УТВЕРЖДЕНО

Генеральный директор ООО «Строительная компания Бриз»
Гашичев Д.Ю.

Санкт-Петербург
2025

1. Общие положения

1.1 Настоящий документ определяет Политику ООО «Строительная компания Бриз» (далее – Общество) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2 В настоящей Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.3. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».

1.4. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять ее условия. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.

1.5. Если иное не предусмотрено Политикой, все вносимые в нее изменения вступают в силу с даты, указанной в Политике.

2. Принципы обработки персональных данных

2.1 Обработка персональных данных в Обществе осуществляется на законной и справедливой основе;

2.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.4 Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.5 Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

2.6 При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

2.7 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством РФ.

3. Условия обработки персональных данных

3.1. Обработка персональных данных в Обществе допускается в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.2. Общество (оператор) вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".

3.3. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом, при этом такое лицо не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных в Общество осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Российской Федерации, а также руководящих и методических документов Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК России и ФСБ России, а также локальными нормативными актами Общества.

5. Цели обработки персональных данных

5.1. Обработка персональных данных в Обществе осуществляется в целях осуществления деятельности, предусмотренной Уставом Общества, заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством Российской Федерации; организации кадрового учета, обеспечения соблюдения законов Российской Федерации и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства Российской Федерации при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральными законами Российской Федерации и внутренними документами Общество.

5.2. Общество также осуществляет обработку персональных данных для целей использования сервисов Общества, в том числе посещение, сайтов Общества и соответствующих мобильных приложений (далее по тексту совместно также – «Сайты»), а также иных сервисов Общества в соответствии с предоставляемой функциональностью, включая регистрацию и авторизацию на Сайтах и в таких сервисах, включая но не ограничиваясь проведение опросов, статистических и маркетинговых исследований, обработка полученной информации, в том числе с возможностью коммерческого использования результатов данных опросов, исследований, таргетирование в рекламных целях , обработка сообщений, которые направлены через форму обратной связи

6. Состав и субъекты персональных данных

6.1 Оператор может осуществлять обработку любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести:

• Фамилия, имя, отчество, месяц рождения, год рождения, дата рождения, место рождения;
• анкетные и биографические данные;
• образование;
• сведения о трудовом и общем стаже;
• семейное положение, сведения о составе семьи;
• паспортные данные (серия паспорта, номер паспорта, дата выдачи паспорта, когда и кем выдан паспорт, место жительства (регистрации));
• сведения о страховом свидетельстве обязательного пенсионного страхования;
• сведения об идентификационном номере налогоплательщика;
• сведения о воинском учете;
• сведения о доходах;
• сведения о социальных льготах;
• специальность;
• занимаемая должность;
• номер телефона;
• содержание трудового договора;
• содержание декларации, подаваемой в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• основания приказов по личному составу;
• трудовые книжки сотрудников;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики;
• результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; данные о состоянии здоровья сотрудников;
• фотографии, изображения;
• рекомендации, характеристики;
• электронная почта;
• другая информация, позволяющая по совокупности определить (идентифицировать) субъекта персональных данных

6.2. В зависимости от субъекта персональных данных Оператор может осуществлять обработку персональных данных следующих категорий субъектов персональных данных:

• персональные данные соискателей и работников, состоящих или состоявших в трудовых отношениях с Общество, а также члены совета директоров. Во избежание сомнений к категории работников относятся в том числе аффилированные лица или руководители участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Общество (информация, необходимая Оператору для отражения в отчетных документах о деятельности Оператора в соответствии с требованиями федеральных законов Российской Федерации и иных нормативных правовых актов), близкие родственники работников, законные представители работников);
• персональные данные контрагентов Общество - физических лиц (потенциальных клиентов/контрагентов, партнеров, залогодателей, поручителей, принципалов), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося контрагентом Общества – информация, необходимая Оператору для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора, заключенного с контрагентами, для минимизации рисков, связанных с нарушением обязательств по соответствующему договору и для выполнения требований законодательства Российской Федерации;
• персональные данные физических лиц, не относящихся к категории соискателей и работников, а именно пользователи Сайтов и иных сервисов Общества (включая участников акций, конкурсов и мероприятий Общества, получателей рекламы, предварительно выразивших на это согласие).

Категории субъектов персональных данных и перечень обрабатываемых сведений:

6.2.1. Соискатели

Перечень обрабатываемых персональных данных: фото/изображение, фамилия, имя, отчество, дата рождения, данные документа удостоверяющего личность, гражданство, контактный телефон, семейное положение, адрес электронной почты, желаемая должность, желаемый график работы, зарплатные ожидания, наличие родственников и/или друзей и/или, знакомых, работающих в Компании, сведения об образовании и квалификации, сведение о знании иностранных языков, опыт работы (период работы, наименование организации, должность, обязанности, причина увольнения), ИНН, готовность к переезду в рамках страны и за пределами РФ, информация о факте работы на государственной или муниципальной службе, информация о факте работы близкого родственника на государственной или муниципальной службе.

6.2.2. Работники и члены совета директоров

Перечень обрабатываемых персональных данных: фото/изображение, фамилия, имя, отчество, пол, дата и место рождения, гражданство, сведения об образовании, профессия, квалификация, должность, паспортные данные, адрес регистрации и фактического проживания, телефон, адрес электронной почты, сведения о воинском учете, сведения о наградах, поощрениях, почетных званиях, сведения о социальных льготах, ОМС, ИНН, СНИЛС, сведения о доходах и отчислениях, номер(а) банковского счета и карты для выплаты заработной платы, сведения об инвалидности, сведения (справок, заключений, выписок, включая документы, подтверждающие прохождение освидетельствования, наличие медицинского отвода и иных документов) о состоянии здоровья необходимые для допуска к особо опасным работам в соответствии с действующим законодательством Российской Федерации (при необходимости).

6.2.3. Близкие родственники работников и законные представители работников

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, степень родства, номер свидетельства о рождении, дата рождения.

6.2.4. Контрагенты и их сотрудники

Перечень обрабатываемых персональных данных: фамилия, имя отчество, гражданство, пол, паспортные данные, контактный телефон, СНИЛС, ИНН, место работы, должность, дата рождения, пол, место рождения. наименование компании работодателя, наименование должности, адрес рабочей электронной почты, номер рабочего телефона, фотография, сведения, собираемые посредством метрических программ, технические сведения о пользовательских устройствах и идентификаторы, файлы-cookies, данные о Гео-позиции, IP-адрес, Mac-адрес, Гео-позиция.

6.2.5. Пользователи Сайтов и иных сервисов Общества

Перечень обрабатываемых персональных данных: фамилия, имя, отчество, адрес электронной почты, номер мобильного телефона, дата рождения, семейное положение, пол, наличие авто, сведения, собираемые посредством метрических программ, технические сведения о пользовательских устройствах и идентификаторы, файлы-cookies, данные о Гео-позиции, IP-адрес, Mac-адрес, Гео-позиция, IDFA, данные о полученных и/или об использованных баллах.

6.3. Обработка Обществом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных;
• обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
• обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
• обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

6.3.1. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

7. Порядок обработки персональных данных

7.1. В Обществе совершаются следующие действия (операции) или совокупность действий (операций) с персональными данными субъектов персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.2. Общество использует следующие способы обработки персональных данных:

• с использованием средств вычислительной техники (автоматизированная обработка);
• обработка без использования средств автоматизации (неавтоматизированная обработка).

7.3. Общество может передавать хранящиеся у него персональные данные следующим третьим лицам:

• контрагентам, предоставляющим Обществу услуги по обработке данных или ИТ-услуги;
• контрагентам, оказывающим Обществу помощь в предоставлении услуг или информации, к которым среди прочего относится ООО «Майндбокс» ИНН 7713688880;
• аудиторам и другим профессиональным консультантам;
• правоохранительным и другим государственным и регулирующим органам, а также другим сторонним организациям и лицам в соответствии с требованиями действующего законодательства и нормативно-правовых актов без поручения таким лицам обработки персональных данных. Такие лица не обрабатывают персональные данные от имени Общества или в его интересах, поскольку имеют собственные цель и правовые основания такой обработки.

Более подробная информация о третьих лицах, вовлеченных в обработку персональных данных (наименования, адреса и цель передачи персональных данных), может быть предоставлена субъекту персональных данных по его запросу.7.4. 7.5. В ряде случаев, как это описано ниже, Общество получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах и в онлайн-сервисах Общества. Для работы с такими данными Общество использует cookies.

Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы.

Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок или багов, которые могут периодически возникать. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.

В частности, на сайтах Общества могут использоваться следующие cookies:

Пользователи также могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Однако без использования технических cookies веб-сайты и онлайн-сервисы Общества могут работать некорректно, а часть их функционала может оказаться недоступна.

Общество, используя cookies, не преследует цели идентифицировать конкретного пользователя веб-сайтов и онлайн-сервисов Общества.

8. Права субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

8.1.1 подтверждение факта обработки персональных данных Обществом;

8.1.2 правовые основания и цели обработки персональных данных;

8.1.3 цели и применяемые Обществом способы обработки персональных данных;

8.1.4 наименование и место нахождения Общество (оператора), сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

8.1.5 обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

8.1.6 сроки обработки персональных данных, в том числе сроки их хранения;

8.1.7 порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8.1.8 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

8.1.9 иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2 Субъект персональных данных вправе требовать от Общество уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в случаях, предусмотренных законодательством Российской Федерации, а также принимать предусмотренные законом меры по защите своих прав.

8.3 Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

8.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.5 Иные права, определенные главой 3 Федерального закона «О персональных данных».

9. Обязанности Общества

9.1 В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Общество обязано:

• Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставлять отказ.
• По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи: Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором; персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; Предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных нарушает права и законные интересы третьих лиц.
• В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных №152-ФЗ «О персональных данных» или другими федеральными законами.
• В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.
• В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

10. Обеспечение безопасности персональных данных в Обществе

10.1. Безопасность персональных данных, обрабатываемых в Общество, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

10.2. Для целенаправленного создания в Обществе неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий в Обществе применяются следующие организационно-технические меры:

• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение и регламентация состава работников, имеющих доступ к персональным данным;
• ознакомление работников с требованиями федерального законодательства и нормативных документов Общества по обработке и защите персональных данных;
• обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты персональных данных;
• проверка готовности и эффективности использования средств защиты информации;
• реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
• регистрация и учёт действий пользователей информационных систем персональных данных;
• парольная защита доступа пользователей к информационной системе персональных данных;
• применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
• применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
• осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
• применение межсетевого экранирования;
• обнаружение вторжений в корпоративную сеть Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учет машинных носителей персональных данных;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• централизованное управление системой защиты персональных данных;
• резервное копирование информации;
• обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике и иным локальным актам Общества;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• размещение технических средств обработки персональных данных, в пределах охраняемой территории;
• организация пропускного режима на территорию Общества;
• поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

11. Сроки обработки и хранения персональных данных

11.1. Хранение персональных данных в Обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

11.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

12. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъекта

12.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

12.2. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Общества, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, внутренними нормативными актами (приказами, распоряжениями) Общества, влечет наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания: замечания, выговора или увольнения.

12.3. Работник Общества, имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Обществом (п.7 ст. 243 Трудового кодекса Российской Федерации).

12.4. Работники Общества, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересова