Политика в отношении обработки и обеспечения безопасности персональных данных

1. General Provisions

1.1.This Policy for the processing of personal data of Sperasoft Studio Inc. (hereinafter – the «Company»), INN 7801498077, located at the address: Russian Federation, Saint Petersburg, Ulitsa Kievskaya, 5, building 4, room 65-H, has been developed in accordance with the Constitution of the Russian Federation, the Labor Code of the Russian Federation, the Civil Code of the Russian Federation, Federal Law No. 149-ФЗ “On Information, Information Technologies and the Protection of Information” dated July 27, 2006, Federal Law No. 152-ФЗ «On Personal Data» dated July 27, 2006, General Data Protection Regulation No. 2016/679 of the European Parliament and of the Council of the European Union (GDPR), other federal laws and regulations.

1.2.This Policy for processing of personal data has been developed to ensure the protection of human and civil rights and freedoms in the processing of personal data by the Company;

1.3.Provisions of this Policy serve as the basis for the development of internal policies and procedures governing the processing of personal data in the Company.

1.1.Настоящая Политика обработки персональных данных Общества с ограниченной ответственностью «Сперасофт cтудия» (далее – «Общество»), ИНН 7801498077, расположенного по адресу: Российская Федерация, г. Санкт-Петербург, улица Киевская, д.5, корпус 4, помещение 65-H, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Регламентом №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных (GDPR), иными федеральными законами и нормативно-правовыми актами.

1.2.Политика обработки персональных данных разработана с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных Обществом;

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных.

2.1. Personal data shall mean any information relating directly or indirectly to an identifiable natural person as used to identify him or her (the personal data subject);

2.2. Identifiable natural person shall mean a person who can be identified, directly or indirectly, in particular by reference to an identifier such as name, identification number, location data, online identifier or to one or more factors specific to physical, physiological, genetic, mental, economic, cultural or social identity of that natural person

2.3. Controller shall mean the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by European Union or its Member State law;

2.4. Processor shall mean a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

2.5. Consent of the data subject shall mean any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she signifies agreement to the processing of personal data relating to him or her;

2.6. Biometric data shall mean personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;
2.7. Third party shall mean a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorized to process personal data;

2.8. Processing of personal data shall mean any action (operation) or set of actions (operations) which is carried out on personal data, whether or not by automation facilities, such as collection, recording, structuring, accumulation, storage, rectification (updating, alteration), restriction, retrieval, use, transmission (dissemination, provision or otherwise making available), anonymization, blocking, erasure or destruction of personal data.

2.9. Automated processing of personal data shall mean processing of personal data using computer equipment.

2.10. Dissemination of personal data shall mean actions related to disclosure of personal data to the public;

2.11. Provision of personal data shall mean actions related to disclosure of personal data to certain person(s) or to the public;

2.12. Blocking of personal data shall mean suspension of personal data processing (except in cases where processing is required to rectify the personal data);

2.13. Destruction of personal data shall mean the process of making the personal data content unrestorable in the personal data information system and/or of destroying the physical media on which the personal data is stored;

2.14. Depersonalization of personal data shall mean the process of making impossible the association of personal data with a particular personal data subject without the use of additional information;

2.15. Personal data information system (the PDIS) shall mean the combination of personal data contained in the data base, and information technology, hardware and software, providing the processing of the personal data.

2.16. Cross-border transfer shall mean a personal data transfer to foreign jurisdictions to a foreign state government authority, a foreign natural person, or a foreign legal entity.

2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному (идентифицируемому) физическому лицу и идентифицирующее его (субъект персональных данных);

2.2. Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физического, физиологического, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица

2.3.  Контролер — физическое или юридическое лицо, государственная власть, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; где цели и средства такой обработки определяются законодательством Европейского Союза или государства-члена;

2.4. Процессор — физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;
2.5. Согласие субъекта данных — свободно данное конкретное и сознательное указание о своей воле, которым субъект персональных данных оповещает о своем согласии на обработку касающихся его персональных данных;

2.6. Биометрические данные — личные данные, полученные в результате специальной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например изображения на лице или дактилоскопические данные;
2.7. Третья сторона — физическое или юридическое лицо, государственную власть, агентство или орган, иные, чем субъект данных, контролер, процессор и лица, которые под прямым контролем контроллера или процессора имеют право обрабатывать персональные данные;
2.8. Обработка персональных данных— любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), ограничение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.9. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.10. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.12. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.13. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.14. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.15. Информационная система персональных данных (далее – ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.16. Трансграничная передача — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.1.Processing of personal data should be:

3.1.1. carried out on a legal and fair basis (legality, fairness and transparency);

3.1.2. limited to the achievement of certain predetermined and legitimate objectives. Processing inconsistent with the purposes of personal data collection shall not be allowed («limitation of purpose»);

3.1.3.  consistent with and be limited to what is necessary with respect to the purposes of processing («data minimization»);

3.1.4. accurate, sufficient and relevant to the purposes of processing («data accuracy»).

3.1.5. storage of personal data shall be in a form that allows the identification of data subjects not more than is necessary for the purposes for which the personal data are processed, except as provided by law («storage limitation»);

3.1.6. Personal data must be adequately protected, in particular against unauthorized or unlawful processing, and against accidental loss, destruction or damage, using appropriate technical and organizational measures («integrity and confidentiality»);

3.1.7. The Company shall be responsible for and can demonstrate compliance with the above principles of personal data processing («accountability»).

3.1. Обработка персональных данных должна:

3.1.1. осуществляться на законной и справедливой основе (законность, справедливость и прозрачность»);

3.1.2. ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных («ограничение цели»);

3.1.3.  соответствовать и быть ограниченной тем, что необходимо в отношении целей, для которых они обрабатываются («минимизация данных»);

3.1.4. быть точной, достаточной и актуальной по отношению к целям обработки персональных данных («точность»).

3.1.5. хранение персональных данных должно быть в форме, которая позволяет идентифицировать субъектов данных не более, чем это необходимо для целей, для которых обрабатываются персональные данные, за исключением случаев, предусмотренных законом («ограничение хранения»);

3.1.6. персональные данные должны быть обеспечены надлежащей защитой, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер («целостность и конфиденциальность»);

3.1.7. Общество несет ответственность и может продемонстрировать соблюдение вышеперечисленных принципов обработки персональных данных («подотчетность»).

4. List and contents of personal data items to be processed

4.1. Processing of personal data in the Company will happen only to enforce the Constitution of the Russian Federation, federal laws and other laws and regulations, to enforce labor and civil contracts, to assist the personal data subject in employment, to ensure the personal safety of the personal data subject and to safeguard the assets of the Company and the personal data subject.

4.2. the Company will process personal data disclosed by personal data subjects independently or by persons on their behalf in verbal or written form by filling out various questionnaires, surveys, and forms posted on the Company’s website, on its social media sites or in the Company’s offices, as also by providing documents, resumes/CV in any possible way.

4.3. Personal data of the following personal data subjects is to be processed by the Company:

· applicants and candidates for employment by the Company;

· employees and former employees of the Company, their family members;

· customers and contractors of the Company (individuals), representatives of customers and contractors (legal entities).

4.4. The content of personal data that can be processed by the Company for each of the listed categories of subjects:

4.4.1. Applicants and candidates for employment by the Company:

· Surname, name, patronymic;

· Gender;

· Citizenship;

· Contact information (such as email address; network ID; contact phone numbers);

· Date and place of birth;

·  Details of personal identity document;

·  Address of residence and registration at the place of residence (at the place of stay);

· Education details, profession, specialty and qualification, details of academic certificates;

· Details of work experience and employment history (organization, period of work, business profile of the organization, position, principal duties);

· other information provided by the personal data subject as is necessary for employment purposes.

4.4.2. The list of personal data of employees, former employees of the Company that are processed in the Company and how they are processed will be regulated by internal policies and procedures of the Company.

4.4.3. Family members of the Company’s employees:

· Surname, name, patronymic;

· Kinship;

· Date of birth;

· other personal data provided by employees in accordance with requirements of the labor laws.

4.4.4. Customers and contractors of the Company (individuals):

· Surname, name, patronymic;

· Date and place of birth;

· Passport information;

· Address of residence and registration at the place of residence (at the place of stay);

· Contact information (such as email address; network ID; contact phone numbers);

· Taxpayer identification number;

· Insurance individual account number (SNILS);

· Banking details;

· Other personal data provided by customers and contractors (individuals) necessary for the entering into and execution of civil contracts.

4.4.5. Representatives (employees) of the Company’s customers and contractors (legal entities):

· Surname, name, patronymic;

· Passport information;

· Contact information (such as email address; network ID; contact phone numbers);

· Position in the organization indicating the company; date and place of birth;

· other personal data provided by representatives (employees) of customers and contractors necessary for the entering into and execution of civil contracts.

4.1. Обработка персональных данных в Обществе осуществляется исключительно в целях обеспечения соблюдения Конституции Российской Федерации, Федеральных законов и иных нормативных правовых актов, исполнения трудовых и гражданско-правовых договоров, содействия субъекту персональных данных в трудоустройстве, обеспечения личной безопасности субъекта персональных данных и обеспечения сохранности имущества Общества и субъекта персональных данных.

4.2.Общество обрабатывает персональные данные, раскрытые субъектами персональных данных самостоятельно либо лицами по их поручению в устной либо в письменной форме путем заполнения различных анкет, опросных листов, форм размещенных на сайте Общества, в ее социальных сетях либо в офисе Общества, а также, путем предоставления документов, резюме/CV любым возможным способом.

4.3. Обработке Общества подлежат персональные данные следующих субъектов персональных данных:

· соискатели и кандидаты для приема на работу в Общество;

· работники и бывшие работники Общества, члены их семей;

· клиенты и контрагенты Общества (физические лица), представители клиентов и контрагентов (юридических лиц).

4.4. Состав персональных данных, которые могут обрабатываться Обществом по каждой из перечисленных категорий субъектов:

4.4.1. Соискатели и кандидаты для приема на работу в Общество:

· фамилия, имя, отчество;

· пол;

· гражданство;

· контактные данные (включая, электронный адрес; сетевой идентификатор; номера контактных телефонов);

· дата и место рождения;

· реквизиты документа, удостоверяющего личность;

· адрес проживания и регистрации по месту жительства (по месту пребывания);

· сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;

· сведения об опыте и стаже работы (период работы, организация, сфера деятельности организации, должность, основные обязанности);

· иную информацию, представленную субъектом персональных данных, необходимую для целей трудоустройства.

4.4.2. Перечень персональных данных работников, бывших работников Общества, обрабатываемых Обществом, и порядок их обработки регулируются локальными нормативными актами Общества.

4.4.3. Члены семьи сотрудников Общества:

· фамилия, имя, отчество;

· степень родства;

· дата рождения;

· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.4.4. Клиенты и контрагенты Общества (физические лица):

· фамилия, имя, отчество;

· дата и место рождения;

· паспортные данные;

· адрес проживания и регистрации по месту жительства (по месту пребывания);

· контактные данные (включая, электронный адрес; сетевой идентификатор; номера контактных телефонов);

· индивидуальный номер налогоплательщика;

· страховой номер индивидуального лицевого счета (СНИЛС);

· банковские реквизиты;

· иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения гражданско-правовых договоров.

4.4.5. Представители (работники) клиентов и контрагентов Общества (юридических лиц):

· фамилия, имя, отчество;

· паспортные данные;

· контактные данные (включая, электронный адрес; сетевой идентификатор; номера контактных телефонов);

· должность в организации с указанием компании; дата и место рождения;

· иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

5.1. Personal data is processed by the Company in accordance with the requirements of the laws of the Russian Federation and the applicable personal data protection laws of the European Union, to the extent allowed by the laws of the Russian Federation.

5.2. When processing personal data, the Company may perform the following actions with personal data: collection, recording, structuring, accumulation, storage, rectification (updating or alteration), restriction, retrieval, use, transmission (dissemination, provision or otherwise making available), anonymization, blocking, erasure or destruction of personal data.

5.3. The Company will receive personal data of personal data subjects only in the following cases:

— When personal data is provided by the personal data subject in a free verbal or written form or through special forms on the Company’s website, in person or through authorized representatives;

— When personal data is obtained from publicly available sources;

— When personal data is received from third parties on the basis of concluded contracts, and the personal data subject must be notified of this in advance, with a written consent (or written refusal) to be obtained from him or her.

5.4. In the cases provided for by applicable laws, the personal data subject will decide to provide his or her personal data and give consent to the processing of their personal data voluntarily, willfully and for their own benefit.

5.5. The written consent of the personal data subject to the processing of their personal data must include:

5.5.1 Surname, first name, patronymic, address of the personal data subject, number of the basic identity document, date of issue of this document and the issuing authority;

5.5.2 Surname, name, patronymic, address of the representative of the personal data subject, number of the basic identity document, date of issue of this document and the issuing authority, details of the power of attorney or other document confirming powers of the representative (upon receipt of consent from the personal data subject);

5.5.3 Name and address of the Company;

5.5.4 Name or surname, name, patronymic and address of the person who will process personal data on behalf of the Company, if the person is to be entrusted with the processing;

5.5.5 Purpose of personal data processing;

5.5.6 List of personal data items in respect of which the personal data subject has given his or her consent to processing;

5.5.7 List of actions with personal data for which consent is given, a general description of the methods used by the organization for processing personal data;

5.5.8 The period during which the consent is valid, and the procedure for withdrawal of the consent;

5.5.9 Signature of the personal data subject.

5.6. The consent of the personal data subject is not required in the following cases:

5.6.1 Processing of personal data is carried out on the basis of a federal law that establishes its purpose, conditions for obtaining personal data and the range of subjects whose personal data is to be processed, and determines the authority of the organization;

5.6.2 Processing of personal data is carried out for the purpose of implementing a civil or employment contract, one of the parties or the beneficiary of which is the personal data subject;

5.6.3 Processing of personal data is necessary to protect the life, health or other vital interests of the personal data subject, if obtaining the consent of the personal data subject is not possible;

5.6.4 Processing of personal data is necessary for the delivery of postal items by postal organizations;

The Company will ensure the consistency of the content and volume of the processed personal data with the stated purposes of processing and, if necessary, will take appropriate measures to eliminate duplication of data in relation to the stated purposes of processing.

5.7. The Company will not process biometric or special categories of personal data related to race, nationality, political views, religious or philosophical beliefs, or intimate life, except in cases stipulated by the laws of the Russian Federation.

5.8. Personal data shall be processed by the Company as follows:

· Manual processing of personal data;

· Automated processing of personal data with or without transfer of the obtained information via information and telecommunication networks;

· Mixed processing of personal data.

5.9 Personal data shall not be disclosed or disseminated to third parties without the written consent of the personal data subject, unless otherwise provided by applicable federal laws.

5.10 The Company will not make decisions that would create legal consequences for the personal data subject or otherwise affect his or her rights and legitimate interests based solely on automated processing of personal data.

6. Access to personal data

6.1. In order to ensure the safety and confidentiality of personal data of personal data subjects any and all processing operations must be performed only by authorized persons;

6.1.1. Internal access:

6.1.1.1. Persons admitted to processing of personal data shall only be authorized employees of the Company whose job duties are related to the need for such access. The list of authorized persons who have access to personal data of employees, and the determination of specific information to which the authorized person of the Company is granted access, shall be set as to the order of the Director General of the Company.

For the purpose of the assigned task and on the basis of a memo with a positive resolution of the Director General of the Company, access to personal data may be granted to another employee who is not appointed by a person authorized to receive, process, store, transfer or use otherwise the personal data.

6.1.1.2.  Employees who have been granted access to personal data will accept obligations to ensure the confidentiality of personal data, which are determined by:

· An employment agreement;

· An obligation of non-disclosure of personal data;

· Job descriptions as relates to the ensuring of personal data security.

6.1.2. External access

6.1.2.1. To state authorities, other state bodies, and local self-government bodies that have the right to obtain information containing personal data in accordance with the applicable laws of the Russian Federation, personal data is transferred to the extent necessary for the performance of their functions.

6.1.2.2. Mandatory access to personal data will be provided in the following cases as prescribed by federal laws:

· in order to prevent threat to the life and health of the personal data subject;

· in order to protect the foundations of the constitutional system, morality, rights and legitimate interests of other persons;

· in order to ensure Russian national defense and state security, including when receiving official requests in accordance with the provisions of Federal Law No. 144-ФЗ “On Investigative Activities” dated 12.08.1995.

6.1.2.3. Recipients of personal data of personal data subjects within the limits of their powers established by federal laws shall be:

· Social Insurance Fund of the Russian Federation;

· Pension Fund of the Russian Federation;

· Tax authorities;

· The Federal Labor Inspection;

· Military Registration and Enlistment Offices;

· Law enforcement agencies (courts of general jurisdiction, arbitration courts, the Constitutional Court, the Prosecutor’s office, the Investigative Committee, the Federal Security Service, the Federal Customs Service, the Federal Service of Court Bailiffs, internal affairs agencies);

· trade unions and other bodies.

6.1.2.4 Organizations to which the subject of personal data can make money transfers (insurance companies, non-governmental pension funds, charitable organizations, credit institutions, etc.) can only access to his or her personal data if the subject of personal data has provided an appropriate written consent;

6.2. Personal data of a personal data subject may be provided to relatives or family members only with a written consent of the personal data subject.

5.1.Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации и применимого законодательства по защите персональных данных Европейского союза, в части, не противоречащей законодательству РФ.

5.2. При обработке персональных данных Общество может осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.3. Общество получает персональные данные субъектов персональных данных только в следующих случаях:

— при предоставлении персональных данных самим субъектом персональных данных в свободной устной или письменной форме либо через специальные формы, расположенные на сайте Общества лично или через уполномоченных представителей;

—  получения персональных данных из общедоступных источников;

— получение персональных данных от третьих лиц на основании заключенных договоров, при этом субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (либо письменный отказ).

5.4. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.5. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

5.5.1 Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

5.5.2 Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

5.5.3 Наименование и адрес Общества;

5.5.4 Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу;

5.5.5  Цель обработки персональных данных;

5.5.6 Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5.5.7 Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых организацией способов обработки персональных данных;

5.5.8 Срок, в течение которого действует согласие, а также порядок его отзыва;

5.5.9 Подпись субъекта персональных данных;

5.6. Согласие субъекта персональных данных не требуется в следующих случаях:

5.6.1 Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия организации;

5.6.2 Обработка персональных данных осуществляется в целях исполнения гражданско-правового или трудового договора, одной из сторон или выгодоприобретателем которого является субъект персональных данных;

5.6.3 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.6.4 Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи;

Общество обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.7. Общество не осуществляет обработку биометрических, а также, специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5.8. Обработка персональных данных в Обществе осуществляется следующими способами:

· неавтоматизированная обработка персональных данных;

· автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

· смешанная обработка персональных данных.

5.9 Не допускается раскрытие третьим лицам и распространение персональных данных без письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.10 В Обществе не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

6. Доступ к персональным данным

6.1. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов персональных данных все операции по их обработке должны выполняться только уполномоченными на то лицами;

6.1.1. Внутренний доступ:

6.1.1.1. К обработке персональных данных допускаются только уполномоченные сотрудники Общества, должностные обязанности которых связаны с необходимостью такого доступа. Перечень уполномоченных лиц, имеющих доступ к персональным данным работников, а также определение конкретных сведений, к которым уполномоченному лицу Общества предоставлен доступ, определяется приказом Генерального директораОбщества.

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора Общества, доступ к персональным данным может быть предоставлен иному сотруднику, который не назначен лицом, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных.

6.1.1.2.  Сотрудники, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности персональных данных, которые определены:

· трудовым договором;

· обязательством о неразглашении персональных данных;

· должностными инструкциями в части обеспечения безопасности персональных данных.

6.1.2. Внешний доступ

6.1.2.1. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей персональные данные в соответствии с действующим законодательством Российской Федерации, персональные данные передаются в пределах, необходимых для выполнения ими своих функций.

6.1.2.2. Обязательный доступ к персональным данным предоставляется в следующих случаях, предусмотренных федеральными законами:

· в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;

· в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;

· в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона Российской Федерации от 12.08.1995 е. № 144-ФЗ «Об оперативно-розыскной деятельности».

6.1.2.3. Получателями персональных данных субъектов персональных данных в пределах полномочий, установленных федеральными законами, являются:

· Фонд социального страхования Российской Федерации;

· Пенсионный фонд Российской Федерации;

· налоговые органы;

· Федеральная инспекция труда;

· военные комиссариаты;

· правоохранительные органы (суды общей юрисдикции, арбитражные суды, Конституционный суд, прокуратура, следственный комитет, Федеральная служба безопасности, Федеральная таможенная служба, Федеральная служба судебных приставов, органы внутренних дел);

· профессиональные союзы и иные органы.

6.1.2.4 Организации, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения и т.п.), могут получать доступ к его персональным данным только в случае письменного разрешения субъекта персональных данных;

6.2.  Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных.

7.1. The Company shall use personal information within the framework of the objectives established by this Policy and will not exceed those limits of usage, except for the cases expressly provided by the applicable laws.

7.2. Personal data may be processed by the Company for the following purposes:

· ensuring compliance with the Constitution of the Russian Federation, federal laws and other laws and regulations of the Russian Federation;

· personnel selection and subsequent employment;

· HR records management;

· implementation and performance of the functions, powers and duties assigned by the laws of the Russian Federation;

· compliance with laws in the field of labor and taxation;

· keeping current accounting and tax accounting; formation, production and timely submission of accounting, tax and statistical reports;

· exercise of the rights and legitimate interests of the Company within the framework of the activities provided for by the Articles of Organization and other bylaws of the Company;

· implementation of civil law relations;

· implementation of access control procedures;

· for other legitimate purposes.

7.3. The personal data obtained will only be used for the above purposes and will not be processed in any manner inconsistent therewith.

7.1. Общество использует персональные данные в рамках установленных настоящей Политикой целей и не будет выходить за эти рамки использования, за исключением случаев прямо предусмотренных применимым законодательством.

7.2. Персональные данные могут обрабатываться Обществом в следующих целях:

· обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

· подбор персонала и последующее трудоустройство;

· ведение кадрового делопроизводства;

· осуществление и выполнение возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

· выполнение требований законодательства в сфере труда и налогообложения;

· ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

· осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества;

· осуществление гражданско-правовых отношений;

· осуществление пропускного режима;

· в иных законных целях.

7.3. Полученные персональные данные будут использоваться только в вышеуказанных целях и не будут обрабатываться в дальнейшем несовместимым с этими целями способом.

9.1. To maintain the business reputation and ensure compliance with the applicable laws, the Company considers ensuring the legitimacy of personal data processing in the Company’s business processes and maintaining an appropriate level of security of personal data processed by the Company to be the most important objective.

9.2. To ensure the security of personal data during its processing, the Company will take all necessary legal, organizational, and technical measures to protect personal data from unauthorized or accidental access, destruction, modification, blocking, copying, provision, dissemination of personal data as well as from other illegal actions in respect of the personal data.

9.3 To protect and ensure the confidentiality of personal data, the Company’s employees who are admitted to process personal data shall comply with the internal rules and procedures regarding the processing of information. These persons will also comply with any and all technical and management security measures as may be necessary to protect personal data.

9.4 Technical security measures shall be implemented by the Company taking into account the requirements of applicable laws, state-of-the-art technology, the nature of the information being processed and the risks associated with the processing.

9.1. С целью поддержания деловой репутации и обеспечения выполнения требований применимого законодательства Общество считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Общества и обеспечение надлежащего уровня безопасности обрабатываемых в Обществе персональных данных.

9.2. С целью обеспечения безопасности персональных данных при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

9.3 Для защиты и обеспечения конфиденциальности персональных данных сотрудники Общества, допущенные к обработке персональных данных, соблюдают внутренние правила и процедуры в отношении обработки информации. Указанные лица также соблюдают все технические и организационные меры безопасности, необходимые для защиты персональных данных.

9.4 Технические меры безопасности реализованы Обществом с учетом требований применимого законодательства, современного уровня техники, характера обрабатываемой информации и рисков, связанных с ее обработкой.

10.1. Personal data submitted to the Company can potentially be transferred to the Company’s affiliates at the location of their offices in the United States, Poland, the United Kingdom, and Ireland. However, this will only be done to achieve the above goals with the appropriate level of security.

10.2. Before the start of cross-border transfer of personal data, the Company shall make sure that the foreign state to whose territory the personal data is intended to be transferred shall provide reliable protection of personal data subject rights.

10.3. Cross-border transfer of personal data to the foreign States that do not provide adequate protection of personal data subject rights can be carried out only if the personal data subject gives consent in writing to the cross-border transfer of their personal data.

10.1. Персональные данные, представленные Обществу, потенциально могут быть переданы аффилированным Обществу лицам по месту нахождения их офисов в США, Польше, Великобритании  и Ирландии. Однако, это будет сделано только для достижения вышеуказанных целей с обеспечением соответствующего уровня защиты.

10.2. Общество до начала трансграничной передачи персональных данных обязаоа убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

10.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных.

11.1. In accordance with the laws of the Russian Federation and the applicable EU legislation, the personal data subject shall have the right to:

• access to personal data;

• correct, rectify personal data;

• to block, destroy personal data;

• restrict the processing of personal data;

• object to the processing of personal data;

• request to transfer personal data;

• file a complaint with the supervisory authority, and

• withdraw his or her consent to the processing of personal data.

11.2. The information shall be provided to the personal data subject or his or her representative when contacting the Company in person or upon receipt of a proper request from the personal data subject or his or her representative.

11.3. The request must contain the number of the main document proving the identity of the personal data subject or his or her representative, the date of issuance of the document and the issuing authority, information confirming the participation of the personal data subject in relations with the Company (contract number, date of conclusion of the contract, verbal designation and/or other information), or other information confirming the processing of personal data by the Company, the signature of the personal data subject or his or her representative.

11.4. The data subject may submit a written request to the address: 196084, Russian Federation, Saint Petersburg, Kievskaya street, 5, building 4, DC Energo in the manner prescribed by articles 14, 20, 21 of Federal Law No. 152-ФЗ «On Personal Data» dated July 27, 2006. The request can be sent in the form of an electronic document and signed with an electronic signature in accordance with the laws of the Russian Federation.

11.5. The right of a personal data subject to access his or her personal data may be restricted in accordance with part 8 of article 14 of the Federal Law «On Personal Data», including if the access of a personal data subject to his or her personal data infringes upon the rights and legitimate interests of third parties.

11.6 The Company shall be entitled to dismiss repeated requests of the personal data subject. Such dismissal should be reasonable. It is the responsibility of the Company to prove the reasonableness of the dismissal of repeated requests.

11.7. The personal data subject has the right to obtain information related to the processing of his or her personal data, including information containing:

· certification of the fact of personal data processing by the Company;

· legal bases and objectives of the personal data processing;

· purposes and methods of personal data processing used by the Company;

· name and location of the Company, data related to persons (except for Company employees) who have access to the personal data or to whom the personal data may be disclosed on the basis of the contract with the Company, or on the basis of the applicable laws;

· processed personal data related to the personal data subject, source of the personal data unless another procedure for the provision of such data is prescribed by the applicable laws;

· time frames for personal data processing, including the term of retention;

· the procedure for exercising the rights under applicable laws for the personal data subject;

· information related to completed or proposed cross-border transfer of personal data;

· name or surname, name, patronymic and address of the person who will process personal data on behalf of the Company, if the person has been or is to be entrusted with the processing.

11.8. The personal data subject shall have the right to protection of his or her rights and legitimate interests in the manner prescribed by applicable laws, including indemnification for losses and/or compensation for moral harm in court.

12. Term and procedure for retention and destroying of personal data

12.1. The personal data obtained by the Company shall not be retained any longer than the purposes of personal data processing require unless a different term of retention of personal data is prescribed by the laws of the Russian Federation or by an agreement to which the personal data subject is a party, beneficiary or guarantor.

12.2. The term of retention of personal data processed in the PDIS by the Company shall correspond to the period of retention of personal data contained in physical media;

12.3. Personal data processed in the PDIS, and any physical media carrying personal data must be destroyed in the following cases:

· Withdrawal of the consent given by the personal data subject and absence of legitimate grounds for the Company to continue the processing of personal data, unless the Company is entitled to continue processing personal data without the consent of the personal data subject pursuant to the grounds provided for by Federal Law No. 152-ФЗ «On Personal Data» dated July 27, 2006;

· Receipt of request from a personal data subject for the destruction of his or her personal data if the personal data is outdated, inaccurate, illegally obtained, or is not necessary for the stated purpose of processing, if the Company does not have legitimate grounds for the processing;

· the need to achieve the purpose of personal data processing does not exist anymore;

· achieving the purpose of personal data processing.

12.4 Withdrawal of the subject’s consent

12.4.1 The need to destroy personal data in the event of withdrawal of consent arises when a request is received from the personal data subject unless the Company is entitled to continue processing personal data without the consent of the personal data subject pursuant to the grounds provided for by Federal Law No. 152-ФЗ «On Personal Data» dated July 27, 2006.

12.4.2 if the withdrawal of consent to the processing of personal data is received, the unit that received the request of the personal data subject will do the following:

· Register the request in the Log of Personal Data Subjects’ Requests.

· Check the fact of personal data processing, the grounds for personal data processing, and the grounds for withdrawal indicated in the request of the personal data subject.

· If, as a result of data check, there are grounds for withdrawing consent to the processing of personal data, the personal data subject is notified accordingly in writing.

· Manage the process of personal data destruction. Personal data is destroyed within thirty (30) business days from the date of receipt of the withdrawal of consent to the processing of personal data.

· If, as a result of data check, there are legitimate grounds for continuing the processing of personal data without consent to the processing of personal data, the personal data subject is notified accordingly in writing.

12.5 Destruction of outdated, inaccurate, illegally obtained, or redundant personal data (data not necessary for the stated purpose of processing)

12.5.1 If a request from the personal data subject to destroy any outdated, inaccurate, illegally obtained personal data or personal data that is not necessary for the stated purpose of processing is received, if the Company does not have legitimate grounds for the processing, the unit that received the request from the personal data subject will do the following:

· Register the request.

· Activate blocking (temporary termination of processing) of personal data from the moment of receipt of the request for a check-out period.

· Check the information (documents) provided by the data subject to confirm that the personal data is outdated or inaccurate within a period of not more than seven (7) business days.

· If any outdated or inaccurate personal data is found as a result of data check, the necessary changes must be introduced to the data and the data subject is notified accordingly in writing.

· Check the information (documents) submitted by the data subject to confirm that the personal data is illegally obtained or is not necessary for the stated purpose of processing within a period of not more than seven (7) business days.

· If, as a result of data check, it is confirmed that the personal data is illegally obtained or is not necessary for the stated purpose of processing, the personal data is destroyed and the data subject is notified accordingly in writing.

· Manage the process of personal data destruction. Personal data is destroyed within thirty (30) business days from the moment of detection of unlawful processing of personal data.

12.6 Loss of the need to achieve the purpose of personal data processing

12.6.1 The need to achieve the purposes of processing personal data of the data subject is lost if the use or further operations with personal data and ensuring its safety are not required for the Company’s operations anymore.

12.6.2 The Company department will initiate the process of destruction of personal data.

12.7 Achieving the purpose of personal data processing

12.7.1 The purpose of personal data processing is achieved if one of the following conditions is met:

· The current term of retention of personal data carriers has expired (except for those personal data carriers that are to be archived since such documents are processed in accordance with the RF laws on archiving in the Russian Federation.

· The period for processing personal data specified in the data subject’s written consent has expired.

· The terms of agreements that provide for the processing of personal data have expired.

12.7.2 Company departments will annually, within the framework of measures to control the state of personal data protection, provide a check of compliance with the terms of retention of personal data carriers.

12.7.3 Personal data must be destroyed within thirty (30) days of the occurrence of the events specified in clause 12.7.1.

12.7.4 The Company department will initiate the process of destruction of personal data.

12.8 The actual destruction of personal data is carried out by employees who are admitted to processing the specified personal data in the following way:

· Paper-based personal data is destroyed with the use of means of guaranteed destruction of the information.

· Electronic media carrying personal data shall, in cases where it not possible to destroy information with the use of means of guaranteed destruction, be destroyed by damaging the electronic media so that the information on them can not be restored later (shredding, degaussing, incineration, and other methods, depending on the medium type).

· Destruction of personal data in the PDIS is carried out by regular means of PDIS in accordance with the operating documentation.

12.9 The destruction of personal data is carried out by the Commission with a mandatory certificate of destruction of personal data to be drawn.

12.10 The certificate of destruction must contain the following information:

·composition of the Commission for the destruction of personal data;

·grounds for termination of processing and destruction of personal data;

· list or number of data subjects whose personal data is to be destroyed;

·name and/or identification number of the data carrier (the information system) on which it is necessary to destroy/delete personal data.

12.11 Members of the Commission shall:

· select personal data carriers to be destroyed;

· coordinate and approve the Certificate of destruction;

· conduct sequential destruction of personal data on the specified data carriers.

12.12 After signing, the Certificate of destruction is stored for 3 years.

13. Liability for breach of the rules governing the processing and protection of personal data

Those responsible for breach of the rules governing the processing and protection of personal data of personal data subjects shall be brought to disciplinary, material, civil, administrative and criminal responsibility in accordance with the procedures established by the Labor Code of the Russian Federation, the Administrative Offenses Code of the Russian Federation, the Criminal Code of the Russian Federation and other federal laws;

14. Final Provisions

The subject of personal data may receive any clarifications on issues of interest related to the processing of his or her personal data by contacting the Company in writing at the location address of the Company: 196084, Russian Federation, Saint Petersburg, Kievskaya street, 5, building 4, DC Energo or by using the contact information posted on the Company’s website.

This document will reflect any changes in the Policy for the processing of personal data of the Company. The Policy is valid indefinitely until it is replaced by a new revision.

11.1. В соответствии с законодательством РФ и применимым законодательством ЕС субъект персональных данных имеет право:

• на доступ к персональным данным;

• на исправление, уточнение персональных данных;

• на блокирование, уничтожение персональных данных;

• на ограничение обработки персональных данных;

• на возражение на обработку персональных данных;

• требовать перенести персональные данные;

• подать жалобу в орган надзора; а также,

• право отозвать согласие на обработку персональных данных.

11.2. Сведения предоставляются субъекту персональных данных или его представителю при обращении в Общество лично либо при получении запроса субъекта персональных данных или его представителя.

11.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.

11.4. Субъект персональных данных может отправить письменный запрос на адрес: 196084, Санкт-Петербург, Киевская улица, д.5, корпус 4, ДЦ «Энерго» в порядке, установленном ст. 14, 20, 21 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

11.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11.6 Общество вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

11.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

·подтверждение факта обработки персональных данных Обществом;

·правовые основания и цели обработки персональных данных;

·цели и применяемые Обществом способы обработки персональных данных;

·наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании применимого законодательства;

·обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен применимым законодательством;

·сроки обработки персональных данных, в том числе сроки их хранения;

·порядок осуществления субъектом персональных данных своих прав, предусмотренных применимым законодательством;

·информацию об осуществленной или о предполагаемой трансграничной передаче данных;

·наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.

11.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов в порядке, предусмотренном применимым законодательством, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. Срок и порядок хранения, и уничтожения персональных данных

12.1. Хранение полученных Обществом персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством РФ либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

12.2. Сроки хранения персональных данных, обрабатываемых в ИСПДн Обществом, соответствуют срокам хранения персональных данных, содержащихся на материальных носителях;

12.3. Персональные данные, обрабатываемые в ИСПДн, а также материальные носители персональных данных должны быть уничтожены в следующих случаях:

·отзыв согласия субъектом персональных данных и отсутствие у Общества законных оснований для продолжения обработки персональных данных, если Общество не вправе продолжить обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

·получение запроса субъекта персональных данных об уничтожении его персональных данных, если персональные данные являются устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в случае отсутствия у Общества законных оснований для обработки;

·утрачена необходимость в достижении цели обработки персональных данных;

·достижение цели обработки персональных данных.

12.4 Отзыв согласия субъекта

12.4.1 Необходимость уничтожения персональных данных в случае отзыва согласия  возникает при поступлении запроса от субъекта персональных данных, если Общество не вправе продолжить обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

12.4.2 В случае получения отзыва согласия на обработку персональных данных структурное подразделение, в которое поступил запрос субъекта персональных данных, выполняет следующие действия:

·Регистрирует обращение (запрос) в Журнале учета обращений субъектов персональных данных.

·Осуществляет проверку сведений о фактах обработки персональных данных, основаниях обработки персональных данных и причинах отзыва, указанных в запросе субъекта персональных данных.

·Если в результате проверки сведений имеются основания для отзыва согласия на обработку персональных данных, то субъект уведомляется об этом в письменной форме.

·Организует процесс уничтожения персональных данных. Персональные данные уничтожаются в течение 30 (тридцати) рабочих дней с момента поступления отзыва согласия на обработку персональных данных.

·Если в результате проверки сведений имеются законные основания для продолжения обработки персональных данных без согласия на обработку персональных данных, то субъект персональных данных уведомляется об этом в письменной форме.

12.5 Уничтожение устаревших, неточных, незаконно полученных или избыточных персональных данных (не являющихся необходимыми для заявленной цели обработки)

12.5.1 В случае получения запроса субъекта персональных данных на уничтожение устаревших, неточных, незаконно полученных персональных данных или персональных данных, не являющихся необходимыми для заявленной цели обработки, в случае отсутствия у Общества законных оснований для обработки, структурное подразделение, в которое поступил запрос субъекта персональных данных, выполняет следующие действия:

·Регистрирует обращение (запрос).

·Осуществляет блокирование (временное прекращение обработки) персональных данных с момента получения запроса на период проверки.

·Осуществляет проверку предоставленных субъектом сведений (документов), подтверждающих, что персональные данные являются устаревшими, неточными, в срок не более 7 (семи) рабочих дней.

·Если в результате проверки сведений выявлены устаревшие или неточные персональные данные, то в них вносятся необходимые изменения и субъект уведомляется об этом в письменной форме.

·Осуществляет проверку предоставленных субъектом сведений (документов), подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок не более 7 (семи) рабочих дней.

·Если в результате проверки сведений получено подтверждение, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, то осуществляется уничтожение персональных данных и субъект уведомляется об этом в письменной форме.

·Организует процесс уничтожения персональных данных. Персональные данные уничтожаются в течение 30 (тридцати) рабочих дней с момента выявления неправомерной обработки персональных данных.

12.6 Утрата необходимости в достижении цели обработки персональных данных

12.6.1 Необходимость в достижении целей обработки персональных данных субъекта персональных данных утрачена, если использование, совершение дальнейших операций с персональных данных и обеспечение их сохранности более не требуется для осуществления деятельности Общества.

12.6.2 Структурное подразделение Общества инициирует процесс уничтожения персональных данных.

12.7 Достижение цели обработки персональных данных

12.7.1 Цель обработки персональных данных достигнута, если выполнено одно из следующих условий:

·Сроки текущего хранения носителей персональных данных истекли (кроме тех носителей персональных данных, которые подлежат передаче в архив, т. к. обработка таких документов производится в соответствии с законодательством РФ об архивном деле в Российской Федерации.

·Сроки обработки персональных данных, указанные в письменном согласии субъекта, истекли.

·Условия договоров, в которых предусмотрены сроки обработки персональных данных, истекли.

12.7.2 Структурные подразделения Общества ежегодно, в рамках осуществления мероприятий по контролю состояния защиты персональных данных, организуют проверку соблюдения сроков хранения носителей персональных данных.

12.7.3 Персональные данные должны быть уничтожены в течение 30 (тридцати) дней с момента наступления событий, указанных в п. 12.7.1.

12.7.4 Структурное подразделение Общества инициирует процесс уничтожения персональных данных.

12.8 Уничтожение персональных данных осуществляется работниками, допущенными к обработке указанных персональных данных, следующим путем:

·Уничтожение бумажных носителей персональных данных осуществляется с использованием средств гарантированного уничтожения информации.

·Уничтожение электронных носителей персональных данных в случаях, если отсутствует возможность уничтожения информации с использованием средств гарантированного уничтожения, осуществляется путем нанесения электронному носителю повреждений, обеспечивающих невозможность последующего восстановления записанной на него информации (измельчение, размагничивание, сжигание и иные способы, в зависимости от типа носителя).

·Уничтожение персональных данных в ИСПДн осуществляется штатными средствами ИСПДн в соответствии с эксплуатационной документацией.

12.9 Уничтожение персональных данных осуществляется Комиссией с обязательным составлением Акта уничтожения персональных данных.

12.10 Акт уничтожения персональных данных должен содержать следующую информацию:

·состав Комиссии по уничтожению персональных данных;

·основания для прекращения обработки и уничтожения персональных данных;

·перечень или количество субъектов, персональные данные которых подлежат уничтожению;

·наименование и/или идентификационный номер носителя (информационной системы), на котором необходимо произвести уничтожение/удаление персональных данных.

12.11 Члены комиссии:

·осуществляют отбор носителей персональных данных, подлежащих уничтожению;

·согласовывают Акт уничтожения;

·проводят последовательное уничтожение персональных данных на указанных носителях.

12.12. После подписания Акт уничтожения хранится в течение 3-х лет.

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных субъектов персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Уголовным кодексом Российской Федерации и иными федеральными законами;

14. Заключительные положения

Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись с письменным запросом по месту нахождения  Общества: 196084, Санкт-Петербург, Киевская улица, д.5, корпус 4, ДЦ «Энерго» либо посредством контактной информации, размещенной на сайте Общества.

В данном документе будут отражены любые изменения Политики обработки персональных данных Общества. Политика действует бессрочно до замены ее новой версией.