• /

1. Общие положения

1.1. Положение об обработке персональных данных в ООО «ФБК Поволжье» (далее – Положение) определяет цели, принципы и условия обработки персональных данных в ООО «ФБК Поволжье» (далее – Фирма) и определяет основные меры, реализуемые Фирмой для обеспечения защиты персональных данных.
1.2. Настоящее Положение разработано с учетом требований Конституции Российской Федерации, законодательных и иных нормативных актов Российской Федерации, в том числе Гражданского кодекса, Трудового кодекса, федеральных законов «О персональных данных», «Об информации, информационных технологиях и о защите информации», а также иных нормативных документов Фирмы.
1.3. Являясь оператором персональных данных, Фирма несет ответственность за обеспечение безопасности персональных данных, защиты прав и свобод субъектов при обработке их персональных данных и выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
1.4. Настоящее Положение является общедоступным документом и подлежит размещению на официальном сайте Фирмы.
2. Основные определения
Сотрудник - физическое лицо, вступившее в трудовые отношения с Фирмой;
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Субъекты персональных данных – физическое или юридическое лицо, сотрудник, а также иные лица, чьи персональные данные стали известны Фирме в процессе аудиторской деятельности;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Конфиденциальность персональных данных - обязательное для соблюдения оператором требование по нераскрытию третьим лицам и недопущению распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
Защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
3. Общие принципы и цели обработки персональных данных
3.1. Обработка персональных данных в Фирме осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны:
- обработка осуществляется на законной и справедливой основе;
- обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только те персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, не допускается обработка данных, избыточных по отношению к заявленным целям;
- при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. Фирма принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Обработка персональных данных осуществляется в объеме и в целях, указанных в согласии субъекта персональных данных или предписанных законодательством Российской Федерации.
Персональные данные обрабатываются в следующих целях:
Субъекты персональных данных
Цели обработки персональных данных
Физические лица, являющиеся пользователями услуг Фирмы или состоящие в договорных и иных гражданско-правовых отношениях с Фирмой
в целях исполнения договоров, заключенных с такими лицами, а также в целях противодействия коррупции, легализации доходов полученных преступным путем и финансированию терроризма
Физические лица, являющиеся по отношению к юридическим лицам – пользователям услуг Фирмы:
  • их сотрудниками
  • их аффилированными лицами, выгодоприобретателями
в целях исполнения договоров, заключенных с юридическими лицами – пользователями или состоящими в договорных и иных гражданско-правовых отношениях, а также в целях противодействия коррупции, легализации доходов полученных преступным путем и финансированию терроризма
Сотрудники Фирмы, в том числе уволенные, физические лица, претендующие на вакансии Фирмы, лица, проходящие учебную практику Фирме, посетители Фирмы, иные физические лица (при наличии согласия на обработку персональных данных)
в целях обеспечения выполнения договорных соглашений с сотрудниками, обеспечения им установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, обучения и должностного роста, обеспечения их личной безопасности и членов их семьи, сохранности принадлежащего им имущества, обеспечения кадровой работы, формирования кадрового резерва, учета результатов выполнения работниками должностных обязанностей, а также в целях противодействия коррупции
3.3. При обработке персональных данных Фирма обязана обеспечить их конфиденциальность.
4. Категории субъектов персональных данных
4.1. Категории субъектов персональных данных установлены в п. 3.2 настоящего Положения.
5. Категории персональных данных
5.1. Категории персональных данных, обрабатываемых в Фирме, и их объем определяется в соответствии с законодательством Российской Федерации и внутренними документами Фирмы с учетом общих принципов и целей обработки персональных данных и в соответствии с Уведомлением об обработке персональных данных, направляемым в уполномоченный орган по защите прав субъектов персональных данных.
5.2. Персональные данные специальных категорий могут обрабатываться Фирмой в случаях, предусмотренных законодательством и нормативными актами Российской Федерации.
6. Условия обработки персональных данных
6.1. Персональные данные получаются и обрабатываются на основании федеральных законов и иных нормативно-правовых актов Российской Федерации, а в необходимых случаях – при наличии согласия на обработку субъекта персональных данных.
6.2. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, и может осуществляться, в том числе, посредством:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов или заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в информационных системах и других формах, установленными внутренними нормативными документами Фирмы.
6.3. Обработка персональных данных без согласия субъекта персональных данных допускается для достижения целей, предусмотренных законодательством Российской Федерации, а также для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, или в иных случаях, установленных законодательством Российской Федерации.
6.4. Фирма предоставляет обрабатываемые ею персональные данные государственным органам и иным организациям, имеющим в соответствии с законодательством Российской Федерации право на получение соответствующих персональных данных.
6.5. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами Фирма обеспечивает обязательное выполнение требований законодательства Российской Федерации и внутренних нормативных документов в области персональных данных.
Трансграничная передача персональных данных Фирмой не осуществляется.
6.6. Фирма вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица обеспечивать конфиденциальность и безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных.
6.7. Фирма не осуществляет обработку и хранение персональных данных, не предусмотренные целями их сбора. По достижении целей обработки или в случае утраты необходимости в их достижении по окончании сроков обработки и хранения персональных данных обработанные персональные данные уничтожаются или обезличиваются.
Сроки обработки и хранения персональных данных устанавливаются в соответствии с Федеральным законом «О персональных данных», сроком согласия, предоставленным субъектом персональных данных на их обработку, сроками хранения, установленными внутренними нормативными документами, а также иными сроками, установленными в соответствии с требованиями законодательства Российской Федерации.
6.8. Обработка персональных данных может осуществляться:
- с использованием средств вычислительной техники (автоматизированная обработка);
- без использования средств вычислительной техники (неавтоматизированная обработка).
6.9. К обработке персональных данных допускаются только те сотрудники Фирмы, в должностные обязанности которых входит обработка персональных данных. Указанные сотрудники имеют право получать только те персональные данные, которые необходимы им для выполнения возложенных на них функций и должностных обязанностей.

7. Права субъектов персональных данных
7.1. В соответствии с законодательством Российской Федерации субъект персональных данных имеет право:
- требовать от Фирмы уточнения, блокирования или уничтожения своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- получать полную информацию, касающуюся обработки в Фирме его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
- отозвать согласие на обработку своих персональных данных;
- принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
7.2. Сведения предоставляются субъекту персональных данных либо его законному представителю при обращении или получении запроса. Обращение или запрос могут быть направлены письменно или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
8. Права и обязанности ООО «ФБК Поволжье»
8.1. Обязанности Фирмы при обработке персональных данных:
- принимать необходимые меры для выполнения обязанностей Фирмы как оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- назначить лицо, ответственное за организацию обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами;
- обеспечить неограниченный доступ к настоящему Положению.
8.2. Права Фирмы:
- защищать свои интересы в судебном порядке;
- представлять персональные данные третьим лицам или отказывать в представлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- привлекать третьих лиц для обработки персональных данных и поручать обработку персональных данных третьим лицам в соответствии с законодательством Российской Федерации и согласием на обработку персональных данных.
9. Обеспечение безопасности персональных данных
9.1. Обеспечение безопасности персональных данных при их обработке в Фирме осуществляется в соответствии с законодательством Российской Федерации.
9.2. Фирма предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, в том числе:
- разработка и утверждение внутренних нормативных документов в области обработки и защиты персональных данных;
- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных, в том числе в информационных системах;
- организацию обучения и проведение методической работы с сотрудниками, осуществляющими обработку персональных данных в Фирме;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Фирме мер по обеспечению безопасности персональных данных;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и внутренних нормативных документов Фирмы в сфере обработки и защиты персональных данных.
9.3. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
- определяются места хранения персональных данных;
- все действия при неавтоматизированной обработке персональных данных осуществляются только сотрудниками, уполномоченными соответствующими приказами и распоряжениями Генерального директора, и только в объеме, необходимом данным сотрудникам для выполнения ими возложенных на них функций и должностных обязанностей.
9.4. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
- использование межсетевых экранов;
- использование средств антивирусной безопасности;
- использование безопасного серверного оборудования;
- использование средств шифрования и криптографии;
- использование резервного копирования и иных средств для предотвращения случайного повреждения или уничтожения персональных данных.
9.5. В целях выполнения обязанностей Фирмы как оператора, предусмотренных законодательством Российской Федерации, Генеральный директор Фирмы назначает лицо, ответственное за организацию обработки и защиты персональных данных.
Лицо, ответственное за организацию обработки и защиты персональных данных, обязано:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Фирме, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- обеспечивать внутренний контроль за соблюдением в Фирме требований законодательства Российской Федерации и внутренних нормативных документов в области персональных данных, в том числе требований к защите персональных данных;
- организовывать доведение до сведения сотрудников Фирмы положения законодательства Российской Федерации в области персональных данных, внутренних нормативных документов по вопросам обработки персональных данных, а также требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в Фирме.

10. Доступ к персональным данным
10.1. Доступ к обрабатываемым персональным данным имеют:
- лица, которым Фирма поручила обработку персональных данных;
- лица, чьи персональные данные подлежат обработке;
- сотрудники, уполномоченные соответствующими приказами или распоряжениями Генерального директора.
10.2. Доступ сотрудников Фирмы к обрабатываемым персональным данным осуществляется в строгом соответствии с их функциями, должностными обязанностями и требованиями внутренних нормативных документов Фирмы.
10.3. Допущенные к обработке персональных данных сотрудники Фирмы под роспись знакомятся с настоящим Положением, а также иными документами Фирмы, устанавливающими права и обязанности отдельных сотрудников.
11. Заключительные положения
11.1. Настоящее Положение вступает в силу с даты его утверждения приказом Генерального директора.
11.2. В случае если отдельные нормы настоящего Положения вступят в противоречие с нормами действующего законодательства, они утрачивают силу, и применяются соответствующие нормы законодательства. Недействительность отдельных норм настоящего Положения не влечет недействительности других норм и Положения в целом.
11.3. Настоящее Положение должно быть доступно и доведено до сведения каждого сотрудника Фирмы.
11.4. Ответственность за актуализацию настоящего Положения возлагается на лицо, ответственное за организацию обработки и защиты персональных данных.
11.5. Ответственность за нарушение требований законодательства Российской Федерации и внутренних нормативных документов Фирмы в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.