1.1. Настоящее Положение об обработке персональных данных в ООО "2ГИС-РЯЗАНЬ"
(далее — Положение) разработано с учетом требований Федерального закона Российской
Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)
и принятых в соответствии с ним нормативных правовых актов, а также с учетом
положений локальных нормативных актов Оператора по вопросам обработки и защиты
ПДн и устанавливает общие требования к организации обработки персональных данных
(далее — ПДн) в ООО "2ГИС-РЯЗАНЬ" (далее — Администрация/Оператор), а также
определяет порядок и условия обработки ПДн, в т. ч. требования к обработке ПДн.

1.2. Требования, изложенные в Положении, распространяются на автоматизированную и
неавтоматизированную обработку ПДн в процессах и информационных системах
Оператора, и являются обязательными для выполнения всеми работниками и
должностными лицами Оператора, обрабатывающими ПДн, при этом исполнение
должностных обязанностей не должно являться основанием для нарушения пунктов
данного Положения и других документов, регламентирующих в компании вопросы
обработки ПДн.

1.3. Ознакомление работников Оператора с настоящим Положением, в т. ч. с изменениями
настоящего Положения, осуществляется под подпись.

1.4. Настоящее Положение основывается на Конституции Р Ф, Трудовом кодексе РФ,
Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации», Федеральном законе от 27.07.2006 № 152-ФЗ «О
персональных данных", других федеральных законах и нормативно-правовых актах.

1.5. Настоящее Положение служит основой для разработки комплекса организационных и
технических мер по обеспечению защиты Персональных данных в ООО «2ГИС-
РЯЗАНЬ», а также нормативных и методических документов, регламентирующих защиту
и порядок обработки Персональных данных. Такие документы приведены в разделе 16
настоящего Положения и являются неотъемлемой частью настоящего Положения.

1.6. Термины, использованные в настоящем Положении с заглавной буквы, имеют
значения, указанные в разделе 2 настоящего Положения, если в настоящем Положении не
определено иное.

2.1. Автоматизированная обработка ПДн — обработка ПДн с помощью средств
вычислительной техники.

2.2. Блокирование Персональных данных — временное прекращение обработки
Персональных данных (за исключением случаев, если обработка необходима для
уточнения Персональных данных).

2.3. Информационная система Персональных данных или ИСПДн — совокупность
содержащихся в базах данных Персональных данных и обеспечивающих их обработку
информационных технологий и технических средств.

2.4. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое
лицо, заключившее или собирающееся заключить с Оператором какой-либо договор
(соглашение) в своем интересе или от имени и в интересах представляемого им
юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.

2.5. Надзорный орган — орган, уполномоченный на осуществление государственного
контроля и надзора за соответствием обработки персональных данных требованиям
законодательства, а также соблюдением прав Субъектов персональных данных
(Роскомнадзор).

2.6. Обработка Персональных данных — любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с Персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение Персональных данных.

2.7. Оператор или ООО «2ГИС-РЯЗАНЬ» или Администрация — Общество с ограниченной ответственностью «2ГИС-РЯЗАНЬ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.

2.8. Персональные данные — любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (Субъекту Персональных данных),
в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, должность, профессия, доходы,
изображение, номер телефона и/или адрес электронной почты Субъекта Персональных
данных, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).

2.9. Пользователь — дееспособное физическое лицо, использующее или
намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени
и в интересах представляемых им юридических лиц и/или индивидуальных
предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.

2.10. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.

2.11. Распространение Персональных данных — действия, направленные на раскрытие
Персональных данных неопределенному кругу лиц.

2.12. Соискатели — кандидаты на замещение вакантных должностей.

2.13. Субъект Персональных данных (Субъект) — физическое лицо, обладающее
Персональными данными прямо или косвенно его определяющими.

2.14. Уничтожение Персональных данных — действия, в результате которых становится
невозможным восстановить содержание Персональных данных в Информационной
системе Персональных данных или в результате которых уничтожаются материальные
носители Персональных данных.

3.1. Для каждой категории Субъектов Персональных данных определены цели
обработки Персональных данных, категории и перечень обрабатываемых персональных
данных, способы, сроки их обработки и хранения, порядок уничтожения персональных
данных. Основная информация приведена в Приложении № 4 к настоящему Положению.

3.2. Обработка Персональных данных осуществляется на основе принципов:

• законности целей и способов обработки Персональных данных;
• добросовестности и справедливости;
• обработки только Персональных данных, которые отвечают целям их обработки;
• обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
• соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
• достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
• недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей. обработки или в случае утраты необходимости в их достижении.

4.1. В целях обеспечения прав и свобод человека и гражданина при обработке
Персональных данных Оператором соблюдаются следующие требования:

• обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в Приложении № 4 к настоящему Положению;
• субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
• субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.

4.2. Субъект самостоятельно принимает решение о предоставлении своих Персональных
данных и дает согласие на их обработку Оператором.

4.3. В случае недееспособности Субъекта Персональных данных все Персональные
данные Субъекта следует получать от его законных представителей. Законный
представитель самостоятельно принимает решение о предоставлении Персональных
данных своего подопечного и дает согласие на их обработку Оператором.

4.4. Согласие на обработку Персональных данных может быть отозвано Субъектом
Персональных данных на основании его письменного запроса или в форме электронного
документа, подписанного электронной подписью в соответствии с законодательством РФ.
В случае, указанном в пункте 4.3 настоящего Положения, согласие может быть отозвано
законным представителем Субъекта Персональных данных.

4.5. В случаях, когда Оператор может получить необходимые Персональные данные
Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от
него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях,
способах и источниках получения Персональных данных, а также о характере
подлежащих получению Персональных данных и возможных последствиях отказа
Субъекта дать согласие на их получение. Типовые формы Уведомления Субъекта
Персональных данных о получении и обработки его Персональных данных и Разъяснение
Субъекту Персональных данных юридических последствий отказа предоставить свои
Персональные данные представлены в Приложениях 2 и 3 к настоящему Положению.
Если персональные данные получены не от Субъекта персональных данных, Оператор, за
исключением случаев, предусмотренных п. 4.6., до начала обработки таких персональных
данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• права субъекта персональных данных;
• источник получения персональных данных.

4.6. Оператор освобождается от обязанности предоставить Субъекту Персональных
данных сведения, указанные в п. 4.5. в случаях, если:

• Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
• Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем по которому является Субъект Персональных данных;
• Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года;
• Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
• предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.

4.7. Оператор не имеет права получать и обрабатывать Персональные данные Субъекта,
касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, интимной жизни, его биометрические данные,
за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-
ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в
общественных объединениях или его профсоюзной деятельности, за исключением
случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами.
Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением
тех сведений, которые относятся к вопросу о возможности выполнения Работником
трудовой функции.

4.8. При принятии решений, затрагивающих интересы Работника, Оператор не имеет
права основываться на Персональных данных, полученных исключительно в результате
их автоматизированной обработки или с использованием электронных средств доставки.

4.9. Полученные Оператором Персональные данные хранятся на следующих видах
носителей:

• Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
• Электронные носители (в том числе корпоративные автоматизированные информационные системы).

4.10. Обработка Персональных данных Субъектов осуществляется смешанным путем:

• неавтоматизированным способом обработки Персональных данных;
• -автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).

4.11. Обработка Персональных данных осуществляется с соблюдением порядка,
предусмотренного Федеральным законом от 27 июля 2006 г. №152 «О персональных
данных», Постановлением Правительства от 15 сентября 2008 г. №687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации» и Постановлением Правительства Российской
Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных
данных».

4.12. Документы, содержащие Персональные данные, являются конфиденциальными.

5.1. Хранение Персональных данных может осуществляться следующими способами:
В электронном виде:

• в информационных системах / базах данных Оператора;
• на служебных средствах вычислительной техники;
• на внешних машинных (электронных) носителях информации.

На бумажном носителе:

• в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
• в архиве в соответствии с законодательством РФ об архивном деле.

5.2. Оператор хранит Персональные данные в течение следующих сроков:

• Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
• Персональные данные родственников Работников хранятся в течение срока действия трудового договора с работником;
• Персональные данные Соискателей хранятся в течение 10 лет или 30 дней в случае, если нет основания для хранения данных в кадровом резерве и соискателю не предложено трудоустройство;
• Персональные данные Контрагентов, работников и/или представителей Контрагентов хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
• Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления в течение срока, определенного в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также до достижения целей обработки Персональных данных или до отзыва согласия на обработку персональных данных пользователем и в течение срока, определенного в соответствии с Законом № 149-ФЗ;

5.3. Если в соответствии с требованиями применимого законодательства, предусмотрен
иной, более длительный срок хранения какой-либо категории Персональных данных, то
он подлежит применению. По истечении срока хранения данные будут уничтожены в
порядке, определенном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных
данных».

5.4. Хранение Персональных данных Субъектов осуществляется структурными
подразделениями Оператора в соответствии с перечнем Персональных данных (см.
Приложение № 4 к настоящему Положению) и перечнем информационных систем
Персональных данных, утвержденными у Оператора (см. Приложение № 1 к настоящему
Положению).

5.5. Персональные данные Субъектов преимущественно хранятся на электронных
носителях в электронном виде в персональных компьютерах, подключенных к локальной
компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.

5.6. Доступ к бумажным и электронным носителям Персональных данных получают
только те Работники, которым это необходимо для выполнения их должностных
обязанностей.

5.7. Оператор обеспечивает необходимые организационные и технические меры для
защиты Персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения Персональных
данных, а также от иных неправомерных действий.

5.8. Возможна передача Персональных данных Субъектов по внутренней сети Оператора с
использованием технических и программных средств защиты информации, с доступом
только для Работников, допущенных к работе с Персональными данными Субъектов и
только в объеме, необходимом данным Работникам для выполнения своих должностных
обязанностей.

5.9. Подразделения Оператора, осуществляющие кадровое делопроизводство, ведут
личные дела Работников, в которых содержатся Персональные данные Работников и иные
сведения, связанные с трудовой деятельностью Работников. Наряду с копиями
документов и личными заявлениями к личному делу Работника приобщается анкета,
заполненная Работником. Личные дела, трудовые договоры и трудовые книжки
Работников хранятся в запираемых помещениях в запираемых шкафах (сейфах).
Ответственность за хранение указанных документов возлагается на руководителя
кадрового подразделения.

5.10. Персональные данные Работников на бумажных носителях хранятся в бумажном
виде в папках, в специально отведенной секции сейфа (или шкафах), обеспечивающего
защиту от несанкционированного доступа.

5.11. Доступ к Персональным данным Работников на бумажных носителях
осуществляется в порядке, предусмотренном Разделом 6 настоящего Положения.

5.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях,
обеспечивают их защиту от несанкционированного доступа и копирования согласно
«Положению об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации», утвержденному Постановлением Правительства
РФ 15 сентября 2008 г. №687.

5.13. Хранение Персональных данных должно осуществляться в форме, позволяющей
определить Субъекта Персональных данных, не дольше, чем этого требуют цели
обработки Персональных данных, если срок хранения Персональных данных не
установлен Федеральным законом №152-ФЗ «О персональных данных» или
соответствующим договором. Обрабатываемые Персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено действующим
законодательством.

5.14. Хранение документов, содержащих Персональные данные Субъектов,
осуществляется в течение установленных действующими нормативными или локальными
актами сроков хранения данных документов. По истечении установленных сроков
хранения документы подлежат уничтожению.

6.1. Доступ к Персональным данным Субъектов имеют Работники Оператора,
допущенные к работе с Персональными данными Субъектов. Данным категориям
сотрудников в их должностные обязанности включается пункт о сохранении
конфиденциальности обрабатываемой информации.

6.2. При предоставлении доступа к Персональным данным Оператор должен соблюдать
следующие требования:

• разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья Работника Оператора, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

6.3. Доступ к Персональным данным предоставляется Работнику Оператора в
соответствии с приказом о назначении должностных лиц, которым необходим доступ к
Персональным данным в целях выполнения их функциональных обязанностей.

6.4. Руководители структурных подразделений Оператора имеют доступ к Персональным
данным Работников соответствующих структурных подразделений в порядке
административной и функциональной подчиненности.

6.5. Остальные Работники Оператора получают доступ к Персональным данным других
Работников в установленном действующим законодательством и настоящим Положением
порядке.

6.6. При осуществлении доступа работника к информационным системам / базам данных
ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной
за пользователем роли. В информационных системах реализуется контроль доступа
пользователя к Персональным данным.

6.7. Доступ работника к обрабатываемым Персональным данным прекращается в случае
отсутствия (минования) производственной необходимости, изменения функциональных и
должностных обязанностей, длительного отпуска, увольнения работника. В целях
надлежащей организации производственного процесса и обеспечения оперативной
коммуникации все работники Оператора имеют доступ к информационным системам
размещенным на сайтах https://b24.zb.2gis.ru/, https://ponyatno.pro/, а также иным
информационным системам, предусмотренным в Приложении № 1 к настоящему
Положению, содержащим следующую информацию о Работниках:

• фамилия, имя, отчество;
• дата рождения;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• адрес личной электронной почты;
• адреса личных страниц в социальных сетях;
• имя (никнейм) в программных продуктах, используемых Работником для связи;
• офис (идентификатор места работы);
• занимаемая должность;
• компания (компания работодателя / представляемого лица);
• фотографические изображения;
• город местонахождения работника;
• страна местонахождения работника;
• хобби, увлечения работника.

6.8. Работники Оператора, получающие Персональные данные, обязаны:

• выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
• пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
• использовать Персональные данные только в целях выполнения функциональных обязанностей;
• использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
• при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
• документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
• об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
• отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения руководителя Оператора или уполномоченного им лица;
• в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в обществе.

6.9. Субъект Персональных данных, данные о котором обрабатываются Оператором,
имеет право на свободный доступ к своим Персональным данным, получение копий своих
Персональных данных (за исключением случаев, предусмотренных федеральным
законом) на основании его письменного запроса.

6.10. Оператор обязан в порядке, предусмотренном Федеральным законом от 27 июля
2006 года №152-ФЗ «О персональных данных», сообщить Субъекту Персональных
данных или его законному представителю информацию о наличии Персональных данных,
относящихся к соответствующему Субъекту Персональных данных, а также предоставить
возможность ознакомления с ними при обращении Субъекта Персональных данных или
его законного представителя или в течение десяти рабочих дней с даты получения запроса
Субъекта Персональных данных или его законного представителя. Указанный срок может
быть продлен, но не более чем на пять рабочих дней в случае направления оператором в
адрес субъекта персональных данных мотивированного уведомления с указанием причин
продления срока предоставления запрашиваемой информации.

7.1. При передаче Персональных данных Субъекта Оператор обязан соблюдать
следующие требования:

• не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
• не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
• передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
• предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

7.2. Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования
конфиденциальности.

7.3. Передача Персональных данных Субъектов третьим лицам осуществляется
Оператором только с их надлежащего согласия, за исключением случаев, если:

• передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
• по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
• в иных случаях, прямо предусмотренных федеральными законами.

7.4. В случае оформления письменного согласия Субъекта на передачу его Персональных
данных третьим лицам, согласие должно включать в себя:

• фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего с согласия Субъекта его Персональные данные;
• цель обработки Персональных данных Субъекта третьей стороной;
• перечень Персональных данных, на передачу которых дается согласие Субъекта;
• перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

7.5. В случае смерти Субъекта согласие на обработку его Персональных данных дают в
письменной форме наследники Субъекта, если такое согласие не было дано Работником
при его жизни.

7.6. Информация, относящаяся к Персональным данным Работника, может быть
предоставлена государственным органам и органам местного самоуправления в пределах
их полномочий, установленных федеральными законами. Основанием для передачи
Персональных данных Работника является мотивированный требованиями
законодательства или решением суда письменный запрос от должностного лица
соответствующего государственного органа или органа местного самоуправления,
подписанный руководителем данного органа, заверенный гербовой печатью.

7.7. Родственники и члены семьи Работника доступ к его Персональным данным не
имеют.

7.8. В случае если лицо, обратившееся с запросом о предоставлении Персональных
данных, не уполномочено федеральным законом, настоящим Положением, другими
локальными нормативными актами оператора на получение Персональных данных
Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его
Персональных данных, Оператор обязан отказать в предоставлении Персональных данных
Субъекта указанному лицу.

7.9. Все меры конфиденциальности при сборе, обработке и хранении Персональных
данных Субъекта распространяются как на бумажные, так и на электронные
(автоматизированные) носители информации.

7.10. В случае если Оператор пользуется услугами третьих лиц на основании
заключенных договоров (либо иных оснований), и в силу данных договоров они должны
иметь доступ к Персональным данным, обрабатываемым Оператором, то
соответствующие Персональные данные предоставляются только после подписания с
данными лицами соглашения о неразглашении Персональных данных или включения в
договоры пунктов о неразглашении Персональных данных, в том числе
предусматривающих защиту Персональных данных.

7.11. Все типовые формы договоров Оператора должны содержать положения про
обработку персональных данных для того, чтобы исключить риск незаконной обработки
персональных данных со стороны контрагента.

7.12. В случае заключения расходного/доходного договора с условием об использовании
персональных данных контактных лиц за пределами срока действия договора, условие об
этом необходимо включить в договор.

7.13. В случае поручения оператором персональных данных обработчику обработки
персональных данных, необходимо включить положение об этом в договор.

7.14. В случае передачи персональных данных, необходимо включить положение об этом
в договор.

7.15. Лицо, осуществляющее обработку персональных данных по поручению Оператора
должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля
2006 года № 152-ФЗ «О персональных данных».

7.16. В поручении должны быть определены перечень персональных данных, перечень
действий (операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных по поручению Оператора, цели их
обработки, должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных, требования, предусмотренные частью 5
статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О
персональных данных", обязанность по запросу Оператора в течение срока действия
поручения, в том числе до обработки персональных данных, предоставлять документы и
иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения
поручения Оператора требований, настоящего пункта, обязанность обеспечивать
безопасность персональных данных при их обработке, а также должны быть указаны
требования к защите обрабатываемых персональных данных в соответствии со статьей 19
Федерального закона «О персональных данных», в том числе требование об уведомлении
Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О
персональных данных».

7.17. Трансграничная передача Персональных данных. До начала трансграничной
передачи Персональных данных Оператор определяет:

• цели трансграничной передачи Персональных данных;
• правовые основания трансграничной передачи Персональных данных;
• категории субъектов Персональных данных;
• состав передаваемых Персональных данных;
• перечень иностранных государств, под юрисдикцией которых находятся иностранные получатели Персональных данных (органы государственной власти, юридические или физические лица).

7.18. Оператор при необходимости уведомляет Роскомнадзор об осуществлении
трансграничной передачи Персональных данных.

7.19. Оператор до подачи уведомления, предусмотренного п. 7.18 обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

• сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
• информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
• сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

7.20. После получения сведений, указанных в п. 7.19. Оператор обязан провести оценку
соблюдения конфиденциальности персональных данных и обеспечения безопасности
персональных данных при их обработке.

7.21. Передача или поручение обработки Персональных данных иностранному
получателю осуществляется с учетом условий и ограничений, установленных Законом № 152-ФЗ, нормативными правовыми актами Правительства Российской Федерации.

8.1. Блокирование Персональных данных конкретного субъекта Персональных данных
должно осуществляться во всех информационных системах Персональных данных
Оператора, включая архивы баз данных, содержащих такие Персональные данные.

8.2. Блокирование Персональных данных осуществляется:

• в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
• в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.

8.3. После устранения выявленной неправомерной обработки Персональных данных
оператор осуществляет снятие блокирования Персональных данных. Решение о
блокировании и снятии блокирования Персональных данных принимается лицом,
ответственным за организацию обработки Персональных данных в ООО «2ГИС-РЯЗАНЬ».

9.1. Персональные данные хранятся в течение срока, определенного в разделе 5
настоящего Положения, и подлежат уничтожению по достижении целей обработки,
истечения срока или в случае утраты необходимости в их достижении.

9.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению
в порядке, предусмотренном настоящим Положением и архивным законодательством
Российской Федерации.

9.3. Уничтожение документов, содержащих Персональные данные, производится:

• в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
• по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
• Персональные данные больше не требуются для достижения целей, в которых они были получены;
• по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• истек срок согласия на обработку Персональных данных;
• в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.

9.3. Уничтожение Персональных данных, находящихся на машинных носителях
информации, выполняется средствами информационной системы (операционной системы,
системы управления базами данных).

9.4. Уничтожение материальных носителей с Персональными данными осуществляется
согласно документу внутреннему нормативному документу Оператора.

9.5. Оператор осуществляет документирование фактов уничтожения Персональных
данных в ИСПДн и на материальных носителях, в соответствии с Требованиями к
подтверждению уничтожения Персональных данных, утвержденными Приказом
Роскомнадзора от 28.10.2022 № 179 (далее – Приказ № 179), Актом Акт об уничтожении
персональных данных в базах данных, на материальных (бумажных, электронных)
носителях по форме (далее – Акт).

9.6. В случае если Оператор подтверждает уничтожение Персональных данных в ИСПДн,
то к Акту необходимо приложить также выгрузку из журнала регистрации событий в
ИСПДн.

9.7. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать
отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие
сведения в Акте.

10.1. Методы и способы защиты Персональных данных в информационных системах
Оператора должны соответствовать требованиям, установленным:

• статьями 18.1, 19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
• Постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

10.2. При обработке Персональных данных должны приниматься необходимые
организационные и технические меры для защиты Персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения Персональных данных, а также от иных неправомерных
действий.

10.3. Обмен Персональными данными при их обработке в информационных системах
Персональных данных осуществляется по каналам связи, защита которых обеспечивается
путем реализации соответствующих организационных мер и (или) путем применения
технических средств.

10.4. Размещение информационных систем Персональных данных, специальное
оборудование и охрана помещений, в которых ведется работа с Персональными данными,
организация режима обеспечения безопасности в этих помещениях должны обеспечивать
сохранность носителей Персональных данных и средств защиты информации, а также
исключать возможность неконтролируемого проникновения или пребывания в этих
помещениях посторонних лиц.

10.5. Для осуществления мероприятий по защите Персональных данных при их обработке
в информационных системах Персональных данных системы защиты могут включать в
себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения
целостности; антивирусной защиты; обеспечения безопасности межсетевого
взаимодействия; анализа защищенности; обнаружения вторжений.

10.6. Для обеспечения безопасности Персональных данных при необходимости
осуществляется защита речевой информации и информации, обрабатываемой
техническими средствами, а также информации, представленной в виде информативных
электрических сигналов, физических полей, носителей на бумажной, магнитной,
магнитно-оптической и иной основе.

10.7. В целях обеспечения безопасности Персональных данных при их обработке в
информационных системах Персональных данных организуется контроль соблюдения
условий использования средств защиты информации, предусмотренных
эксплуатационной и технической документацией, а также разбирательство и составление
заключений по фактам несоблюдения условий доступа к Персональным данным,
использования средств защиты информации, которые могут привести к нарушениям
конфиденциальности Персональных данных.

10.8. При обнаружении нарушений порядка предоставления Персональных данных
незамедлительно приостанавливается предоставление Персональных данных
пользователям информационной системы Персональных данных, получивших их с
нарушением установленного порядка, до выявления причин нарушений и устранения этих
причин.

10.9. Также Оператором применяются следующие меры по обеспечению безопасности
персональных данных:

• оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
• проводится ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
• осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• в случаях и порядке, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

11.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:

• получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
• требовать исключения или исправления неверных или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе Оператора исключить или исправить Персональные данные Субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите Персональных данных Субъекта;
• реализовать иные права, предусмотренные законодательством о персональных данных.

11.2. Для защиты Персональных данных Субъектов Оператор обязан:

• за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящим положением и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
• осуществлять передачу Персональных данных Субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
• осуществлять иные обязанности, предусмотренные законодательством о персональных данных.

11.3. Защита информации, содержащей Персональные данные, представляет собой
принятие Оператором правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

11.4. Система защиты Персональных данных включает в себя организационные и (или)
технические меры, определенные с учетом актуальных угроз безопасности Персональных
данных и информационных технологий, используемых в информационных системах в
соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».

11.5. Для обеспечения безопасности Персональных данных Субъектов при
неавтоматизированной обработке Оператором предпринимаются следующие меры:
11.5.1. Определяются места хранения Персональных данных Субъектов, которые
оснащаются следующими средствами защиты:

• в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
• помещения Оператора находятся под круглосуточной охраной;
• все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

11.6. Обработка, уточнение, уничтожение или блокирование Персональных данных
Субъектов при осуществлении их обработки без использования средств автоматизации
осуществляется с соблюдением порядка, предусмотренного Постановлением
Правительства от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации».

11.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при
автоматизированной обработке предпринимаются следующие меры:

• Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном ПК.

11.8. Обработка Персональных данных при автоматизированной обработке Персональных
данных осуществляется с соблюдением порядка, предусмотренного Постановлением
Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных».

11.9. Оператор осуществляет регулярный мониторинг изменений законодательства о
персональных данных и в случае необходимости осуществляет информирование
работников о соответствующих изменениях.

11.10. В случае изменения сведений, направленных Оператором в уполномоченный орган
по защите прав субъектов персональных данных в уведомлении об обработке
персональных данных, Оператор не позднее 15-го числа месяца, следующего за месяцем,
в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите
прав субъектов персональных данных обо всех произошедших за указанный период
изменениях.

12.1. Согласие на обработку персональных данных должно отвечать следующим
требованиям:

• должно быть конкретным, информированным, сознательным предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.

12.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ,
услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна
осуществляться только при условии предварительного согласия Субъекта. При этом
необходимо обеспечить наличие доказательственной базы получения такого согласия.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных
обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке
путем прямых контактов.

12.3. Согласие Субъекта в письменной форме и в форме электронного документа.
Оператор персональных данных, обязан получать согласие Субъекта в письменной форме
в следующих случаях:

• включение персональных данных Субъекта в общедоступные источники персональных данных;
• обработка биометрических персональных данных;
• обработка специальных категорий персональных данных;
• принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы; Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных». Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».

12.4. Согласие Субъекта в любой форме.
В случаях, не требующих в соответствии с действующим законодательством
оформлять Оператору согласие в письменной форме, может быть получено согласие в
любой форме с применением сервисов Оператора, принадлежащих или используемых
Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся
получение согласий в письменной форме и в форме электронного документа, а также в
случаях совершения Субъектом явного действия, например, но не ограничиваясь:

• отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения, полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
• нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т.п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
• заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
• ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.

12.5. Обеспечение доказательств наличия правовых оснований на обработку
персональных данных:

• Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
• В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
• Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.

12.6. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида
осуществляется в ответственных подразделениях оператора.

12.7. При получении согласия от представителя Субъекта Оператору необходимо
осуществлять хранение документов, подтверждающих полномочия представителя, в
течение срока, установленного для хранения согласий. Хранение документов,
подтверждающих полномочия представителя, осуществляется совместно с согласиями.

12.8. Место хранения согласий, а также лица ответственные за организацию хранения,
определяется внутренним локальным нормативным документом Оператора.

12.9. В целях обеспечения подтверждения получения Оператором согласий в электронном
виде, в информационных системах Оператора должны быть реализованы функции учета
полученных согласий и хранение подтверждений (с возможностью их выгрузки для
последующей печати).

13.1. В соответствии с Законом №152-ФЗ Оператор обязан содействовать Надзорному
органу в реализации им своих полномочий по контролю и надзору за обработкой ПДн и
соблюдением прав субъектов ПДн, в частности:

• предоставлять информацию, необходимую для выполнения функций Надзорного органа;
• оказывать содействие в проведении расследований в части принимаемых мер по организации обработки и защиты ПДн;
• исполнять предписания Надзорного органа в части устранения выявленных нарушений при обработке ПДн;
• исполнять требования Надзорного органа в части предоставления информации о трансграничной передаче ПДн и уведомления о фактах инцидентов с ПДн;
• исполнять требования Надзорного органа в части реализации прав субъектов ПДн;
• обеспечивать исполнение требований Надзорного органа третьими лицами, которым Компания поручила обработку ПДн;
• приостанавливать передачу ПДн получателю в случае нарушений, выявленных Надзорным органом.

Уведомление о намерении осуществлять обработку ПДн

13.2. Оператор до начала обработки ПДн направляет уведомление в Надзорный орган о
своем намерении осуществлять обработку ПДн в соответствии с ч.1 ст. 22 Закона №152-
ФЗ, на основании которого Оператор включается в Реестр операторов, осуществляющих
обработку ПДн.

13.3. Уведомление о намерении осуществлять обработку ПДн должно содержать
сведения, предусмотренные ч. 3 ст. 22 Закона №152-ФЗ и иные сведения,
предусмотренные приказом Роскомнадзора от 28.10.2022 № 180. При предоставлении
сведений, предусмотренных ч. 3 ст. 22, Оператор для каждой цели обработки ПДн
указывает категории ПДн, категории субъектов, ПДн которых обрабатываются, правовое
основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн.

13.4. Уведомление о намерении осуществлять обработку ПДн направляется в виде
документа на бумажном носителе или в форме электронного документа и подписывается
уполномоченным лицом в Оператора.

Уведомление об изменениях в обработке ПДн

13.5. Предоставление в Надзорный орган информации об изменении сведений,
содержащихся в Уведомлении о намерении осуществлять обработку ПДн осуществляется
в соответствии со ст. 22 Закона №152-ФЗ в случае произошедших в процессах Оператора
изменений по отношению к сведениям, ранее направленным в Надзорный орган, в
частности, изменения:

• целей обработки ПДн;
• категорий и/или перечня ПДн;
• категорий субъектов ПДн;
• правовых оснований обработки ПДн (для конкретной цели обработки ПДн);
• сведений о месте нахождения баз ПДн;
• иных сведений с учетом требований, установленных приказом Роскомнадзора от 28.10.2022 №180.

13.6. Формирование Уведомления об изменениях в обработке ПДн осуществляется лицом,
ответственным за организацию обработки ПДн, по установленной приказом
Роскомнадзора от 28.10.2022 №180 форме на основании информации об изменениях в
процессах, выявленных в рамках осуществления анализа и оценки соответствия процессов
(в т.ч. пилотов) требованиям к порядку обработки и защиты ПДн, по отношению к
сведениям, ранее направленным в Надзорный орган.

13.7. Уведомление об изменениях в обработке ПДн направляется в адрес Надзорного
органа до 15-го числа месяца, следующего за месяцем, в котором возникли (были
установлены) изменения, в виде документа на бумажном носителе или в форме
электронного документа за подписью уполномоченного лица в установленном
Оператором порядке.

Уведомление о прекращении обработки ПДн

13.8. В случае прекращения обработки ПДн Оператор обязан уведомить об этом
Надзорный орган в течении 10 рабочих дней по форме, установленной приказом
Роскомнадзора от 28.10.2022 №180.

13.9. Основаниями для прекращения обработки ПДн являются:

• ликвидация Оператора;
• реорганизация Оператора;
• прекращение деятельности Оператора по обработке ПДн;
• аннулирование лицензии;
• наступление срока или условия прекращения обработки ПДн, указанного в Уведомлении о намерении осуществлять обработку ПДн;
• вступившее в законную силу решение суда;
• иные основания.

13.10. Уведомление о прекращении обработки ПДн направляется в виде документа на
бумажном носителе или в форме электронного документа и подписывается
уполномоченным лицом Оператора.

Контроль за обработкой запросов Надзорного органа

13.11. Все поступающие Оператору запросы Надзорного органа, по обращениям
Субъектов ПДн в отношении обработки их ПДн, подлежат обязательной регистрации в
порядке, установленном Оператором и рассмотрению, с последующим формированием и
направлением ответа на запрос.

13.12. Оператор обязан сообщить в Надзорный орган по его запросу необходимую
информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса, если
иной срок не предусмотрен запросом Надзорного органа, либо федеральным законом или
иным нормативным правовым актом. Указанный срок может быть продлен, но не более
чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Надзорного органа
мотивированного уведомления с указанием причин продления срока предоставления
запрашиваемой информации.

13.13. Лицом, ответственным за организацию обработки ПДн осуществляется регулярный
контроль за соблюдением сроков рассмотрения запросов Надзорного органа, выявление и
оценка причин несоответствий обработки ПДн в процессах Оператора, в отношении
которых поступил запрос.

13.14. Результаты контроля лицом, ответственным за организацию обработки ПДн
оформляются документально. В материалах по результатам контроля отражаются
сведения о проверенных вопросах и выявленных несоответствиях (при их наличии). В
случае выявления несоответствий в соблюдении сроков обработки запросов или
несоответствий в процессах, в которых осуществляется обработка ПДн, лицом,
ответственным за организацию обработки ПДн формируются и доводятся до структурных
подразделений Оператора, которыми допущены несоответствия в обработке ПДн,
выявленные несоответствия, с перечнем мер по их устранению, а также осуществляется
контроль за их устранением.

14.1. Лица, виновные в нарушении требований законодательства о персональных данных,
несут ответственность, предусмотренную действующим законодательством Российской
Федерации.

15.1. Настоящее Положение утверждается в порядке, установленном Уставом Оператора,
вступает в силу с даты его утверждения, и действует постоянно, до момента признания его
утратившим силу и/или принятия Положения в новой редакции.

15.2. Пересмотр Положения производится в следующих случаях:
- при изменении процессов и технологий обработки Персональных данных в
Обществе;

• по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
• при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных.

15.3. Ответственным за пересмотр данного Положения является работник Оператора,
назначенный ответственным за организацию обработки Персональных данных.

Приложение 1. Перечень информационных систем Персональных данных.
Приложение 2. Типовая форма уведомления Субъекта о получении и обработке его
Персональных данных.
Приложение 3. Типовая форма разъяснения Субъекту Персональных данных юридических
последствий отказа предоставить свои Персональные данные.
Приложение 4. Перечень целей обработки персональных данных в соответствии с пп. 2 п.
1 ст. 18.1. ФЗ № 152-ФЗ «О персональных данных»
Приложение 5. Регламент по организации обращения с защищаемыми носителями
Персональных данных.
Приложение 6. Руководство должностного лица, ответственного за организацию
обработки Персональных данных в ООО «2ГИС-РЯЗАНЬ».
Приложение 7. Руководство пользователя Информационной системы Персональных
данных в части обеспечения безопасности Персональных данных ООО «2ГИС-РЯЗАНЬ».
Приложение 8. Руководство работника, допущенного к обработке Персональных данных
в ООО «2ГИС-РЯЗАНЬ».

Приложение 1
перечень информационных систем Персональных данных
ПЕРЕЧЕНЬ
информационных систем персональных данных
в ООО «2ГИС-РЯЗАНЬ»
В ООО «2ГИС-РЯЗАНЬ» используются следующие информационные системы
Персональных данных:
1. 1С: Предприятие 8;
2. Active Directory;
3. Электронная почта;
4. Edu.2gis;
5. Study.2gis;
6. Teach.2gis;
7. Jira;
8. Wiki;
9. ERM;
10. InfoRussia;
11. YouLa;
12. СКУД
13. https://b24.zb.2gis.ru/
14. https://ponyatno.pro/

Приложение 2
типовая форма уведомления Субъекта о получении и обработке его Персональных данных
УВЕДОМЛЕНИЕ
о получении и обработке персональных данных
Уважаемый (ая) _________________________________________________
(ФИО субъекта персональных данных)

Уведомляем Вас, что Общество с ограниченной ответственностью «2ГИС-РЯЗАНЬ», расположенное по адресу: 390013, Рязанская обл, г. Рязань, Цветной б-р, дом № 10, помещение Н27, получило от
____________________________________________________________________
(наименование физического или юридического лица, передавшего персональные данные)
Ваши персональные данные. Данные были переданы с целью___________________________
_______________________________________________________________________________.
(цели и правовые основания передачи третьими лицами персональных данных)
В отношении полученных персональных данных принимаются все необходимые в соответствии со ст. 18.1 и 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» меры защиты.

Уведомляем Вас, что в соответствии со ст. 14, 16, 17 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Вы имеете право:
- на получение сведений об ООО «2ГИС-РЯЗАНЬ» о месте его нахождения, о наличии у ООО
«2ГИС-РЯЗАНЬ» своих персональных данных, а также на ознакомление с такими персональными данными;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на получение при обращении или при направлении запроса в ООО «2ГИС-РЯЗАНЬ» информации, касающейся обработки своих персональных данных;
- на обжалование действия или бездействия ООО «2ГИС-РЯЗАНЬ» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
_________________ _________________________________________
(дата)- 24 -

Приложение 3
Типовая форма разъяснения Субъекту Персональных данных юридических последствий
отказа предоставить свои Персональные данные

РАЗЪЯСНЕНИЕ
юридических последствий отказа предоставить свои персональные данные
Уважаемый (-ая) _________________________________________
(фамилия, инициалы субъекта персональных данных)
В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных
данных» уведомляем Вас, что обязанность предоставления Вами персональных данных установлена:
________________________________________________________________________________
________________________________________________________________________________
(реквизиты и наименование нормативных правовых актов1)

В случае отказа Вами предоставить свои персональные данные, общество с ограниченной
ответственностью «2ГИС-РЯЗАНЬ» (далее – «ООО «2ГИС-РЯЗАНЬ» не сможет на законных основаниях
осуществлять такую обработку, что приведет к следующим для Вас юридическим последствиям:
_____________________________________________________________________ (перечисляются юридические последствия для субъекта персональных данных, то есть случаи
возникновения, изменения или прекращения личных либо имущественных прав граждан или случаи иным образом затрагивающие его права, свободы и законные интересы2)

В соответствии с законодательством в области персональных данных Вы имеете право:
- на получение сведений об ООО «2ГИС-РЯЗАНЬ», о месте его нахождения, о наличии у оператора своих
персональных данных, а также на ознакомление с такими персональными данными;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на получение при обращении или при направлении запроса ООО «2ГИС-РЯЗАНЬ» информации, касающейся обработки своих персональных данных;
- на обжалование действия или бездействия ООО «2ГИС-РЯЗАНЬ» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
_________________ _________________________________________
(дата) (фамилия, инициалы и подпись работника оператора)

^{1 Например, в зависимости от случая разъяснения могут быть указаны такие нормативные акты как Трудовой кодекс РФ (с указанием статей), Федеральный закон от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (с указанием статей), прочие нормативные правовые акты
2 Например, отказ в предоставлении медицинской помощи, отказ о начислении пособий и выплат, отказ в заключении трудового договора и прочее}