1. Общие положения

1.1. Политика обработки и защиты персональных данных в ООО «ЭНЕРГОМАШ №1» (далее - Политика) определяет основные принципы, цели, содержание, условия, порядок и способы обработки персональных данных, устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Цель настоящей Политики – обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в информационных системах персональных данных, защиты персональных данных субъектов персональных данных от несанкционированного доступа и разглашения.
1.3. При разработке настоящей Политики использованы следующие нормативные документы и ссылки на них:

• Конституция Российской Федерации;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 17.07.2006 № 152 ФЗ «О персональных данных»;
• Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 1 ноября 2012 г. № 1119;
• Другие нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с обработкой персональных данных.

1.4. Действие настоящей Политики распространяется на всех работников ООО «ЭНЕРГОМАШ №1» (далее – Общество, Оператор), имеющих право доступа к персональным данным субъектов персональных данных.

2. Основные понятия, термины и определения

2.1. В настоящей Политике используются следующие понятия, термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
База данных – совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Компрометация пароля учетной записи – ознакомление с паролем третьими лицами.
Материальный носитель персональных данных – материальный объект, содержащий персональные данные в электронном или графическом виде, используемый для закрепления и хранения на нем персональных данных (в том числе, бумажный носитель, машиночитаемый носитель).
Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных (Оператор) – ООО «ЭНЕРГОМАШ №1», юридический адрес: 162623, Вологодская обл., г.Череповец, ул.Краснодонцев, д 104-120, ОГРН 1153525032748, осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь ИСПДн – работник Общества, который допущен к обработке персональных данных в информационных системах персональных данных в соответствии со своими должностными обязанностями приказом должностного лица Общества.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Субъект персональных данных - физическое лицо, гражданин Российской Федерации, состоящее с Обществом в трудовых или договорных отношениях (контрагент, работник контрагента, клиент, посетитель и т.д.) (далее – Субъект персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Состав персональных данных

3.1. Обрабатываемые Оператором категории субъектов персональных данных:

• физические лица (пользователи услуг, потенциальные пользователи услуг;
• работники контрагентов;
• физические лица, заключившие договоры гражданско-правового характера с Оператором;
• клиенты и посетители;
• уполномоченные на основании доверенности представители вышеуказанных субъектов персональных данных.

3.2. Полный состав персональных данных, обрабатываемых Оператором, в зависимости от цели обращения к Оператору, которая указывается в каждом конкретном случае в соответствующем согласии на обработку персональных данных:

• фамилия, имя, отчество;
• место работы (название организации);
• адрес места жительства (по паспорту, фактический, дата регистрации по месту жительства, номер телефона);
• контактные данные (адрес электронной почты, номер мобильного телефона);
• номер договора;
• банковские реквизиты.

Обработка специальных категорий персональных данных, включая расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, интимную жизнь, Оператором не осуществляется.
3.3. Оператор обрабатывает персональные данные, указанные в п. 3.2. Политики, с согласия субъекта персональных данных, путем записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, обезличивания, передачи (предоставление, доступ), блокирования, удаления, уничтожения персональных данных.

3.4. Яндекс.Метрика

3.4.1. Оператор использует средство “Яндекс.Метрика” для сбора сведений об использовании сайта, таких как частота посещения сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный сайт. Яндекс.Метрика собирает только IP-адреса, назначенные в день посещения данного сайта, но не имя или другие идентификационные сведения.
3.4.2. Яндекс.Метрика размещает постоянный cookie-файл в веб-браузере субъекта персональных данных для его идентификации в качестве уникального пользователя при следующем посещении данного сайта. Этот cookie-файл не может использоваться никем, кроме Яндекс соответственно. Сведения, собранные с помощью cookie-файла, будут передаваться и храниться на серверах корпорации в Яндекс.
3.4.3. Оператор используеи сведения, полученные через Яндекс.Метрику, только для совершенствования услуг на данном сайте. Оператор не объединяет сведения, полученные через Яндекс,Метрику, с персональными данными.
3.4.4. Возможности Яндекс по использованию и передаче третьим лицам сведений, собранных средством Яндекс.Метрики о посещениях субъектом персональных данных данного сайта, ограничиваются Политикой конфиденциальности Яндекс. Субъект персональных данных может запретить Яндекс.Метрике узнавать его при повторных посещениях данного сайта, отключив cookie-файлы Яндекс.Метрики.

4. Цели, принципы и условия обработки персональных данных

4.1. Персональные данные обрабатываются Оператором с целью:

• реализации прав и законных интересов Оператора в рамках осуществляемого вида деятельности;
• подготовки, заключения, исполнения и прекращения договоров, стороной которых либо выгодоприобретателем либо поручителем является субъект персональных данных;
• соблюдения требований законодательства и иных нормативных правовых актов Российской Федерации;

4.2. Обработка и использование персональных данных субъектов персональных данных осуществляется в иных целях, если это направлено на обеспечение соблюдения законодательства Российской Федерации и иных нормативных правовых актов. Перечень конкретных целей указывается в каждом конкретном случае в соответствующем согласии на обработку персональных данных.
4.3. Принципами обработки персональных данных в ООО «ЭНЕРГОМАШ №1» являются:

• законность;
• ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;
• недопустимость объединения в ООО «ЭНЕРГОМАШ №1» баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• точность обрабатываемых персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки,
• недопустимость обработки в ООО «ЭНЕРГОМАШ №1» персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• уничтожение персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
• личная ответственность работников ООО «ЭНЕРГОМАШ №1» за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
• принятие исчерпывающих организационных и технических мер для защиты персональных данных, исключающих несанкционированных доступ к ним посторонних лиц.

4.4. Условия обработки персональных данных.
Оператор производит обработку персональных данных при наличии согласия субъекта персональных данных на обработку его персональных данных;
Не требуется согласие субъекта персональных данных на передачу персональных данных:

• по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 N 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);
• по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ, п. "м" ч. 1 ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);
• по запросу суда согласно ч. 4 - 7 ст. 66 АПК РФ, ч. 1, 2 ст. 57 ГПК РФ;

Оператор осуществляет обработку персональных данных в неавтоматизированном и автоматизированном виде с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, а также в смешанном виде.
Оператор может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключенного договора.
Третье лицо, осуществляющее обработку персональных данных по поручению Оператора и/или субъекта персональных данных, должно соблюдать правила и принципы обработки персональных данных, предусмотренные законодательством Российской Федерации.

5. Порядок, способы и сроки обработки персональных данных

5.1. Персональные данные предоставляются субъектом лично в электронном или в бумажном виде.
5.2. При сборе персональных данных должностные лица (работники) ООО «ЭНЕРГОМАШ №1», осуществляющие сбор (получение) персональных данных непосредственно от лиц, указанных в пункте 3.1 настоящей Политики, разъясняют юридические последствия отказа от предоставления персональных данных.
5.3. К обработке персональных данных в ИСПДн могут иметь доступ работники Общества, которым он необходим для исполнения должностных обязанностей. Допуск пользователей для работы на технических средствах ИСПДн осуществляется в соответствии со списками лиц, допущенных в ИСПДн, утвержденными приказами должностного лица Общества.
5.4. В Обществе не обрабатываются персональные данные субъектов, касающиеся их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни.
5.5. Обработка персональных данных субъектов в ООО «ЭНЕРГОМАШ №1» осуществляется с использованием средств вычислительной техники (автоматизированная) и без использования таких средств (неавтоматизированная). Обработка персональных данных осуществляется путем получения оригиналов необходимых документов, копирования оригиналов документов, внесения информации в учетные формы (на бумажных и электронных носителях), формирования персональных данных в процессе кадровой работы, внесение персональных данных в информационные системы обработки персональных данных.
5.6. Обработка персональных данных без использования средств автоматизации осуществляется в виде документов на бумажных носителях информации. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.7. Безопасность персональных данных при их обработке в ИСПДн ООО «ЭНЕРГОМАШ №1» обеспечивается в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативных правовых актов Российской Федерации.
5.8. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных.
5.9. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 17.07.2006 № 152 ФЗ «О персональных
данных».
5.10. Сроки обработки, хранения персональных данных лиц, указанных в пункте 3.1 Политики, определяются Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и согласием на обработку персональных данных в каждом конкретном случае.

6. Хранение персональных данных

6.1. Персональные данные на материальных носителях, находящихся в делопроизводстве соответствующего структурного подразделения Оператора, осуществляющего работу с субъектами персональных данных, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся на ключ сейфы (металлические шкафы), оборудованные внутренними замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном виде, допускается хранение таких носителей вне сейфов (металлических шкафов).
6.2. Хранение персональных данных в автоматизированном виде в ООО «ЭНЕРГОМАШ №1» происходит после их внесения в информационные системы обработки персональных данных. Производится регламентное резервное копирование персональных данных, применяются организационные и технические меры защиты информации.

7. Права и обязанности оператора и субъекта персональных данных при обработке персональных данных субъекта персональных данных

7.1. Оператор при обработке персональных данных субъекта персональных данных вправе:

• получать от субъекта персональных данных письменное согласие на обработку его персональных данных по формам, в случаях, установленных настоящей Политикой законодательством в области персональных данных;
• устанавливать правила обработки персональных данных субъектов персональных данных в ООО «ЭНЕРГОМАШ №1» и вносить изменения и дополнения в Политику, самостоятельно разрабатывать и применять формы документов необходимых для исполнения Политики (согласий, уведомлений и запросов для обработки персональных данных);
• осуществлять иные права, предусмотренные законодательством, нормативно-правовыми актами и локальными актами Оператора в области персональных данных.

7.2. Оператор при обработке персональных данных субъекта обязан:

• осуществлять обработку персональных данных субъектов исключительно в целях, указанных в настоящей Политике;
• получать персональные данные субъекта персональных данных у него самого, а также по его просьбе предоставлять сведения, касающиеся обработки его персональных данных;
• обеспечить хранение и защиту персональных данных субъекта персональных данных от неправомерного их использования или утраты за счет своих средств в порядке, установленном законодательством Российской Федерации;
• Оператор, как обладатель информации, информационных систем, включающих в себя персональные данные субъекта персональных данных, в случаях, установленных законодательством Российской Федерации, обязан обеспечить:
• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к информации;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль за обеспечением уровня защищенности информации;
• исполнять иные обязанности, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Оператора в области персональных данных.

7.3. Субъект персональных данных имеет право:

• на получение сведений, касающихся обработки его персональных данных (Запрос или обращение может быть направлен также официальным (законным) представителем субъекта персональных данных);
• отозвать согласие на обработку персональных данных;
• требовать от Оператора уточнения своих персональных данных, их блокирования и уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
• на обжалование неправомерных действий или бездействий Оператора по обработке персональных данных в уполномоченном органе по защите прав субъектов персональных данных и (или) в судебном порядке;
• защиту своих прав и законных интересов в области персональных данных;
• иные права, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Оператора в области персональных данных.

7.4. Субъект персональных данных обязан:

• при необходимости дать письменное согласие на обработку Оператором своих персональных данных свободно, своей волей и в своем интересе;
• своевременно сообщать Оператору об изменениях и дополнениях в его персональные данные и при необходимости представлять соответствующие документы;
• исполнять иные законные требования Оператора и обязанности, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Оператора в области персональных данных.

8. Доступ к информации, содержащей персональные данные

8.1. Доступ к информации, содержащей персональные данные, имеют работники ООО «ЭНЕРГОМАШ №1», в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, а также работники, реализующие права субъектов персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в объеме, необходимом для выполнения ими служебных обязанностей.
   8.2. Предоставление полномочий работникам Оператора на обработку персональных данных осуществляется только к данным, необходимым для выполнения ими своих функциональных обязанностей.
   8.3. При реализации прав субъекта персональных данных, его персональные данные должны предоставляться ему таким образом, чтобы не нарушалась конфиденциальность персональных данных других субъектов персональных данных.
   8.4. Требования по соблюдению конфиденциальности персональных данных являются обязательными к исполнению работником Оператора, допущенным к работе с персональными данными. Работник, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. Запрещается предоставлять информацию о персональных данных по телефону, в присутствии третьих лиц или иным способом, нарушающим конфиденциальность.
   8.5. Работник, допущенный к обработке персональных данных, принимает на себя обязательства в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
   8.6. Работники, допущенные к обработке персональных данных, информируются о характере обработки, категориях обрабатываемых персональных данных, а также об особенностях и условиях осуществления такой обработки, установленных Политикой.
   8.7. Доступ к обрабатываемым персональным данным разрешается третьим лицам только при наличии официального заявления запросившего лица с указанием перечня необходимой информации, целей для которых она будет использована, с согласия субъекта персональных данных, персональные данные которого затребованы.
   8.8. Также доступ к персональным данным субъектов, обрабатываемых Оператором, может быть предоставлен органам власти, если это предусмотрено законодательством Российской Федерации или международными договорами.

9. Реализация права субъекта на доступ к своим персональным данным

    9.1. Доступ субъекта персональных данных к своим персональным данным предоставляется при обращении либо при получении запроса этого субъекта персональных данных или его законного представителя. Информация о наличии персональных данных о субъекте персональных данных, а также возможность ознакомления с ними предоставляется в течение тридцати дней с момента обращения или с момента получения письменного запроса субъекта персональных данных или его представителя в доступной форме.
    9.2. Запрос субъекта персональных данных или его представителя должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного либо уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (например, номер и дата заключенного договора) или иные сведения, подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его законного либо уполномоченного представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
    9.3. Субъект персональных данных имеет право на получение при обращении или при получении Оператором запроса информации, касающейся обработки персональных данных субъекта персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором, а также правовые основания и цели обработки;
• способы обработки персональных данных, применяемые Оператором;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения, если иной порядок предоставления данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

9.4. Сведения, указанные в п. 9.3 Политики, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.5. В случае отказа субъекту персональных данных или его законному представителю в предоставлении сведений, касающихся обработки персональных данных данного субъекта, субъект персональных данных вправе обратиться или направить запрос повторно, но не ранее чем через тридцать дней после первоначального обращения или запроса, если более короткий срок не установлен федеральным законом. Запрос должен содержать требования, указанные в п. 9.2 Политики, а также обоснование направления повторного запроса.
9.6. Оператор вправе отказать субъекту в выполнении повторного запроса, не соответствующему требованиям п. 9.5 Политики, отказ должен быть мотивированным.
9.7. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях, предусмотренных федеральными законами, в том числе:

• если обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной деятельности, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
• если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• доступ субъекта персональных данных к своим персональным данным нарушает права и законные интересы третьих лиц;
• другие случаи, предусмотренные ч. 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

10. Устранение нарушений законодательства, допущенных при обработке персональных данных. Уточнение, блокирование и уничтожение персональных данных.

10.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
10.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их в течение семи рабочих дней со дня
представления таких сведений и снимает блокирование персональных данных.
10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, в срок, не превышающий трех рабочих дней с даты этого выявления, Оператор прекращает неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.
10.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение и уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством в области персональных данных.
10.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством в области персональных данных.
10.7. Уничтожение персональных данных должно быть зафиксировано Оператором в акте об уничтожении персональных данных по каждому такому факту:

• информация на электронных носителях подлежит уничтожению путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления
• остаточной информации;
• информация на бумажных носителях подлежит уничтожению путем измельчения техническими средствами, исключающими возможность дальнейшего использования.

11. Ответственность за нарушение норм, регулирующих защиту персональных данных

11.1. Оператор несет установленную законодательством Российской Федерации ответственность за нарушение законодательства Российской Федерации в области персональных данных, настоящей Политики и других локальных актов Оператора.
11.2. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством.
11.3. За нарушения законодательства Российской Федерации в области персональных данных и настоящей Политики к работникам могут применяться следующие меры дисциплинарной ответственности:

• замечание;
• выговор;
• увольнение.

11.4. Меры дисциплинарной ответственности, указанные в п. 11.3 Политики, применяются в соответствии с локальными актами Оператора и в зависимости от тяжести последствий нарушений для Оператора и субъектов персональных данных.

12. Обеспечение безопасности персональных данных

Оператор определяет состав и перечень правовых, организационных и технических мер для обеспечения выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
Оператором выполняются следующие меры по обеспечению безопасности обработки персональных данных:

• назначено лицо, ответственное за организацию обработки персональных данных Оператором;
• разработана Политика об обработке персональных данных, и основанные на ней локальные нормативные документы, направленные на обеспечение соблюдения Оператором принципов обработки персональных данных;
• определены угрозы безопасности персональных данных при их обработке и сформирована на их основе модель угроз;
• разработана на основе модели угроз система защиты персональных данных;
• обеспечена физическая безопасность помещений и средств обработки персональных данных;
• разграничен доступ пользователей к информационным ресурсам и средствам обработки персональных данных;
• организован учет, хранение и обращение носителей информации;
• при обработке персональных данных, включая передачу третьим лицам, используются необходимые средства защиты информации.

13. Заключительные положения

13.1. Контроль соблюдения требований настоящей Политики в ООО «ЭНЕРГОМАШ №1», а также ее актуализацию осуществляют лица, ответственные за организацию обработки персональных данных работников.
13.2. Ознакомившись с Политикой, субъект персональных данных подтверждает, что с содержанием Политики он ознакомлен, и что содержание Политики ему понятно.