ул. Родионова, д. 192, корп. 1;
2.1.5. субъект персональных данных – физическое лицо, к которому относятся персональные данные;
2.1.6. конфиденциальность персональных данных - обязательное для выполнения Компанией или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, их распространение без согласия субъекта персональных данных или наличия иного законного основания;
2.1.7. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.1.8. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.1.9. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.1.10. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.1.11. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.1.12. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.1.13. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. Принципы и цели обработки персональных данных в Компании
3.1. Обработка персональных данных в Компании осуществляется в соответствии со следующими принципами:
3.1.1. законности и справедливости целей и способов обработки персональных данных;
3.1.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
3.1.3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
3.1.4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
3.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
3.1.6. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
3.1.7. уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
3.2. Целями обработки персональных данных Компанией являются:
3.2.1. исполнение положений действующего законодательства Российской Федерации;
3.2.2. надлежащее ведение кадрового учета работников Компании, начисление им заработной платы, содействие работникам в обучении и продвижении по должности, предоставление работникам Компании льгот и компенсаций, предусмотренных действующим законодательством Российской Федерации и локальными нормативными актами Компании, расчет и перечисление налогов и страховых взносов за работников Компании, осуществление медицинского страхования работников Компании и оплата услуг лиц по договорам гражданско-правового характера, обеспечение личной безопасности работников Компании, контроль количества и качества выполняемой ими работы и обеспечение сохранности имущества;
3.2.3. оказание содействия кандидатам, бывшим работникам в трудоустройстве;
3.2.4. исполнение договоров и соглашений, заключаемых Компанией с юридическими лицами, физическими лицами;
3.2.5. любые иные цели, для достижения которых Компании требуется обработка персональных данных в соответствии с действующим законодательством Российской Федерации.
4. Правовые основания обработки персональных данных в Компании
4.1. Правовые основания для обработки персональных данных в Компании:
4.1.1. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании, в том числе, но не ограничиваясь: Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; Федеральный закон от 05.04.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», Федеральный закон от 01.04.1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете», Федеральный закон от 30.12.2008 г. №307-ФЗ «Об аудиторской деятельности»;
4.1.2. Устав Компании, локальные нормативные акты, принятые в Компании;
4.1.3. согласие субъекта персональных данных на обработку его персональных данных;
4.1.4. договоры гражданско-правового характера, которые заключает Оператор с контрагентами, приложения к данным договорам.
5. Права и обязанности субъектов персональных данных
5.1. Субъекты персональных данных обязаны:
5.1.1. передавать в Компанию достоверные и документированные персональные данных, состав которых установлен трудовым законодательством Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
5.1.2. своевременно сообщать и представлять в отдел по работе с персоналом и/или в бухгалтерию Компании документы, подтверждающие изменение своих персональных данных.
5.2. Субъекты персональных данных имеют право на:
5.2.1. полную информацию об их персональных данных, обрабатываемых в Компании;
5.2.2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
5.2.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
5.2.4. отзыв согласия на обработку персональных данных;
5.2.5. принятие предусмотренных законом мер по защите своих прав;
5.2.6. обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
5.2.7. осуществление иных прав, предусмотренных законодательством Российской Федерации.
5.3. Обработка в Компании специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
6. Права и обязанности Компании как оператора персональных данных
6.1. Компания обязана:
6.1.1. при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию об обработке персональных данных, предусмотренную Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»;
6.1.2. при отказе субъекта персональных данных в предоставлении его персональных данных, разъяснить последнему последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с федеральным законом;
6.1.3. в случае если персональные данные были получены не от субъекта персональных данных, уведомить об этом субъекта и предоставить ему информацию об обработке персональных данных, предусмотренную Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»;
6.1.4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
6.1.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6.1.6. давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
6.1.7. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
6.2. Компания имеет право:
6.2.1. передавать обрабатываемые персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации;
6.2.2. отказывать в предоставлении персональных данных в случаях, предусмотренным действующим законодательством Российской Федерации;
6.2.3. осуществлять обработку персональных данных без согласия субъекта персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации.
7. Категории субъектов персональных данных, обрабатываемых Компанией
7.1. В Компании осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
7.1.1. работников Компании;
7.1.2. кандидатов на замещение вакантных должностей в Компании;
7.1.3. лиц, проходящих в Компании практику/стажировку;
7.1.4. сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица) по гражданско-правовым договорам;
7.1.5. членов органов управления Компании, аффилированных с Компанией лиц.
8. Объем и категории обрабатываемых в Компании персональных данных
8.1. Обработка персональных данных работников Компании.
8.1.1. Обработка персональных данных работников Компании осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения информационной безопасности Компании, защиты персональных данных работников Компании и коммерческой тайны, осуществления наблюдения за выполнением трудовых обязанностей и Правил внутреннего трудового распорядка, наложения дисциплинарного взыскания за совершение дисциплинарных проступков. При определении объема и содержания обрабатываемых персональных данных работника Компания должна руководствоваться Конституцией Российской Федерации и иными федеральными законами.
8.1.2. Состав персональных данных работников Компании: фамилия, имя, отчество, дата и место рождения, гражданство, паспортные данные, адрес проживания (регистрации) работника, семейное, социальное, имущественное положение работника, страховой номер индивидуального лицевого счета, индивидуальный номер налогоплательщика, образование, ученая степень и звание работника, профессия, владение иностранными языками, доходы, имущество и имущественные обязательства работника, сведения о трудовом и общем стаже, сведения о предыдущих местах работы, сведения о социальных льготах, состав семьи, сведения о воинском учете, результаты медицинского обследования, контактный телефон, контактный адрес электронной почты, фотографии, сведения о хобби и увлечениях работника, любые персональные данные, передаваемые или получаемые работником с использованием предоставленных Компанией средств, необходимых для выполнения трудовых обязанностей, включая (но не ограничиваясь перечисленным) доступ к сети Интернет, персональные компьютеры, программное обеспечение, телефоны, электронную почту.
8.2. Обработка персональных данных кандидатов на замещение вакантных должностей в Компании.
8.2.1. Целью обработки персональных данных кандидатов является содействие в трудоустройстве.
8.2.2. В перечень персональных данных кандидатов входят: фамилия, имя, отчество, дата рождения, место рождения, фотография, гражданство, образование, ученая степень и звание, профессия, трудовой стаж, знание иностранных языков, предыдущие места работы, состояние в браке, состав семьи, паспортные данные, сведения о воинском учете; сведения о заработной плате; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; адрес проживания (регистрации), контактный телефон, контактный адрес электронной почты.
8.3. Обработка персональных данных лиц, проходящих в Компании практику/стажировку.
8.3.1. Целью обработки персональных данных лиц, проходящих учебную или производственную (в том числе преддипломную) практику или стажировку в Компании, является исполнение обязательств по договорам о прохождении практики/стажировки, заключенным между Компанией и организацией, осуществляющей образовательную деятельность, в которой обучается лицо, проходящее практику/стажировку.
8.3.2. В перечень персональных данных лиц, проходящих практику/стажировку, входят: фамилия, имя, отчество, дата рождения, адрес, паспортные данные, сведения о получаемом образовании, месте обучения (в том числе, наименование организации, осуществляющей образовательную деятельность, факультет, кафедра, специализация, группа), научном руководителе, теме научного исследования (курсовой или дипломной работы), сведения о прохождении практики (включая индивидуальные задания, результаты их выполнения, рабочий график (план) проведения практики), контактный телефон, контактный адрес электронной почты.
8.4. Обработка персональных данных сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица) по гражданско-правовым договорам.
8.4.1. Целью обработки персональных данных сотрудников/представителей контрагентов, являющихся юридическими лицами, и контрагентов, являющихся физическими лицами, индивидуальными предпринимателями, является исполнение обязательств по договорам, заключенным Компанией с контрагентами.
8.4.2. В перечень персональных данных сотрудников/представителей контрагента, являющихся юридическими лицами, входят: фамилия, имя, отчество, номер телефона, адрес электронной почты, должность. Обязанность получения согласия на передачу Компании и обработку Компанией персональных данных возлагается на контрагента. В перечень персональных данных контрагентов, являющихся физическими лицами, индивидуальными предпринимателями входят: фамилия, имя, отчество, дата и место рождения, номер телефона, адрес электронной почты, паспортные данные, адрес регистрации (проживания), СНИЛС, ИНН, ОГРНИП (для индивидуальных предпринимателей), реквизиты банковского счета.
8.5. Обработка персональных данных членов органов управления Компании, аффилированных с Компанией лиц:
8.5.1. Целью обработки персональных данных членов органов управления Компании, аффилированных с Компанией лиц, является исполнение обязательств, предусмотренных действующим законодательством Российской Федерации и Уставом Компании, заключение и исполнение договоров Компанией с контрагентами.
8.5.2. В перечень персональных данных членов органов управления Компании, аффилированных с Компанией лиц входят: фамилия, имя, отчество, паспортные данные, реквизиты банковского счета, адрес регистрации (проживания), ИНН, данные о дате и месте рождения, информация о том, что лицо является членом органов управления Компании.
9. Порядок и условия обработки персональных данных в Компании
9.1. Перечень действий, совершаемых Компанией с персональными данными.
9.1.1. При обработке персональных данных Компания осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
9.2. Компания обрабатывает персональные данные следующими способами:
9.2.1. неавтоматизированная обработка персональных данных;
9.2.2. автоматизированная обработка персональных данных.
Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
9.3. Сроки обработки персональных данных.
9.3.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, приказом Минкультуры России от 25.08.2010 г. № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ.
9.3.2. Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
9.4. Передача персональных данных третьим лицам.
9.4.1. Передача персональных данных обрабатываемых в Компании третьим лицам (включая надзорные, правоохранительные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ и локальными нормативными актами Компании, либо в случае согласия субъекта персональных данных.
9.4.2. В случае получения Компанией запроса от третьих лиц о предоставлении персональных данных, запрос подлежит обязательной проверке в целях контроля над обоснованностью предоставления запроса. При обоснованности полученного запроса Компания формирует ответ на запрос. При необоснованности запроса Компания направляет отправителю запроса письменное уведомление об отказе в предоставлении персональных данных.
9.4.3. При передаче персональных данных Компания должна соблюдать следующие требования:
9.4.3.1. не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;
9.4.3.2. предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
9.4.3.3. передавать персональные данные субъекта персональных данных его законным, полномочным представителям в порядке, установленном действующим законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
9.5. Доступ к персональным данным.
9.5.1. Доступ к персональным данным в Компании имеют только те работники, которым это необходимо для исполнения своих должностных обязанностей. К обработке персональных данных допускаются работники Компании, прошедшие процедуру допуска, к которой относятся:
9.5.1.1. ознакомление работника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующих порядок и процедуру работы с персональными данными;
9.5.1.2. утверждение списка работников, допущенных к обработке персональных данных;
9.5.1.3. получение работником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационной системе, содержащей персональные данные.
9.6. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
10. Меры по обеспечению защиты персональных данных
10.1. Для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в Компании принимаются следующие меры (требования к защите персональных данных):
10.1.1.назначение ответственных работников за организацию обработки персональных данных в Компании;
10.1.2.издание документов, определяющих политику Компании в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
10.1.3.обеспечение неограниченного доступа к документу, определяющему политику Компании в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
10.1.4.применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
10.1.5.осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании;
10.1.6. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых в Компании мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
10.1.7. ознакомление работников Компании, осуществляющих обработку персональных данных, с локальными актами по вопросам обработки персональных данных;
10.1.8. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
11. Актуализация, исправление, удаление и уничтожение персональных данных
11.1. Компания при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу уполномоченного органа по защите прав субъектов персональных данных блокирует выявленные неточные персональные данные или неправомерно обрабатываемые персональные данные этого субъекта персональных данных с момента обращения или получения запроса на период проверки достоверности полученных сведений.
11.2. В случае подтверждения факта неточности персональных данных Компания на основании документально подтверждённых сведений, представленных субъектом персональных данных, уточняет персональные данные и снимает блокирование персональных данных в течение срока, установленного ч. 2 ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
11.3. В случае выявления неправомерной обработки персональных данных Компания прекращает неправомерную обработку персональных данных, а в случае, если обеспечить правомерность обработки персональных данных невозможно по различным причинам, то Оператор уничтожает такие персональные данные в течение сроков, установленных ч. 3 ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
11.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором между Компанией и субъектом персональных данных.
11.5. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок не более 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором между Компанией и субъектом персональных данных.
12. Ответы на запросы субъектов персональных данных на доступ к персональным данным
12.1. Действия по обработке запросов субъектов персональных данных при выполнении Компанией обязательств, согласно требованиям ст.14, 20 и 21 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», описаны в Приложении №1 к настоящей Политике.
13. Изменение Политики
13.1. Компания вправе вносить изменения в настоящую Политику. При этом при внесении изменений в Политику, Компания размещает актуальную версию Политики на официальном сайте Компании и указывает в начале документа дату подготовки соответствующей редакции Политики.
13.2. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Компании.
Правила рассмотрения запросов субъектов персональных данных или их представителей
- Общие положения
1.1. Правила рассмотрения запросов субъектов персональных данных или их представителей (далее – Правила) определяют порядок учета, (регистрации) и рассмотрения запросов и обращений субъектов персональных данных или их представителей в ООО «МФИ Софт».
- Порядок рассмотрения запросов субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 ФЗ «О персональных данных»), в том числе содержащей:
- подтверждение факта обработки персональных данных в ООО «МФИ Софт»;
- правовые основания и цели обработки персональных данных;
- цели и применяемые в ООО «МФИ Софт» способы обработки персональных данных;
- наименование и место нахождения ООО «МФИ Софт», сведения о лицах (за исключением работников ООО «МФИ Софт»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «МФИ Софт» или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «МФИ Софт», если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
2.2. Запрос субъекта персональных данных или его представителя оформляется в письменной форме, должен содержать номер основного документа, удостоверяющего личность физического лица или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО «МФИ Софт» (номер договора, дата заключения договора, условное словестное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «МФИ Софт», подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.3. В случае если сведения, указанные в п. 2.1. настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к ООО «МФИ Софт» или направить ему повторный запрос в целях получения сведений, указанных в п. 2.1. настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.4. Субъект персональных данных вправе обратиться повторно к ООО «МФИ Софт» или направить ему повторный запрос в целях получения сведений, указанных в п. 2.1. настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 2.3. настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 2.2. настоящих Правил, должен содержать обоснование направления повторного запроса.
2.5. ООО «МФИ Софт» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.3., 2.4. Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ООО «МФИ Софт».
2.6. Рассмотрение запросов субъектов персональных данных и их представителей, поступивших в адрес ООО «МФИ Софт» относится к обязанности специалиста по кадровому администрированию и мотивации.
2.7. Специалист по кадровому администрированию и мотивации обеспечивает:
- объективное, всестороннее и своевременное рассмотрение запроса;
- принятие мер, направленных на восстановление и защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса;
- ведение делопроизводства по запросам, поступившим от субъектов персональных данных и их представителей, в том числе ведения журнала учета запросов субъектов персональных данных, в котором фиксируется:
- номер запроса;
- ФИО субъекта персональных данных/его законного представителя;
- дата обращения;
- цель обращения;
- результат.
2.8. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется входящий номер, дата регистрации, Ф.И.О. сотрудника, зарегистрировавшего запрос и его подпись.
2.9. Прошедшие регистрацию запросы предоставляются Директору по персоналу, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменные указания исполнителям.
2.10. Директор по персоналу и исполнитель при рассмотрении запроса обязаны:
-внимательно разобраться в его существе, в случае необходимости истребовать дополнительные материалы и направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
-принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме субъекту персональных данных о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса – разъяснить также порядок обжалования принятого решения.
2.11. ООО «МФИ Софт» обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
2.12. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении, либо при получении запроса субъекта персональных данных или его представителя, ООО «МФИ Софт» обязано в письменной форме дать мотивированный ответ, содержащий ссылку на положения ч. 8 ст. 14 ФЗ «О персональных данных» или иной нормы законодательства, являющейся основанием для такого отказа в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя.
2.13. Предоставление субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к субъекту персональных данных, осуществляется на безвозмездной основе.
2.14. В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, должностные лица ООО «МФИ Софт» обязаны внести в них необходимые изменения.
2.15.В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, должностные лица ООО «МФИ Софт» обязаны уничтожить такие персональные данные.
2.16. ООО «МФИ Софт» обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах.
2.17. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных исполнитель обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
2.18. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных ООО «МФИ Софт» обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «МФИ Софт») с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2.19. В случае подтверждения факта неточности персональных данных ООО «МФИ Софт» на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.20. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, ООО «МФИ Софт» в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных ООО «МФИ Софт» обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.21. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даты исчерпывающие ответы субъекту персональных данных или его представителю.
2.22. Ответ на запрос оформляется на фирменном бланке ООО «МФИ Софт».