1.1. Настоящее Положение об обработке персональных данных в ООО «ПКК» (далее – Положение) разработано в соответствии с Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных».
1.2. Положение определяет основные цели и назначение, а также особенности обработки персональных данных в ООО «ПКК».
1.3. Положение вступает в силу с момента утверждения Генеральным директором ООО «ПКК».
1.4. Положение подлежит пересмотру в ходе периодического анализа со стороны руководства ООО «ПКК», а также в случае изменения законодательства в области обеспечения безопасности персональных данных.
1.5. Цель Положения:
Обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в ООО «ПКК».
1.6. Назначение Положения:
Разработка и (или) совершенствование комплекса согласованных организационных и технических мер, направленных на обеспечение безопасности персональных данных.

2.1.   В Положении используются следующие понятия:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
- Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3.1. Положение распространяется на все отношения, связанные с обработкой персональных данных, осуществляемые в ООО «ПКК»:
- с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
- без использования средств автоматизации.
3.2. Положение применяется ко всем субъектам персональных данных, чьи персональные данные обрабатываются в ООО «ПКК», а именно:
- сотрудники ООО «ПКК» и подведомственных организаций;
- соискатели на вакантные должности в ООО «ПКК» и подведомственные организации;
- физические лица - клиенты ООО «ПКК»;
- физические лица - потенциальные клиенты ООО «ПКК»;
- физические лица - выгодоприобретатели по договорам ООО «ПКК»;
- физические лица - контрагенты ООО «ПКК»;
- физические лица - потенциальные контрагенты ООО «ПКК»;
- сторонние лица, обработка персональных данных которых необходима для осуществления и выполнения возложенных на ООО «ПКК» законодательством Российской Федерации функций, полномочий и обязанностей.

4.1. Правовым основанием обработки персональных данных является:
- Уставные документы ООО «ПКК»;
- Согласие субъекта персональных данных на обработку персональных данных.

5.1. Целью обработки персональных данных в ООО «ПКК» является:
- осуществление процессов управления сотрудниками ООО «ПКК» и подведомственных организаций согласно трудовому законодательству Российской Федерации, в том числе осуществление налоговых выплат, начисление льгот и выплата компенсаций сотрудникам ООО «ПКК» и подведомственных организаций согласно трудовому, налоговому, пенсионному, страховому и социальному законодательству РФ;
- рассмотрение резюме соискателей на должность и принятия решения о возможности заключения с ним трудового договора;
- заключение и исполнение трудовых договоров;
- принятие решения о заключении договора с потенциальным клиентом/контрагентом ООО «ПКК»;
- исполнение обязательств по договорам с клиентами/контрагентами;
- проведение маркетинговых исследований;
- предоставление информации в случаях, предусмотренных законодательством;
- ведение кадрового делопроизводства и организации учета сотрудников;
- содействие сотрудникам в трудоустройстве, получении образования и продвижения по службе;
- контроль количества и качества выполняемой работы;
- обеспечение личной безопасности сотрудников;
- заключения, исполнений и прекращения гражданско-правовых договоров с физическими лицами: гражданами и индивидуальными предпринимателями, юридическими лицами;
- продвижение услуг ООО «ПКК» на рынке;
- защита законных прав и интересов ООО «ПКК», в том числе в судах судебной системы РФ.
5.2. Обработка персональных данных в ООО «ПКК» осуществляется строго с соблюдением следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- в иных случаях, предусмотренных законодательством Российской Федерации.
Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.
5.3. Принципы обработки персональных данных:
- Содержание, объем и способы обработки персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки персональных данных;
- Необходимо принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
- ООО «ПКК» не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, при принятии решений, затрагивающих интересы субъекта и порождающих юридические последствия;
- Лицам, получившим доступ к персональным данным, обрабатываемым в ООО «ПКК», запрещается раскрывать их лицам, не имеющим отношение к обработке персональных данных в ООО «ПКК» и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
- Сроки хранения персональных данных не должны быть дольше, чем это указано в согласии на обработку и чем этого требуют цели обработки персональных данных, или должны определяться, в соответствии с требованиями федеральных законов, сроками действия договоров, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. По достижении целей обработки или в случае утраты необходимости в достижении этих целей обрабатываемые персональные данные подлежат уничтожению либо обезличиванию.

6.1. В соответствии с целями обработки персональных данных, приведенных в пункте 5.1, в ООО «ПКК» осуществляется обработка следующих категорий субъектов персональных данных:
- сотрудники ООО «ПКК» и подведомственных организаций;
- не сотрудники ООО «ПКК» и подведомственных организаций.
6.2. В соответствии с целями обработки персональных данных, приведенных в пункте 5.1, а также с учетом категорий субъектов персональных данных, приведенных в пункте 6.1, в ООО «ПКК» обрабатываются следующие категории персональных данных:
-иные.
6.3. Перечень обрабатываемых в ООО «ПКК» персональных данных (далее – Перечень ПДн) приведен в Приложении 1 к настоящему Положению.
6.4. В ходе осуществления своей деятельности, а также при изменении законодательства Российской Федерации, Перечень ПДн может быть пересмотрен и изменен.
6.5. При получении персональных данных, не указанных в Перечне ПДн, указанные данные подлежат немедленному уничтожению лицом, непреднамеренно получившим указанные данные.

7.1. В соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных персональные данные подразделяются на следующие категории:
- персональные данные, отнесенные в соответствии с Федеральным законом
«О персональных данных» к специальным категориям персональных данных;
- персональные данные, отнесенные в соответствии с Федеральным законом
«О персональных данных» к биометрическим персональным данным;
- персональные данные, отнесенные в соответствии с Федеральным законом
«О персональных данных» к общедоступным персональным данным;
- персональные данные, отнесенные в соответствии с Федеральным законом
«О персональных данных» к иным персональным данным.
7.2. Специальные категории персональных данных
В рамках деятельности, связанной с обработкой персональных данных
в ООО «ПКК» запрещено обрабатывать специальные категории персональных данных, так как они не используются в деятельности ООО «ПКК».
7.3. Биометрические персональные данные
В рамках деятельности, связанной с обработкой персональных данных в ООО «ПКК» запрещено обрабатывать биометрические категории персональных данных, так как они не используются в деятельности ООО «ПКК».
7.4. Общедоступные персональные данные
В рамках деятельности, связанной с обработкой персональных данных в ООО «ПКК», не создаются источники общедоступных персональных данных и не используются общедоступные персональные данные, так как они не задействованы в обработке персональных данных в ООО «ПКК».
7.5. Иные персональные данные
К иным персональным данным относятся все персональные данные, не вошедшие в пункты 7.2, 7.3, 7.4, обрабатываемые в ООО «ПКК» согласно Перечня ПДн.
Обработка иных персональных данных осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

8.1. Условия обработки персональных данных
8.1.1. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
8.1.2. Обработка персональных данных осуществляется лицами, допущенными к обработке персональных данных в ООО «ПКК» с согласия субъекта персональных данных, за исключением случаев:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27 июля 2010 года «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, установленных законодательством, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
8.1.3. Лицо, допущенное к обработке персональных данных в ООО «ПКК», при обращении к нему субъекта персональных данных, определяет необходимость получения согласия обратившегося лица на обработку его персональных данных, необходимых для исполнения конкретных должностных обязанностей. В случае если документы, оформляемые субъектом персональных данных, не содержат согласия на обработку его персональных данных, необходимо уведомить субъекта о необходимости получения от него подобного согласия и предоставляет необходимые для этого документы (заявление, анкету и т.д.).
8.1.4. В случае, если субъект персональных данных обратился к сотруднику, не имеющему право осуществлять обработку персональных данных, этот сотрудник перенаправляет обратившееся лицо к сотруднику, имеющему право обрабатывать персональные данные.
8.1.5. В целях поддержания грамотности лиц, допущенных к обработке персональных данных в ООО «ПКК», по вопросам обработки персональных данных Ответственный за организацию обработки персональных данных в ООО «ПКК» организовывает обучение лиц, допущенных к обработке персональных данных в ООО «ПКК», по вопросам обработки персональных данных в соответствии с положениями Федерального Закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», а также специальными нормами, касающиеся совершения отдельных действий, связанных с обработкой персональных данных.
8.2. Сбор персональных данных
8.2.1. Персональные данные в ООО «ПКК» можно получать от субъекта персональных данных или от третьих лиц при условии наличия согласия на обработку и/или оснований, указанных в пунктах 2 -11 ча. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных».
8.2.2. В ООО «ПКК» возможно получение персональных данных от третьих лиц, получающих персональные данные у субъектов, в том числе в качестве представителей ООО «ПКК» на основании доверенности, а также имеющих договорные отношения с субъектом персональных данных либо с ООО «ПКК». В данном случае, в соответствие с ч. 4 ст. 6 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», для обработки в ООО «ПКК» нет необходимости получать согласие субъекта персональных данных на обработку его персональных данных.
8.2.3. Источниками персональных данных в ООО «ПКК» являются: формы документов на бумажном носителе (договоры, анкеты, резюме, заявки, заявления, уведомления, копии предоставляемых документов и т.д., иные источники в соответствии с действующим законодательством Российской Федерации), персональные данные, поступившие в ООО «ПКК» в электронном виде (электронные документы, базы данных, и т.д.).
8.2.4. Субъект персональных данных обязан предоставлять ООО «ПКК» и подведомственным организациям достоверные сведения о себе и своевременно сообщать об изменении своих персональных данных. ООО «ПКК» имеет право проверять достоверность предоставленных сведений, сверяя данные, предоставленные субъектом персональных данных, с имеющимися в ООО «ПКК» документами.
8.2.5. Если персональные данные получены не от субъекта персональных данных и их обработка не поручена ООО «ПКК» оператором, то до начала обработки таких персональных данных необходимо предоставить субъекту персональных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом № 152-ФЗ от 27 июля 2006 года
«О персональных данных» права субъекта персональных данных;
- источник получения персональных данных.
Обязанность представлять указанную информацию возложена на ООО «ПКК».
8.2.6. Лица, допущенные к обработке персональных данных в ООО «ПКК», освобождаются от обязанности предоставить субъекту персональных данных указанные в пункте 8.2.5 сведения в следующих случаях:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные, разрешенные субъектом персональных данных для распространения (сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих персональных данных, разрешенных им для распространения в порядке, предусмотренном законодательством);
- обработка персональных данных осуществляется для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных ч. 3 ст. 18 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», нарушает права и законные интересы третьих лиц.
8.2.7. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом, лица, допущенные к обработке персональных данных в ООО «ПКК» обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.3. Доступ к персональным данным
8.3.1. Перечень лиц, допущенных к обработке персональных данных, определяется и утверждается руководством ООО «ПКК».
8.3.2. Доступ сотрудников, не включенных в указанный перечень, осуществляется на основании утверждения права доступа руководством ООО «ПКК», подготовленного на основании служебной записки с положительной резолюцией Ответственного за организацию обработки персональных данных в ООО «ПКК».
8.3.3. Лица, допущенные к обработке персональных данных, проходят обязательный инструктаж о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, о правилах обработки персональных данных и требованиях по обеспечению безопасности персональных данных в части, касающихся их должностных обязанностей, а также принимают на себя обязательство о соблюдении конфиденциальности персональных данных.
8.3.4. В соответствии с пунктом 8.3.3 настоящего Положения, процедура оформления доступа лиц, допущенных к обработке персональных данных, включает в себя:
- ознакомление под роспись с внутренними документами ООО «ПКК», регулирующими обработку персональных данных;
- требование письменного обязательства о соблюдении конфиденциальности персональных данных и о соблюдении правил их обработки, подготовленного в установленной форме.
8.3.5. Доступ к персональным данным, без надлежащего оформления доступа (не выполнение требований по пунктам 8.3.3, 8.3.4), запрещен.
8.3.6. Лица, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей.
8.3.7. Субъект персональных данных (его законный представитель) имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев, предусмотренным Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных»), содержащей его персональные данные. Субъект персональных данных имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
8.3.8. Передача (обмен и т.д.) персональных данных осуществляется только между лицами, допущенными в установленном порядке к работе с персональными данными в ООО «ПКК».
8.3.9. Работа с материальными носителями персональных данных осуществляется строго в установленном в ООО «ПКК» порядке по работе с материальными носителями персональных данных.
8.4. Сроки обработки и хранение персональных данных
8.4.1. Сроки обработки персональных данных, содержащихся в типовых и иных формах, регламентируются действующим законодательством Российской Федерации, в том числе Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», и указываются в документах, фиксирующих договорные отношения ООО «ПКК» с субъектами персональных данных, и в согласиях субъектов на обработку их персональных данных.
8.4.2. Процедура хранения персональных данных в ООО «ПКК» проводится в порядке, который позволяет осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Данный порядок соответствует определенному в ч.7 ст. 5 Федерального закона № 152-ФЗ «О персональных данных» принципу обработки персональных данных.
8.4.3. Персональные данные, обрабатываемые без использования средств автоматизации, хранятся на бумажных носителях в помещении подразделений, непосредственно осуществляющих обработку персональных данных. Для этого используются специально оборудованные шкафы и сейфы, которые запираются и, в случае необходимости, опечатываются.
8.4.4. Персональные данные, обрабатываемые с применением средств автоматизации, хранятся в электронном виде, при этом в ООО «ПКК» применяются меры к защите соответствующей информационной системы, определенные действующим законодательством Российской Федерации и внутренними документами ООО «ПКК», в том числе регулирующие вопросы обеспечения безопасности информации и персональных данных.
8.4.5. Сроки хранения персональных данных указываются в документах, подтверждающих получение согласия субъекта персональных данных на обработку его персональных данных, или во внутренних документах ООО «ПКК».

8.5.1. Передача персональных данных (включая надзорные органы, органы дознания и т.д.) возможна только в случаях, прямо предусмотренных законодательными и нормативными актами Российской Федерации, либо в случае письменного согласия субъекта персональных данных. Факт передачи должен быть оформлен соответствующим актом.
8.5.2. В случае если обязанность либо возможность предоставления имеющихся в распоряжении ООО «ПКК» персональных данных иным лицам (включая органы государственной и муниципальной власти) установлена законодательством, указанные данные в составе, виде и сроки, указанные в законодательных или нормативных актах, предоставляются ООО «ПКК».
8.5.3. Если обязанность предоставления персональных данных фиксируется соответствующим запросом (ходатайством) уполномоченного лица, запрос подлежит обязательной проверке в целях контроля над обоснованностью предоставления запроса. При обоснованности подобного запроса, структурное подразделение, в которое поступил указанный запрос, информирует об этом подразделение, которое осуществляет обработку запрошенных данных, которое в свою очередь формирует ответ на запрос (при необходимости – организует деятельность иных подразделений по подготовке ответа). При необоснованности запроса, структурное подразделение, в которое поступил запрос, информирует об этом подразделение, которое осуществляет обработку запрошенных данных, которое в свою очередь направляет отправителю запроса письменное уведомление об отказе в предоставлении персональных данных.
8.5.4. При передаче персональных данных третьим лицам ООО «ПКК» обязуется уведомлять лица, получившие персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать их конфиденциальность и безопасность. Данное требование не распространяется на обмен персональными данными в порядке, установленном законодательством.
8.5.5. Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных, за исключением случаев, установленных действующим законодательством Российской Федерации.
8.6. Трансграничная передача
8.6.1.В ООО «ПКК» не выполняется трансграничная передача персональных данных, так как это не требуется для достижения установленных в ООО «ПКК» целей обработки персональных данных.
8.7. Уточнение персональных данных
8.7.1. Уточнение персональных данных субъекта персональных данных производится путем обновления или изменения данных в информационной системе или на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональных данных.
8.7.2. Уточнение персональных данных производится в рамках действующей в ООО «ПКК» системы документооборота с соблюдением принципов, изложенных в настоящем Положении.
8.8. Блокирование персональных данных
8.8.1. Блокирование персональных данных представляет собой деятельность по временному прекращению обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
8.8.2. Блокирование осуществляется в случае, если субъектом персональных данных или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных выявлена недостоверность при условии, что такое блокирование не нарушает их права и законные интересы.
8.8.3. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, необходимо уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «ПКК») в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных. Обязанность по уточнению (обеспечению уточнения) персональных данных возложена на ООО «ПКК».
8.8.4. Блокирование персональных данных в ООО «ПКК» осуществляется установлением специальных прав доступа к персональным данным, либо путем копирования данных на специальное рабочее место с ограниченным доступом с одновременным удалением данных из первоначального места хранения.
8.8.5. Блокирование персональных данных на материальных носителях производится путем их изъятия и хранения у Ответственного за организацию обработки персональных данных в ООО «ПКК» в защищенном месте, исключающим возможность несанкционированного доступа к нему посторонних лиц.
8.8.6. Блокирование материального носителя информации, содержащего персональные данные как подлежащие, так и не подлежащие блокированию, осуществляется путем копирования материального носителя способом, исключающим совместное копирование определенных типов информации (удаление, вымарывание блокированного фрагмента). В дальнейшей деятельности используется копированный материальный носитель, не содержащий блокированной информации. Блокированный материальный носитель передается на хранение Ответственному за организацию обработки персональных данных в ООО «ПКК».
8.8.7. Снятие блокирования осуществляется после уточнения персональных данных на основании информации, переданной субъектом персональных данных или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных.
8.8.8. Снятие блокирования сопровождается уведомлением Ответственного за организацию обработки персональных данных в ООО «ПКК» о снятии блокирования после уточнения персональных данных. Блокированные персональные данные в информационных системах подлежат разблокировке и уточнению. Блокированные документы на материальных носителях подлежат возврату в подразделение, из которого они были изъяты для блокирования.
8.9. Архивирование персональных данных
8.9.1. Персональные данные, неиспользуемые в деятельности ООО «ПКК» и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом № 125-ФЗ от 22 октября 2004 года «Об архивном деле в Российской Федерации» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов независимо от их форм собственности.
8.9.2. Архивирование персональных данных производится в рамках, действующих в ООО «ПКК» систем документооборота и работы с архивными документами с соблюдением принципов, изложенных в настоящем Положении. Обязательным условием архивирования персональных данных является обеспечение их конфиденциальности и безопасности.
8.9.3. Подразделения, хранящие архивные персональные данные на бумажных носителях, обязаны обеспечить ограничение доступа к указанным данным только тех лиц, деятельность которых непосредственно связана с обработкой хранимого типа архивных персональных данных. Доступ к архивным персональным данным, хранение которых осуществляется на электронных носителях, должен быть ограничен исходя из требований информационной безопасности, указанных в данном Положении и отдельных локальных нормативных актах ООО «ПКК».
8.10. Обезличивание персональных данных
8.10.1. В целях снижения нагрузки на ООО «ПКК», приводящей к дополнительным затратам без повышения уровня защищенности персональных данных и прав субъектов, может быть произведено обезличивание персональных данных субъектов персональных данных. Также обезличивание производится в целях, предусмотренных действующим законодательством.
8.10.2. Обезличенные персональные данные должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке персональных данных действий.
8.10.3. В ООО «ПКК» могут применятся утвержденные законодательством способы и методы обезличивания персональных данных, в том числе с использованием криптографических средств.
8.10.4. Ответственный за организацию обработки персональных данных в ООО «ПКК» обладает правом самостоятельного обезличивания персональных данных. При необходимости получения иных обезличенных персональных данных, лица, допущенные к обработке персональных данных в ООО «ПКК», обязаны направить Ответственному за организацию обработки персональных данных служебную записку с запросом соответствующих данных, если предоставление таких данных не осуществляется в рамках должностных обязанностей и внутренних регламентов ООО «ПКК».

8.11.1. ООО «ПКК» производит уничтожение персональных данных в следующих случаях:
- при выявлении неустранимых неправомерных действий с персональными данными субъектов;
- по достижении целей обработки персональных данных (при условии невозможности обезличивания персональных данных);
- при получении от субъекта персональных данных отзыва согласия на обработку персональных данных (при условии, что такой отзыв не противоречит обязанностям ООО «ПКК» продолжать обработку персональных данных в соответствии с действующим законодательством);
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных – если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.11.2. Уничтожению подлежат все требуемые к уничтожению персональные данные, зафиксированные на материальных носителях или хранящихся в информационных системах ООО «ПКК». Уничтожение персональных данных на материальных носителях производится в соответствии с утвержденными процедурами ООО «ПКК». Уничтожение персональных данных производится должностным лицом, использовавшим указанные данные или Ответственным за организацию обработки персональных данных.
8.11.3. Решение об уничтожении персональных данных принимается Ответственным за организацию обработки персональных данных в ООО «ПКК».
8.11.4. Уничтожение персональных данных производится в срок:
- не превышающий 10 (десяти) рабочих дней с даты выявления неустранимых неправомерных действий с персональными данными;
- не превышающий 30 (тридцати) календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если ООО «ПКК» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ  от 27 июля 2006 года «О персональных данных» или другими федеральными законами;
- не превышающим 30 (тридцати) календарных дней с даты поступления от субъекта персональных данных отзыва согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если ООО «ПКК» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных» или другими федеральными законами.
8.11.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного выше, осуществляется уничтожение или обеспечение уничтожения персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
8.11.6. В случае если согласно имеющейся у ООО «ПКК» информации, персональные данные субъектов были направлены третьим лицам, необходимо потребовать у указанных третьих лиц в письменной форме акт уничтожения персональных данных с изложением оснований для подобного уничтожения.
8.11.7. При необходимости уничтожения персональных данных, являющихся частью материального носителя, содержащего персональные данные, не подлежащие уничтожению, уничтожение таких персональных данных осуществляется в установленном
в ООО «ПКК» порядке.
8.11.8. После уничтожения персональных данных, в случае если уничтожение произведено по запросу (по требованию) субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, указанному субъекту персональных данных или уполномоченному органу по защите прав субъектов персональных данных ООО «ПКК» направляет уведомление о факте уничтожения указанных персональных данных.
8.11.9. Требуемые действия при уничтожении ПДн, формирование акта об уничтожении персональных данных и выгрузка из журнала регистрации событий в ООО «ПКК» подробнее приводятся в Приказе об уничтожении ПДн.

9.1. Общие положения
9.1.1. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
9.1.2. При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель.
9.1.3. Форма согласия может быть в письменной и иной форме, предусмотренной действующим законодательством.
9.1.4. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
9.2. Форма согласия
9.2.1.Обработка персональных данных, в соответствии с Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», осуществляется только с согласия субъекта персональных данных в письменной форме.
9.2.2. Согласие субъекта персональных данных на обработку его персональных данных в ООО «ПКК» должно включать в себя сведения и информацию, требующуюся для включения в согласие в соответствии с действующим законодательством и внутренними документами ООО «ПКК».
9.2.3. Типовые формы согласия приведены в Приложениях 2, 3, 5, 7.
9.2.4. Форма разъяснения субъекту ПДн юридических последствий отказа предоставлять свои персональные данные приведены в Приложениях 4 и 6.
9.2.5. Форма для уточнения предоставленных субъектом персональных данных представлена в Приложении 8.
9.2.6. В соответствии со статьей 6 Федерального Закона № 63-ФЗ от 06 апреля 2011 года «Об электронной подписи», информация в электронной форме, подписанная квалифицированной, либо неквалифицированной электронной подписью, признаётся электронным документом, равнозначным документу на бумажном носителе, подписанной собственноручной подписью.
9.2.7. Согласие субъекта на обработку его персональных данных в ООО «ПКК» может быть предоставлено в электронном виде на основании письменного соглашения между участниками электронного взаимодействия и должно включать в себя сведения и информацию, требующуюся для включения в согласие в соответствии с действующим законодательством и внутренними документами ООО «ПКК».
9.3. Отзыв согласия на обработку
9.3.1. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора.
9.3.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ООО «ПКК» вправе продолжить обработку персональных данных при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных».
9.3.3. В соответствии с пунктами 2 - 11 части 1 статьи 6, а также пунктом 4 статьи 6 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» обработка персональных данных может осуществляться без согласия соответствующего субъекта персональных данных.

10.1. Порядок обработки персональных данных с использованием средств автоматизации
10.1.1. Обработка персональных данных в ООО «ПКК» может проводится с использованием средств автоматизации и без таковых. Конкретный способ обработки персональных данных определяется на основании процедур использования данных, определенных внутренними документами ООО «ПКК».
10.1.2. Обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации № 1119 от 01 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации.
10.1.3. Перечень информационных систем персональных данных, их классификация и требования по обеспечению безопасности описаны в отдельных нормативных и организационно-распорядительных документах ООО «ПКК».
10.1.4. Контроль за соответствием обработки персональных данных заявленным целям возлагается на Ответственного за организацию обработки персональных данных в ООО «ПКК».
10.2. Порядок обработки персональных данных без использования средств автоматизации
10.2.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
10.2.2. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
10.2.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие требования:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора и лиц, которым оператором поручена обработка персональных данных, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
10.2.4. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации, необходимо принимать организационные (охрана помещений) и технические меры (установка соответствующих средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
10.2.5. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
10.2.6. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
10.2.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11.1. В целях исполнения требований главы 3 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и в целях обеспечения защиты персональных данных субъекты персональных данных вправе:
- Получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
- Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
- Требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- Обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) лиц, допущенных к обработке персональных данных в ООО «ПКК».
11.2. Субъект персональных данных вправе обратиться в ООО «ПКК» с составленным, с соблюдением требования законодательства, запросом об обработке персональных данных в ООО «ПКК». В данном запросе может быть уточнена следующая информация:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения ООО «ПКК», сведения о лицах (за исключением сотрудников ООО «ПКК»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «ПКК» или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информация об осуществляемой или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «ПКК»», если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные федеральным законодательством.
11.3. Сведения, указанные выше, предоставляются субъекту персональных данных или его представителю при обращении либо при получении письменного запроса, или запроса в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие его участие отношениях с ООО «ПКК» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в ООО «ПКК», подпись субъекта персональных данных или его уполномоченного представителя.
11.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.5. Запрос от субъекта персональных данных или его уполномоченного представителя регистрируется в журнале регистрации входящих сообщений и обрабатывается в соответствии с требованиями внутренних документов ООО «ПКК».
11.6. В случае, если сведения, указанные выше, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в ООО «ПКК» или направить повторный запрос в целях получения сведений, указанных выше, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором.
11.7. Субъект персональных данных вправе обратиться повторно в ООО «ПКК» или направить повторный запрос в целях получения сведений, указанных выше, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 11.6, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

12.1. В ООО «ПКК» документально определен перечень лиц, осуществляющих обработку персональных данных. Лица, осуществляющие такую обработку, проинформированы о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, а также об ответственности за нарушение действующего законодательства в области персональных данных.
12.2. Передача персональных данных между структурными подразделениями ООО «ПКК» осуществляется только между сотрудниками, имеющими доступ к персональным данным.
12.3. ООО «ПКК» не вправе принуждать субъектов персональных данных к предоставлению персональных данных, однако вправе требовать этого, если подобные обязательства прямо вытекают из условий договорных отношений или требований нормативных и законодательных актов.
12.4. В ООО «ПКК» должна быть обеспечена возможность ознакомления субъекта персональных данных в доступной форме с документами и материалами, непосредственно к нему относящимися (если подобный запрет прямо не установлен действующим законодательством) при получении запроса, соответствующего требованиям статьи 14 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и раздела «Права и обязанности субъектов персональных данных» данного Положения.
12.5. Если сбор персональных данных осуществляется во исполнение требований федерального закона, лица, осуществляющие сбор персональных данных обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные.
12.6. При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных необходимо сообщить по запросу данного органа всю необходимую информацию в течение 10 (десяти) календарных дней с даты получения такого запроса. Обязанность за предоставление такой информации возложена на ООО «ПКК».
В соответствии с пунктом 4 статьи 20 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» указанный срок может быть продлен, не более чем на 5 (пять) рабочих дней с направлением мотивированного уведомления в адрес уполномоченного органа по защите прав субъекта ПДн с указанием причин продления срока предоставления запрашиваемой информации.

13.1. При обработке персональных данных в ООО «ПКК» принимаются необходимые правовые, организационные и технические меры, или обеспечивается их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
13.2. Безопасность персональных данных достигается в соответствии с требованиями статьи 19 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных». Меры, способы, принципы и требования по защите персональных данных приведены в организационно-распорядительной документации ООО «ПКК» по защите информации и персональных данных.

14.1. Сотрудники ООО «ПКК», обрабатывающие персональные данные, и лица, которым ООО «ПКК» поручает обработку персональных данных, несут гражданскую, уголовную, административную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этих персональных данных.
14.2. За неисполнение или ненадлежащее исполнение уполномоченными сотрудником ООО «ПКК» возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными в ООО «ПКК» вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
14.3. Административная ответственность также предусмотрена в случаях неправомерного отказа уполномоченными лицами ООО «ПКК» в предоставлении собранных в установленном порядке документов, в случаях несвоевременного предоставления таких документов, либо в случаях предоставления неполной или заведомо ложной информации.
14.4. Ответственный за организацию обработки персональных данных в ООО «ПКК», предоставляющий доступ сотрудникам ООО «ПКК» и лицам, осуществляющим обработку персональных данных по поручению ООО «ПКК», к обрабатываемым персональным данным, несут персональную ответственность за данное разрешение.
14.5. Сотрудники ООО «ПКК», получающие доступ к обрабатываемым персональным данным, несут персональную ответственность за конфиденциальность полученной информации.