Положение об обработке персональных данных

1. Общие положения.
1.1. Настоящее Положение по обработке персональных данных ООО «Вайт32 Дистрибьюшн» (далее — Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка ООО «Вайт32 Дистрибьюшн» (далее – Организация) и иными федеральными законами.
1.2. Цель разработки Положения — определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Порядок ввода в действие и изменения Положения.
1.3. Организация является оператором, осуществляющим обработку персональных данных в целях:
1.3.1. Заключению трудовых и иных гражданско-правовых договоров.
1.3.2. Ведение воинского и налогового учетов.
1.3.3. Начисление и выплата заработной платы и иных трудовых выплат, налогов на заработную плату, расходов на социальное обеспечение и страхование, взносов в пенсионный фонд, пособий по нетрудоспособности или премии, любых иных дополнительных выплат и льгот Работникам;
1.3.4. Осуществление иных расходов, связанных с работниками и иным персоналом;
1.3.5. Обеспечение кадрового резерва, предоставление отчетности в государственные органы;
1.3.6. Архивное хранение данных;
1.3.7. Выполнение требований налогового законодательства Российской Федерации;
1.3.8. Заключение договоров на оказание услуг связи и иных гражданско-правовых договоров, исполнение государственных и частных контрактов, заключенных заказчиком с Организацией;
1.3.9. Заключение договоров на оказание добровольного медицинского страхования;
1.3.10. Работа с заявлениями, жалобами граждан, обратившихся в Общество.
1.4. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.
1.5. Все изменения в Положение вносятся приказом.
1.6. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

2. Основные понятия и состав персональных данных работников.
2.1. Для целей настоящего Положения используются следующие основные понятия и состав персональных данных работников.
2.1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.1.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.3. Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.1.4. Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
2.1.5. Информация — сведения (сообщения, данные) независимо от формы их представления
2.1.6. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
2.1.7. Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц
2.1.8. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания
2.1.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.10. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.1.11. Общество (Организация) – для целей настоящего документа, Общество с ограниченной ответственностью «Вайт32 Дистрибьюшн» (ООО «Вайт32 Дистрибьюшн»).
2.1.12. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.13. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.1.14. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями.
2.1.15. Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
2.1.16. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.17. Распространение персональных данных – действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом.
2.1.18. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.1.19. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, сведения о занимаемой должности, данные о трудовой деятельности, сведения о доходах, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
2.3.1.1. паспорт или иной документ, удостоверяющий личность;
2.3.1.2. трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам
2.3.1.3. страховое свидетельство государственного пенсионного страхования;
2.3.1.4. документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
2.3.1.5. документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
2.3.1.6. свидетельство о присвоении ИНН (при его наличии у работника).
2.3.2. В департаменте организационного построения Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде: документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

3. Использование персональных данных.
3.1. В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных (форма заявления о согласии работника на обработку персональных данных см. в приложении 1 к настоящему Положению).
3.1.1. Работников Организации и их близких родственников.
3.1.2. Физических лиц, состоящих или состоявших в договорных отношениях с Организацией.
3.1.3. Физических лиц, обратившихся в Организацию и/или заключивших с Организацией гражданско-правовые договоры, в том числе с жалобами и заявлениями.
3.1.4. Физических лиц, направивших резюме для устройства на работу в Организацию.
3.1.5. Иных граждан в связи с заключением оператором иных договоров, не противоречащих законодательству Российской Федерации.

3.2. Перечень персональных данных, обрабатываемых в Организации:
3.2.1. фамилия, имя, отчество;
3.2.2. дата и место рождения;
3.2.3. сведения, содержащиеся в документах, удостоверяющих личность;
3.2.4. пол;
3.2.5. гражданство (подданство);
3.2.6. адрес регистрации;
3.2.7. адрес фактического проживания;
3.2.8. место работы;
3.2.9. телефонный абонентский номер (домашний, рабочий, мобильный);
3.2.10. адрес электронной почты;
3.2.11. идентификационный номер налогоплательщика;
3.2.12. номер страхового свидетельства обязательного пенсионного страхования;
3.2.13. сведения, содержащиеся в документах воинского учета;
3.2.14. сведения об образовании, квалификации;
3.2.15. сведения о занимаемой должности;
3.2.16. данные о трудовой деятельности;
3.2.17. сведения о доходах;
3.2.18. сведения о семейном положении;
3.2.19. сведения о составе семьи;
3.2.20. сведения о наградах;
3.2.21. сведения об отнесении к категориям ветеранов;
3.2.22. сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации;
3.2.23. сведения о владении иностранными языками;
3.2.24. сведения о наличии ученой степени, ученого звания;
3.2.25. информация о членстве в выборных органах;
3.2.26. сведения об участии в коммерческих организациях;
3.2.27. сведения о принадлежащих акциях, долях участия в уставных капиталах юридических лиц;
3.2.28. сведения об участии в органах управления юридических лиц;
3.2.29. сведения об аттестации;
3.2.30. сведения о дисциплинарных взысканиях;
3.2.31. сведения, содержащиеся в трудовом договоре;
3.2.32. другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 1.3 настоящего Положения.

3.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Организации не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации. В частности, если:
3.3.1. Работник Организации и другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
3.3.2. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных федеральным законодательством.
3.3.3. Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
3.3.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.

3.4. Согласие работника не требуется в следующих случаях:
3.4.1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
3.4.2. обработка персональных данных осуществляется в целях исполнения трудового договора;
3.4.3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
3.4.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

4. Сбор, обработка и хранение персональных данных.
4.1. Порядок получения персональных данных.
4.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях: персональные данные являются общедоступными, персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно, по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
4.1.3. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
4.1.4. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
4.1.4.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
4.1.4.2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
4.1.4.3. цель обработки персональных данных;
4.1.4.4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
4.1.4.5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
4.1.4.6. срок, в течение которого действует согласие, а также порядок его отзыва.

4.2. Порядок обработки и передачи персональных данных.
4.2.1. Работник Организации предоставляет специалисту по кадровому делопроизводству Организации достоверные сведения о себе. Специалист по кадровому делопроизводству Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
4.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина генеральный директор Организации (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
4.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.2.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.2.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
4.2.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4.2.2.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
4.2.3. При осуществлении обработки персональных данных Организация:
4.2.3.1. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
4.2.3.2. Назначает лицо, ответственное за обработку персональных данных в Организации.
4.2.3.3. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Организации.
4.2.3.4. Формирует Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных (далее — Перечень).
4.2.3.5. Разъясняет работникам Организации и другим субъектам персональных данных юридические последствия отказа предоставить свои персональные данные в случае, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации (по форме, приведенной в Приложении № 2 к настоящему Положению).
4.2.3.6. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, а также предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
4.2.3.7. Предоставляет работникам Организации и другим субъектам персональных данных, если персональные данные получены не от самого субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных, до начала обработки таких персональных данных следующую информацию: наименование и адрес Организации, цель обработки персональных данных и ее правовое основание, перечень персональных данных, предполагаемые пользователи персональных данных, установленные законодательством Российской Федерации в области персональных данных права субъекта персональных данных, источник получения персональных данных.
4.2.3.8. Не сообщает, не раскрывает третьим лицам и не распространяет персональные данные без согласия работников Организации и других субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника Организации, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
4.2.3.9. Разъясняет субъектам персональных данных порядок принятия решений на основании исключительно автоматизированной обработки их персональных данных и возможные юридические последствия таких решений, предоставляет возможность заявить возражения против такого решения, а также разъясняет порядок защиты субъектом персональных данных своих прав и законных интересов.
4.2.3.10. Блокирует персональные данные на период внутренней проверки в случае выявления: неправомерной обработки персональных данных, неточных персональных данных, отсутствия возможности уничтожения персональных данных в течение срока, указанного в законодательстве Российской Федерации в области персональных данных или в локальных нормативных актах Организации.
4.2.3.11. В случае подтверждения факта неточности персональных данных уточняет персональные данные или обеспечивает их уточнение.
4.2.3.12. Прекращает обработку и уничтожает персональные данные: в случае невозможности обеспечить правомерную обработку персональных данных, при достижении цели обработки персональных данных, в случае отзыва субъектом персональных данных согласия на обработку персональных данных, по истечении установленного срока обработки персональных данных.
4.2.3.13. Совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
4.2.4. Осуществляя обработку персональных данных, организация вправе:
4.2.4.1. Ограничить доступ субъекта персональных данных к его персональным данным в соответствии с федеральными законами, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.
4.2.4.2. Поручить обработку персональных данных другому лицу с согласия работника (-ов) Организации или других субъектов персональных данных на основании заключаемого с этим лицом договора.
4.2.4.3. Совершать иные действия с персональными данными, не противоречащие законодательству Российской Федерации в области персональных данных.
4.2.5. Работники, занимающие должности, включенные в Перечень, и осуществляющие обработку персональных данных, обязаны:
4.2.5.1. Знать требования законодательства Российской Федерации в области персональных данных, в том числе требования к защите персональных данных, Политики в отношении обработки персональных данных Организации, настоящего Положения, иных локальных нормативных актов в области персональных данных.
4.2.5.2. Обеспечивать конфиденциальность персональных данных, использовать предусмотренные меры для их защиты от неправомерного или случайного доступа к ним.
4.2.5.3. Во время работы с информацией и (или) документами, содержащими персональные данные, исключать возможность ознакомления с ними лиц, занимающих должности, не включенные в Перечень.
4.2.5.4. При увольнении, уходе в отпуск или убытии в длительную командировку сдавать все имеющиеся в распоряжении бумажные и иные материальные, в том числе внешние электронные, носители, содержащие персональные данные, лицу, ответственному за обработку персональных данных.
4.2.5.5. Выполнять другие требования при работе с документами и внешними электронными носителями, содержащими персональные данные, с учетом настоящего Положения.

4.3. Меры, необходимые и достаточные для обеспечения выполнения Организации обязанностей Оператора, предусмотренные законодательством Российской Федерации в области персональных данных, включают:
4.3.1. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных.
4.3.2. Организацию обучения и проведение методической работы с руководителями и иными работниками, занимающими должности, включенные в Перечень.
4.3.3. Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.3.4. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах.
4.3.5. Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.
4.3.6. Организацию учета документов, содержащих персональные данные.
4.3.7. Установление запрета на передачу персональных данных субъектов персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, корпоративной сети передачи данных и сети Интернет без применения установленных в Обществе мер по обеспечению безопасности персональных данных (за исключением общедоступных персональных данных и (или) обезличенных данных).
4.3.8. Защиту передаваемых по открытым каналам связи персональных данных, критичных к нарушению их конфиденциальности (персональные данные, не являющиеся общедоступными или обезличенными), осуществляемую за счет принятия следующих мер:
4.3.8.1. исключение передачи персональных данных третьим лицам при отсутствии согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
4.3.8.2. исключение передачи персональных данных на факс;
4.3.8.3. осуществление передачи персональных данных только после предварительного согласования такой передачи с принимающей стороной;
4.3.8.4. передача персональных данных третьим лицам только после получения от третьей стороны заверенных в установленном порядке копий или выписок из документов, подтверждающих полномочия лица, принимающего персональные данные, на их обработку (доверенности, должностной инструкции, приказа о распределении обязанностей, гражданско-правового договора, приказа об утверждении перечня должностей, замещение которых предусматривает осуществление обработки персональных данных);
4.3.8.5. запрет передачи персональных данных на общие адреса электронной почты;
4.3.8.6. информирование принимающей стороны в сопроводительном письме или сообщении о том, что передаваемая информация содержит персональные данные, в отношении которых должны соблюдаться требования конфиденциальности;
4.3.9. Шифрование передаваемых по открытым каналам связи персональных данных должно применяться для защиты следующих категорий персональных данных, критичных к угрозам несанкционированного (неправомерного) доступа:
4.3.9.1. специальные категории персональных данных (сведения о состоянии здоровья — факты обращения в медицинские учреждения, результаты обследования, выписки из амбулаторных карт, сведения об инвалидности; сведения о судимости);
4.3.9.2. биометрические персональные данные;
4.3.9.3. совокупность персональных данных, содержащихся:
4.3.9.3.1. в документах, удостоверяющих личность (число, месяц и год рождения, место регистрации, серия и номер документа, удостоверяющего личность);
4.3.9.3.2. в сведениях о субъекте персональных данных, не связанных с осуществлением его профессиональной деятельности (номер домашнего телефона, сведения о месте жительства, семейном положении и составе семьи, о доходах, финансовом положении, социальном положении, номере страхового свидетельства обязательного пенсионного страхования, об идентификационном номере налогоплательщика и др.).
4.3.10. Обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи.
4.3.11. Информирование в письменном виде получателей документов Организации, содержащих персональные данные, о необходимости соблюдения конфиденциальности получаемых персональных данных.
4.3.12. Заключение договора, определяющего перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных» (в случае поручения обработки персональных данных Организации сторонним организациям).
4.3.13. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
4.3.14. Осуществление внутреннего контроля за соблюдением самостоятельными подразделениями Общества законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных, и за соответствием обработки персональных данных указанному законодательству.
4.3.15. Направление в уполномоченный орган по защите прав субъектов персональных данных уведомления о начале обработке персональных данных.
4.3.16. Публикация Политики в отношении обработки персональных данных в ООО «Вайт32 Дистрибьюшн» на официальном сайте Организации.

5. Хранение и использование персональных данных работников.
5.1. При осуществлении обработки персональных данных Организации:
5.1.1. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных
5.1.2. Персональные данные работников обрабатываются и хранятся в департаменте организационного построения, специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
5.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде — локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».
5.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
5.3.1. наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
5.3.2. цель обработки персональных данных и ее правовое основание;
5.3.3. предполагаемые пользователи персональных данных;
5.3.4. установленные настоящим Федеральным законом права субъекта персональных данных;
5.4. Пароли в ООО «Вайт32 Дистрибьюшн» устанавливаются и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников, в соответствии с внутренними правилами организации;
5.5. Изменение паролей производится в соответствии с внутренними правилами организации;
5.6. Доступ к персональным данным работника в Организации имеют:
5.6.1. генеральный директор,
5.6.2. сотрудники департамента организационного построения,
5.6.3. сотрудники департамента финансов,
5.6.4. руководители структурных подразделений,
5.7. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или его заместителя.
5.8. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения генерального директора Организации или его заместителя.
5.9. Лицо, ответственное за обработку персональных данных в Организации, назначается приказом ООО «Вайт32 Дистрибьюшн» и обеспечивает:
5.9.1. Организацию и осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, в том числе требований к защите персональных данных.
5.9.2. Доведение до сведения работников Организации, занимающих должности, замещение которых в соответствии с Перечнем предусматривает осуществление обработки персональных данных, положений законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, в том числе требований к защите персональных данных.
5.9.3. Организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.
5.9.4. Организацию мероприятий внутреннего контроля (в соответствии с порядком, приведенным в «Инструкции об организации и проведению внутреннего контроля обработки персональных данных в ООО «Вайт32 Дистрибьюшн»).
5.9.5. Принятие необходимых мер по устранению причин и последствий выявленных фактов нарушения требований законодательства Российской Федерации в области персональных данных, настоящего Положения, иных локальных нормативных актов Организации в области персональных данных и восстановлению нарушенных прав субъектов персональных данных.
5.9.6. Лицо, ответственное за организацию обработки персональных данных вправе привлекать к реализации мер, направленных на обработку персональных данных, работников Организации.

6. Защита персональных данных работников
6.1. В целях обеспечения конфиденциальности документов, содержащие персональные данные работников, оформляются, ведутся и хранятся только работниками департамента организационного построения.
6.2. Допуск к документам, содержащим персональные данные работников, внутри организации осуществляется на основании Инструкции о допуске работников к обработке персональных данных в ООО «Вайт32 Дистрибьюшн».
6.3. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
6.4. Передача информации, содержащей сведения о персональных данных работников, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
6.5. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
6.5.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
6.5.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
6.5.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
6.5.4. Осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.
6.5.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
6.5.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.5.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
6.5.8. Обработка персональных данных, содержащихся в обращениях (заявлениях) граждан (субъектов персональных данных), в том числе прилагаемых к ним документах, поступивших непосредственно от граждан или направленных государственным органом, органом местного самоуправления или иным юридическим лицом для рассмотрения по существу, осуществляется без согласия данных субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных».
6.5.8.1. При рассмотрении обращений (заявлений) граждан не допускается разглашение сведений, содержащихся в них, а также сведений, касающихся частной жизни гражданина, без его согласия.
6.5.8.2. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, иному юридическому лицу, в компетенцию которых входит решение поставленных в обращении вопросов, с уведомлением гражданина, направившего обращение, принявшим решение о переадресации обращения.
6.5.9. Субъекты персональных данных вправе отозвать согласие на обработку персональных данных, направив отзыв согласия на обработку персональных данных в адрес Организации в произвольной форме в соответствии с частью 2 статьи 9 и частью 5 статьи 21 Федерального закона «О персональных данных».
6.5.10. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации, в частности:
6.5.10.1. для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей;
6.5.10.2. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
6.5.10.3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
6.5.10.4. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6.5.10.5. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных;
6.5.10.6. для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6.5.10.7. для осуществления прав и законных интересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
6.5.10.8. если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.
6.6. В целях внутреннего информационного обеспечения Организация может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, телефонный абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
6.7. Обработка персональных данных осуществляется следующими способами:
6.7.1. неавтоматизированная обработка персональных данных;
6.7.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
6.7.3. смешанная обработка персональных данных.
6.8. Оператор может обезличивать персональные данные в статистических или иных исследовательских целях, по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.

7. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.
7.1. Согласие на обработку персональных данных, разрешенных Работником или другим субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Организация обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Оператору согласия, предусмотренного п.9.1 настоящего Положения, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
7.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
7.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
7.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные федеральным законодательством или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия, такие персональные данные обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
7.6. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не считается согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.7. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
7.8. Оператор в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
7.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, может быть прекращена в любое время по требованию субъекта персональных данных. Форма заявления об отзыве согласия на обработку персональных данных приведена в Приложении 2 к настоящему Положению.
7.10. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору указанного требования.

8. Особенности обработки персональных данных работников Общества и кандидатов на замещение вакантных должностей в Организации.
8.1. Особенности обработки персональных данных работников Организации и гарантии их защиты определяются трудовым законодательством Российской Федерации.
8.2. Работа с документами, содержащими персональные данные, в департаменте организационного построения осуществляется в соответствии с нормативными актами и документами, регламентирующими кадровое делопроизводство, в части формирования и оформления личных дел работников Организации, оформления, ведения и подготовки архивных документов по личному составу, образующихся в процессе деятельности.
8.3. Персональные данные, связанные с приемом на работу, трудовой деятельностью и увольнением работников, вносятся в соответствующие приказы, трудовые договоры (дополнительные соглашения к трудовым договорам) и в трудовую книжку.
8.4. Сбор, запись, систематизация, накопление, уточнение (обновление, изменение), извлечение, использование персональных данных работников, кандидатов на замещение вакантных должностей в Организации и других субъектов персональных данных осуществляются департаментом организационного построения с учетом порядка, предусмотренного разделом 5.1 настоящего Положения.

9. Передача (предоставление, доступ) персональных данных работников и других субъектов персональных данных третьим лицам
9.1. Передача персональных данных работников Организации и других субъектов персональных данных третьим лицам (за исключением общедоступных персональных данных и обезличенных данных) допускается с письменного согласия указанных субъектов персональных данных (по форме, приведенной в Приложении 3) за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами.
9.2. Передача и обработка персональных данных третьими лицами проводится без согласия субъекта персональных данных в следующие организации:
9.2.1. Пенсионный фонд (ст. 9 Федерального закона 01.04.1996 № 27-ФЗ);
9.2.2. налоговые органы (ст. 24 НК РФ);
9.2.3. военные комиссариаты (ст.4 Федерального закона от 28.03.1998 № 53-ФЗ);
9.2.4. иные органы, если обязанность передачи таких сведений, относящихся к информации конфиденциального характера, закреплена за работодателем соответствующими законами или же необходима для достижения установленных законами целей (например, в суды, прокуратуру, ГИТ и так далее).
9.3. Информация и (или) документы, содержащие персональные данные работников Организации и других субъектов персональных данных, передаются без согласия указанных субъектов органам прокуратуры, правоохранительным органам и иным органам государственной власти в рамках установленных полномочий при поступлении от них мотивированных запросов. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации, содержащей персональные данные.
9.4. Передача персональных данных работников Организации и других субъектов персональных данных негосударственным пенсионным фондам и страховым компаниям осуществляется в соответствии с заключенными с этими организациями договорами на негосударственное пенсионное обеспечение и оказание услуг страхования. При этом в текст договора включается условие об обеспечении конфиденциальности и безопасности персональных данных, обрабатываемых в рамках выполнения обязательств по договору, согласно требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов».
9.5. В случае подготовки проектов договоров с контрагентами, выполнение которых потребует передачи контрагентам не только персональных данных, информации, составляющей коммерческую тайну Организации, с контрагентами заключаются соглашения (договоры) о конфиденциальности либо в текст договора включается необходимая оговорка.
9.6. Организация вправе поручить обработку персональных данных работников и других субъектов персональных данных другому лицу с согласия указанных субъектов персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных и настоящим Положением. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
9.7. Запрещается передача персональных данных работников и других субъектов персональных данных (в том числе анкет, листков по учету кадров, автобиографий и т.д.) по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, корпоративной сети передачи данных ООО «Вайт32 Дистрибьюшн» и сети Интернет без применения установленных в Организации мер по обеспечению безопасности персональных данных (за исключением общедоступных персональных данных и (или) обезличенных данных).

10. Порядок удаления и (или) уничтожения персональных данных.
10.1. Самостоятельные подразделения Общества осуществляют систематический мониторинг и своевременно уничтожают документы, иные материальные носители, содержащие персональные данные, а также удаляют персональные данные, содержащиеся в информационных системах персональных данных, файлах, хранящихся на АРМ или на внешних перезаписываемых электронных носителях, по достижении цели обработки, с истекшими сроками хранения, предусмотренными законодательством Российской Федерации, или при наступлении иных законных оснований.
10.2. Уничтожение документов, содержащих персональные данные, на материальных носителях осуществляется с учетом требований «Инструкции по работе с документами, содержащими персональные данные в ООО «Вайт32 Дистрибьюшн».
10.3. Удаление информации, содержащей персональные данные, из информационных систем персональных данных, хранящейся на АРМ или на внешних перезаписываемых электронных носителях, производится комиссией. В состав комиссии включается не менее трех работников, с обязательным участием лица, ответственного за обработку персональных данных в соответствующем самостоятельном подразделении Общества (при его наличии).
10.4. В случае отсутствия технической возможности удаления информации, содержащей персональные данные из информационных систем персональных данных силами работников подразделения, удаление производится работниками подразделения (организации), эксплуатирующего или сопровождающего эксплуатацию этих систем, при этом такие работники включаются в состав комиссии.
10.5. Решение комиссии об удалении информации, содержащей персональные данные, оформляется актом.
10.6. Примерная форма акта об удалении (уничтожении) информации, содержащей персональные данные, приведена в Приложении 4 к настоящему Положению.
10.7. Уничтожение персональных данных, содержащихся на внешних не перезаписываемых электронных носителях, по окончании срока обработки производится путем механического нарушения целостности внешнего электронного носителя, не позволяющего произвести считывание или восстановление содержания персональных данных.
10.8. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
10.9. Уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.10. Удаление (стирание) персональных данных из информационных систем персональных данных, из файлов АРМ или на внешних перезаписываемых электронных носителях производится с использованием средств удаления (стирания) персональных данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов). При отсутствии (невозможности использования таких средств) удаление (стирание) персональных данных производится штатными средствами информационной системы персональных данных (АРМ).

11. Права и обязанности работников Организации и других субъектов персональных данных
11.1. Работники Организации, кандидаты на замещение вакантных должностей в Организации и другие субъекты персональных данных имеют право на:
11.1.1. полную информацию об их персональных данных, обрабатываемых в Организации;
11.1.2. получение информации о способах исполнения Оператором обязанностей по обработке персональных данных, установленных федеральным законодательством;
11.1.3. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также доступ к относящейся к ним медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
11.1.4. исключение или исправление неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона;
11.1.5. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
11.1.6. дополнение своих персональных данных оценочного характера заявлением, выражающим их собственную точку зрения;
11.1.7. извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
11.1.8. отзыв согласия на обработку персональных данных;
11.1.9. представителей для защиты своих персональных данных;
11.1.10. принятие предусмотренных законом мер по защите своих прав;
11.1.11. обжалование действий или бездействия Организации, осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
11.1.12. осуществление иных прав, предусмотренных законодательством Российской Федерации.
11.2. Работники Организации, кандидаты на замещение вакантных должностей в Организации, и другие субъекты персональных данных обязаны:
11.2.1. представить в Организацию персональные данные, представление которых является обязательным в соответствии с федеральным законом;
11.2.2. обеспечить конфиденциальность персональных данных других субъектов персональных данных, ставших им известными в рамках осуществления своих прав.

12. Рассмотрение обращений работников Организации и других субъектов персональных данных или их представителей
12.1. Работники Организации, кандидаты на замещение вакантных должностей в Организации, и другие субъекты персональных данных в рамках реализации своего права на полную информацию об их персональных данных, обрабатываемых в Организации, вправе запросить сведения, содержащие:
12.1.1. подтверждение факта обработки персональных данных Организации;
12.1.2. правовые основания и цели обработки персональных данных;
12.1.3. цели и применяемые Оператором способы обработки персональных данных;
12.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
12.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
12.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
12.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законодательством;
12.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
12.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
12.1.10. получение информации о способах исполнения Оператором обязанностей по обработке персональных данных, установленных федеральным законодательством;
12.1.11. иные сведения, предусмотренные федеральными законами.

12.2. Сведения, указанные в пункте 12.1 настоящего Положения, предоставляются работнику Организации или другому субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим работникам Организации или субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
12.3. Сведения, указанные в пункте 12.1 настоящего Положения, предоставляются работнику Организации, другому субъекту персональных данных или их представителю уполномоченным работником самостоятельного подразделения, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса работника Организации или другого субъекта персональных данных (его представителя).

12.4. Запрос должен содержать:
12.4.1. номер основного документа, удостоверяющего личность работника Организации или другого субъекта персональных данных либо их представителя, сведения о дате выдачи указанного документа и о выдавшем его органе;
12.4.2. сведения, подтверждающие участие работника Организации или другого субъекта персональных данных в трудовых или иных отношениях с Организацией, либо сведения, иным образом подтверждающие факт обработки персональных данных в Организации, подпись работника Организации, другого субъекта персональных данных (его представителя).
12.5. Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
12.6. Форма обращения (запроса) субъекта персональных данных о получении информации, касающейся обработки персональных данных, приведена в Приложении 5 к настоящему Положению.
12.7. В случае если в обращении (запросе) субъекта персональных данных или его представителя (за исключением работников Организации) не отражены обязательные для заполнения данные, сведения, указанные в пункте 12.1 настоящего Положения, соответствующему субъекту персональных данных не предоставляются.
12.8. В случае если сведения, указанные в пункте 12.1 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления работнику Организации или другому субъекту персональных данных по его запросу, они вправе обратиться повторно в Организации или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
12.9. Работник Организации или другой субъект персональных данных вправе обратиться повторно в Организации или направить повторный запрос в целях получения сведений, указанных в пункте 12.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 12.8 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 12.3-12.7 настоящего Положения, должен содержать обоснование направления повторного запроса.
12.10. Организация вправе отказать работнику Организации или другому субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 12.8 и 12.9 настоящего Положения. Такой отказ должен быть мотивированным.
12.11. Право работника Организации или другого субъекта персональных данных на доступ к их персональным данным может быть ограничено в соответствии с федеральными законами, в том случае если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников Организации и других субъектов персональных данных
13.1. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
13.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством Российской Федерации и локальными нормативными актами Организации в области персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.

14. Заключительные положения
14.1. Настоящее Положение вступает в силу с момента утверждения и действует бессрочно до принятия новой редакции документа.
14.2. Подлинник настоящего документа после окончания срока действия, аннулирования или замены хранится в Организации в течение 3 лет.
14.3. Плановый пересмотр настоящего Положения на предмет соответствия существующим в Организации процессам и изменениям требованиям законодательства Российской Федерации осуществляет лицо, ответственное за обработку персональных данных.
14.4. Инициатива по пересмотру/отмене действия настоящего Положения может исходить также от генерального директора, заместителей генерального директора, руководителя департамента организационного построения.

Приложения:
— приложение 1. Форма «Согласие работника ООО «Вайт32 Дистрибьюшн» на обработку персональных данных» — на 1 листе;
— приложение 2. Форма «Заявление об отзыве согласия на обработку персональных данных» — на 2 листах;
— приложение 3. Форма «Согласие на передачу персональных данных третьим лицам» — на 1 листе;
— приложение 4. Форма «Акт об удалении (уничтожении) информации, содержащей персональные данные в ООО «Вайт32 Дистрибьюшн» — на 1 листе;
— приложение 5.