Политика обработки персональных данных в ООО «РТК

Политика обработки персональных данных
в ООО «РТК – СР»

Редакция 1

Автоматизированная обработка персональных данных;Обработка персональных данных с помощью средств вычислительной техники Блокирование персональных данных; Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) ДГПХ;Договор гражданско-правового характера ИНН; Идентификационный номер налогоплательщика Информационная система персональных данных, ИСПДн; Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Материальный носитель персональных данных; Бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники) Обезличивание персональных данных; Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных Обработка персональных данных; Действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Общество, ООО «РТК – СР»; Общество с ограниченной ответственностью «РТК – Специальные решения» Оператор персональных данных; Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте Политики Общество является оператором персональных данных ПАО «Ростелеком»;Публичное акционерное общество «Ростелеком» Персональные данные, ПДн; Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) Предоставление персональных данных; Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц Политика; Политика обработки персональных данных в ООО «РТК – СР» (настоящий документ) Работник; Физическое лицо, вступившее в трудовые отношения с ООО «РТК – СР» Распространение персональных данных; Действия, направленные на раскрытие персональных данных неопределенному кругу лиц СНИЛС; Страховой номер индивидуального лицевого счета Субъект персональных данных; Физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных Уничтожение персональных данных; Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

1. Назначение Политики

Политика определяет основные принципы, цели и условия обработки ПДн, перечни субъектов и категорий ПДн, функции Общества при обработке ПДн, а также реализуемые в Обществе требования к защите ПДн.

Обработка ПДн, объем и содержание обрабатываемых ПДн определяются в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.

Политика включает приложения:

Приложение № 1 «Категории субъектов персональных данных, цели обработки персональных данных, категории обрабатываемых в ООО «РТК-СР» персональных данных»;
Приложение № 2 «Перечень рисков Общества при обработке персональных данных».

2. Область применения

Политика является общедоступной и подлежит размещению на информационном стенде офиса и на сайте Общества в информационно-телекоммуникационной сети Интернет.

Требования Политики являются обязательными для исполнения всеми работниками Общества.

3. Нормативные документы

Политика разработана с учетом положений действующего законодательства Российской Федерации, в том числе следующих нормативных документов:

Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»;
Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».

Правовыми основаниями обработки ПДн Обществом, на основании которых допускается обработка ПДн, с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий, являются:

согласие субъекта ПДн на обработку его ПДн, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории ПДн;
положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПДн, включая, но не ограничиваясь:

Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»;
Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;
обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
права и законные интересы Общества, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
обработка ПДн в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн.

4. Цели обработки персональных данных Обществом

Обработка ПДн работников реализуется в следующих целях:

заключение, исполнение и прекращение трудовых договоров и ведение кадрового учета;
расчет и выплата заработной платы, премий и других видов вознаграждения.
оформление и предоставление социальных гарантий, включая пенсионное обеспечение, медицинское страхование и другие социальные программы;
ведение воинского учета;
обеспечение безопасности работников на рабочем месте, гражданской обороны, проведение инструктажей по охране труда и предотвращению производственного травматизма;
организация и проведение обучения, повышение квалификации и профессионального развития работников;
контроль доступа работников к объектам Общества;
идентификация и аутентификация пользователей информационных ресурсов Общества, внешних по отношению к Обществу информационных систем в интересах Общества;
обеспечение информационной безопасности Общества, защиты информации от несанкционированного доступа и распространения;
эффективная коммуникация работников между собой и с внешними контрагентами.
соблюдение законодательных требований, в том числе налогового, трудового и миграционного законодательства.

Обработка ПДн третьих лиц реализуется Обществом в следующих целях:

ведение деловой переписки, подготовка и подписание договоров и отчетной документации по закрытию договоров, взаимодействие с контрагентами в рамках выполнения договорных обязательств;
идентификация и верификация контрагентов, включая проверку их благонадежности и соответствия требованиям законодательства;
осуществление финансовых операций, включая расчеты по договорам, выставление счетов и проведение платежей;
оказание технической поддержки, консультаций и других услуг, предусмотренных условиями договоров;
получение обратной связи контрагентов, отправка информационных материалов и проектов документов, при условии получения согласия на такие действия;
соблюдение законодательных требований, в том числе налогового, антимонопольного и контрактного законодательства;
анализ и улучшение качества предоставляемых услуг, оптимизация бизнес-процессов и повышение удовлетворенности клиентов.

Общество обязуется обрабатывать ПДн исключительно в указанных выше целях, строго соблюдать принципы законности, справедливости и прозрачности, а также обеспечивать конфиденциальность и безопасность ПДн.

5. Принципы обработки персональных данных в обществе

Обработка ПДн в Обществе осуществляется на законной основе.

Трансграничная передача ПДн, а также накопление, хранение, обработка ПДн за пределами Российской Федерации Обществом не осуществляется.

Обществом не обрабатываются специальные категории ПДн и биометрические ПДн. Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Обработке в Обществе подлежат только ПДн, которые отвечают целям их обработки. Общество не допускает обработку ПДн, несовместимых с целями сбора ПДн.

В Обществе реализуется обработка ПДн третьими лицами (ПАО «Ростелеком») в интересах Общества, для реализации следующих услуг:

ведение бухгалтерского и налогового учета;
техническая поддержка;
казначейское сопровождение;
подготовка статистической отчетности в Росстат;
информационно-справочная поддержка по заработной плате;
кадровое администрирование;
документационное сопровождение и архивирование кадровых документов.

В Обществе осуществляется постоянный учет действующих согласий на обработку ПДн субъектов ПДн.

При обработке ПДн Общество обеспечивает их достаточность и актуальность по отношению к целям обработки ПДн.

В согласии на обработку ПДн в явном виде указываются перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых способов обработки ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, а также указание на способ обработки ПДн (автоматизированная обработка ПДн, либо обработка ПДн без использования средств автоматизации).

Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

6. Объем и категории обрабатываемых персональных данных, категории субъектов и персональных данных

Содержание и объем обрабатываемых ПДн должны соответствовать заявленным Обществом целям обработки ПДн. В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет для каждой цели соответствующие категории и перечень обрабатываемых ПДн, а также категории субъектов ПДн.

Категории субъектов ПДн, перечень обрабатываемых Обществом категорий ПДн в соответствии с заявленными целями обработки ПДн приведены в Приложении № 2 к Политике.

7. Порядок и условия обработки персональных данных

В зависимости от целей обработка ПДн может включать в себя совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Общество, получая доступ к ПДн, обязано не раскрывать и не распространять третьим лицам ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным Обществом целям их обработки.

Технические меры защиты ПДн реализуются в соответствии техническими мерами по защите конфиденциальной информации, предусмотренными локальными нормативными актами Общества в области защиты конфиденциальной информации в информационных системах и информационных активах Общества.

8. Обеспечение безопасности персональных данных

При обработке ПДн Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты ПДн.

Общество соблюдает обязанности оператора ПДн, установленные статьями № 18 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом делегирования ПАО «Ростелеком» обработки ПДн работников.

В Обществе и у контрагентов Общества, обрабатывающих ПДн в интересах Общества, определены и реализуются следующие требования законодательства в области защиты ПДн:

требования о соблюдении конфиденциальности ПДн;
требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
требования об обязанностях Общества при сборе ПДн.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн, в частности:

в Обществе назначены ответственные за обработку и защиту ПДн;
определены угрозы безопасности, в том числе для ПДн, при их обработке в информационных системах ПДн;
проводятся мероприятия в целях обнаружения фактов несанкционированного доступа к ПДн и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
определены мероприятия, направленные на восстановление ПДн в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
ведется учет машинных носителей ПДн;
проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
для информационных систем Общества, обрабатывающих ПДн, разрабатывается система защиты информации для ИСПДн, учитывающая требования подзаконных актов Российской Федерации в области защиты ПДн и результаты моделирования угроз и нарушителей в том числе в области ИСПДн;
применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
в Обществе изданы локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, процедуры, направленные на устранение последствий таких нарушений;
проводится ознакомление работников, допущенных к обработке ПДн субъектов ПДн, с требованиями, установленными действующим законодательством Российской Федерации в области ПДн, Политикой, а также локальными нормативными актами Общества и/или обучение указанных работников;
организован порядок работы с ПДн, осуществляемый без использования средств автоматизации (в том числе организация хранения документов, содержащих ПДн, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без использования средств автоматизации);
осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике, локальным актам Общества;
проводится оценка вреда, который может быть причинен субъектам ПДн в Обществе в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9. Хранение персональных данных

Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

При осуществлении хранения ПДн Общество использует собственные базы данных, либо на договорной основе базы данных информационных систем ПАО «Ростелеком», находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка ПДн в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (шкаф с ключом) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

При хранении материальных носителей ПДн соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.

10. Актуализация и уничтожение ПДн

В случае подтверждения факта неточности ПДн они подлежат актуализации Обществом.

Обработка ПДн прекращается Обществом в случае выявления и подтверждения факта неправомерности их обработки.

ПДн подлежат уничтожению Обществом в случаях достижения целей обработки ПДн, а также надлежащим образом оформленного отзыва субъектом ПДн согласия на их обработку. При этом в случае получения Обществом отзыва субъектом ПДн согласия на их обработку Общество вправе продолжить такую обработку, если она предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн или обработка ПДн требуется для исполнения требований действующего законодательства Российской Федерации.

Уничтожение ПДн производится с соблюдением Требований к подтверждению уничтожения ПДн, которые утверждены Приказом Роскомнадзора от 28.10.2022 № 179.

11. Ответы на запросы субъектов ПДн на доступ к персональным данным

Общество осуществляет прием и обработку обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта ПДн в соответствии с общим порядком документационного обеспечения, утвержденного Обществом.

При рассмотрении обращений либо при получении запросов субъектов ПДн Общество руководствуется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Общество, получив обращение либо запрос субъекта ПДн, содержащие информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», убедившись в законности такого обращения либо запроса, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на предоставление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом предоставляемые Обществом сведения не могут содержать ПДн других субъектов ПДн. Исключение составляют случаи, при которых в соответствии с нормативно правовой базой Российской Федерации Общество обязано передать ПДн третьим лицам.

Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту ПДн или его представителю в случае наличия у Общества законных оснований.

Процесс обработки запросов субъектов ПДн или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Общества по организации документационного обеспечения.

12. Хранение Политики

Подлинник Положения во время срока действия хранится в офисе Общества по адресу: г. Москва, ул. проспект Вернадского, д. 41, этаж 12.

13. Рассылка и актуализация Политики

Периодический пересмотр и актуализация Политики проводятся Директором по информационной безопасности Общества по мере необходимости.

Решение об инициировании процесса внесения изменений в Политику принимает Директор по информационной безопасности Общества на основании изменений регуляторных требований, предложений других подразделений Общества, результатов применения Политики в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций по результатам проведения внутренних или внешних аудитов.

Актуальная версия Политики размещается на Интернет-портале Общества.

Ответственность за инициирование размещения и поддержание в актуальном состоянии Политики, а также доведение информации о месте размещения актуальной версии Политики до всех заинтересованных подразделений, несет лицо, ответственное в Обществе за организацию обработки ПДн.

Приложение № 1
Категории субъектов персональных данных, цели обработки персональных данных, категории обрабатываемых в ООО «РТК – СР» персональных данных

В рамках производственной деятельности Общество самостоятельно определяет цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются. Полный перечень целей обработки ПДн, а также соответствующих им категории субъектов ПДн и обрабатываемых ПДн, приведены в Таблице 1.

Таблица 1 — Цели обработки и категории субъектов ПДн

№ п/п	Цели обработки ПДн	Категории субъектов ПДн	Перечень обрабатываемых ПДн
1.	Ведение кадрового и бухгалтерского учета	Работники, члены семьи работников	- Фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество в случае их изменения); - Число, месяц, год рождения; - Место рождения; - Гражданство; - ИНН; - СНИЛС; - Адрес регистрации (по месту пребывания, месту жительства), адрес фактического проживания; - Реквизиты документа, удостоверяющего личность; - Отношение к воинской обязанности и сведения, отраженные в документах воинского учета; - Номер телефона; - Адрес электронной почты; - Сведения о семейном положении, о составе семьи, включая фамилии, имена, отчества, даты рождения членов семьи; - Реквизиты свидетельств о государственной регистрации актов гражданского состояния; - Сведения о годности по состоянию здоровья выполнять трудовую функцию в Обществе; - Сведения об образовании, квалификации или наличии специальных знаний, в том числе о послевузовском профессиональном образовании (включая наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), сведения о наличии ученой степени, о профессиональной переподготовке и (или) повышении квалификации; - Информация о владении иностранными языками, степень владения ими; - Сведения о наличии государственных и ведомственных наград, иных наград и знаков отличия; - Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.); - Сведения о судимости в случае увольнения работника по пункту 4 части 1 ст. 83 Трудового кодекса Российской Федерации (осуждение работника к наказанию, исключающему продолжение работы в соответствии с приговором суда, вступившим в законную силу); - Сведения об учредительской деятельности (в отношении учредителя, участника (акционера) коммерческой организации) с указанием месяца и года учреждения организации, доли участия, адреса и номера телефонов организации; - Сведения о наличии автомобиля, водительских прав; - Фотография; - Сведения о состоянии здоровья (листки нетрудоспособности); - Документы об инвалидности, медицинские заключения
2.	Обеспечение соблюдения налогового законодательства Российской Федерации	Работники	- Фамилия, имя, отчество - Год рождения; - Месяц рождения; - Дата рождения; - Место рождения; - Семейное положение; - Доходы; - Пол; - Адрес места жительства; - Номер телефона; - СНИЛС; - ИНН; - Гражданство; - Данные документа, удостоверяющего личность за пределами Российской Федерации; - Профессия; - Должность
3.	Обеспечение соблюдения пенсионного законодательства Российской Федерации	Работники	- Фамилия, имя, отчество; - Дата рождения; - Месяц рождения; - Год рождения; - Место рождения; - Доходы; - Пол; - Адрес места жительства; - СНИЛС; - ИНН; - Гражданство; - Данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
4.	Добровольное медицинское страхование	Работники	- Фамилия, имя, отчество; - Число, месяц, год рождения; - Место рождения; - Адрес регистрации (по месту пребывания, месту жительства), адрес фактического проживания; - Данные документа, удостоверяющего личность
5.	Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением	Лица, проходящие производственную практику	- Фамилия, имя, отчество; - Число, месяц, год рождения; - Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, в том числе, данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, наименование органа, выдавшего его, дата выдачи)
6.	Обучение и продвижение по карьере	Работники	- Фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество в случае их изменения); - Число, месяц, год рождения; - Адрес места жительства; - Адрес регистрации; - Данные документа, удостоверяющего личность; - СНИЛС; - ИНН; - Сведения об образовании; - Профессия, специальность; - Сведения о трудовой деятельности (в том числе стаж работы и должность, данные о трудовой занятости на текущее время с указанием наименования организации); - Адрес электронной почты; - Номер телефона
7.	Осуществление начислений и перечислений денежных средств	Работники; Агенты по ДГПХ	- Фамилия, имя, отчество; - Номер банковского лицевого счета для перечисления заработной платы или платы за выполненную работу (оказанную услугу); - Информация о заработной плате, в том числе, сведения о сумме заработной платы, иных выплат и вознаграждений за текущий календарный год и два календарных года, предшествующих прекращению предыдущей работы; - Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, в том числе, данные паспорта, удостоверяющего личность гражданина Российской Федерации
8.	Контроль количества и качества выполняемой работы работником	Работники	- Фамилия, имя, отчество; - Должность; - Табельный номер
9.	Контроль количества и качества выполняемой работы контрагентами	Агенты по ДГПХ; Представители контрагентов	- Фамилия, имя, отчество; - Должность
10.	Размещение на внутренних информационно-справочных ресурсах Общества	Работники; Учредители Общества и члены Совета директоров	- Фамилия, имя, отчество; - Месяц рождения; - Дата рождения; - Фотография; - Должность
11.	Обеспечение охраны здоровья и жизни, личной безопасности, планирование оповещения на случай непредвиденных обстоятельств	Работники	- Фамилия, имя, отчество; - Год рождения; - Номер телефона; - Адрес места жительства; - Адрес регистрации; - СНИЛС
12.	Организация развлекательных, маркетинговых, образовательных и других программ и мероприятий	Работники; Участники развлекательных, маркетинговых, образовательных и других программ и мероприятий	- Фамилия, имя, отчество; - Номер телефона; - Число, месяц, год рождения
13.	Организация рабочего процесса в части обеспечения электронного документооборота между Обществом, его дочерними и зависимыми обществами, включая указанных юридических лиц, предоставление работникам информации и средств, необходимых для исполнения ими обязанностей, возникших на основании договоров, заключенных с Обществом и/или его дочерними и зависимыми обществами	Работники, Агенты по ДГПХ, Представители контрагентов	- Фамилия, имя, отчество; - Должность; - Адрес электронной почты
14.	Информационное взаимодействие с контрагентами (партнерами) и/или иными третьими лицами по вопросам деятельности Общества в том числе, в целях защиты и представления интересов Общества, осуществления договорной, закупочной и предпринимательской деятельностей	Работники; Представители контрагентов	- Фамилия, имя, отчество; - Должность; - Адрес электронной почты; - Номер телефона
15.	Содействие в обучении и трудоустройстве	Кандидаты на вакантные должности; Лица, проходящие производственную практику	- Фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество в случае их изменения); - Число, месяц, год рождения; - Место рождения; - Гражданство; - Адрес регистрации (по месту пребывания, месту жительства) / адрес фактического проживания; - Отношение к воинской обязанности и сведения, отраженные в документах воинского учета; - Номер телефона, адрес электронной почты или сведения о других способах связи; - Сведения о семейном положении, о составе семьи, включая фамилии, имена, отчества, даты рождения супругов и близких родственников (отца, матери, братьев, сестер и детей, в том числе усыновителей и усыновленных, дедушек, бабушек и внуков); реквизиты свидетельств о государственной регистрации актов гражданского состояния; - Сведения о годности по состоянию здоровья выполнять трудовую функцию в Обществе; - Сведения об образовании, квалификации или наличии специальных знаний, в том числе о послевузовском профессиональном образовании (включая наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), сведения о наличии ученой степени, о профессиональной переподготовке и (или) повышении квалификации; - Информация о владении иностранными языками, степень владения ими; - Информация об оформленных допусках к государственной тайне; - Сведения о наличии государственных и ведомственных наград, иных наград и знаков отличия; - Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.); - Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, в том числе, данные паспорта, удостоверяющего личность гражданина Российской Федерации; - Реквизиты страхового свидетельства обязательного пенсионного страхования; Идентификационный номер налогоплательщика; - Сведения о наличии родственников / знакомых, работающих в Обществе; - Сведения о наличии автомобиля, водительских прав; - Фотография; - Сведения о состоянии здоровья; - Документы об инвалидности, медицинские заключения; - Сведения о судимости в случае увольнения работника по пункту 4 части 1 статьи 83 Трудового кодекса Российской Федерации (осуждение работника к наказанию, исключающему продолжение работы в соответствии с приговором суда, вступившим в законную силу)
16.	Исполнение заключенных договоров (реализация договорных отношений)	Клиенты; Представители клиентов; Агенты по ДГПХ; Представители контрагентов	- Фамилия, имя, отчество; - Число, месяц, год рождения; - Место рождения; - Псевдоним; - Гражданство; - Адрес регистрации (по месту пребывания, месту жительства) / адрес фактического проживания; - Номер лицевого счета; - Номер телефона; - Адрес электронной почты; - Данные документа, удостоверяющего личность; - Идентификатор банковской карты; - Идентификатор пользовательского (оконечного) оборудования иностранного гражданина или лица без гражданства
17.	Обеспечение соблюдения прав и законных интересов субъекта ПДн, уполномочившего представителя на представление его интересов во взаимоотношениях с Обществом	Представители субъектов ПДн	- Фамилия, имя, отчество; - Год рождения; - Месяц рождения; - Дата рождения; - Номер телефона; - Адрес электронной почты; - Вид документа, удостоверяющего личность; - Реквизиты документа, удостоверяющего личность
18.	Ответы на запросы государственных и муниципальных органов власти	Физические лица, указанные в запросах органов исполнительной власти	- Фамилия, имя, отчество; - Должность; - Адрес электронной почты; - Номер телефона; - Иные ПДн, указанные в запросе органа исполнительной власти
19.	Обеспечение соблюдения законодательства Российской Федерации о противодействии легализации финансированию терроризма	Клиенты; Связанные с Клиентами лица; Представители Клиентов, Выгодоприобретатели	- Фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая); - Гражданство; - Дата рождения; - Реквизиты документа, удостоверяющего личность; Данные документов, подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации (если наличие таких документов обязательно в соответствии с международными договорами Российской Федерации и законодательством Российской Федерации); - Адрес места жительства (регистрации) или места пребывания; - ИНН при его наличии); - Принадлежность к публичным должностным лицам

К членам семьи относятся: супруг, супруга, родственники по прямой восходящей и нисходящей линии (родители и дети в том числе усыновленные, дедушка, бабушка и внуки), полнородные и не полнородные (имеющие общих отца или мать) братья и сестры.

Приложение № 2
Перечень рисков при обработке персональных данных

Перечень рисков при обработке персональных данных приведен в Таблице 2.

Таблица 2 — Риск при обработке ПДн

№ п/п	Риск	Описание
1	Риск несанкционированного доступа	Неавторизованный доступ к ПДн может быть осуществлен как внутренними, так и внешними злоумышленниками, что может привести к утечке или манипуляции данными
2	Риск утечки данных	Утечка ПДн, включая случайную или умышленную передачу данных третьим лицам, может нарушить конфиденциальность и привести к юридическим и финансовым последствиям для организации
3	Риск физического повреждения или потери данных	Потеря или повреждение носителей с ПДн в результате физических воздействий (пожар, затопление, кража, повреждение устройства) может привести к уничтожению данных или утрате доступа к ним
4	Риск нарушения законодательства	Несоответствие внутренним регламентам и требованиям законодательства по защите ПДн (например, Федеральному закону № 152-ФЗ) может привести к штрафам и репутационным потерям для организации
5	Риск некорректной обработки данных	Ошибки при обработке, изменении или удалении ПДн, включая непреднамеренное нарушение целостности данных, могут привести к утрате точности данных или созданию ложных записей
6	Риск использования устаревших технологий	Использование устаревших или незащищенных программных и аппаратных решений для хранения и обработки ПДн повышает вероятность утечки или взлома данных
7	Риск недостаточной защиты при передаче данных	Отсутствие должных мер безопасности при передаче ПДн (например, по незащищенным каналам связи) может привести к их перехвату или изменению
8	Риск человеческого фактора	Ошибки со стороны работников, такие как случайная передача данных несанкционированным лицам, потеря носителей данных или неправильное использование систем, могут стать причиной утечек или утраты ПДн
9	Риск злоупотребления правами доступа	Избыточные права доступа работников к ПДн могут привести к их несанкционированному копированию, использованию, изменению или уничтожению данных
10	Риск ненадежных контрагентов	Передача ПДн третьим лицам (например, контрагентам, подрядчикам) с недостаточным уровнем защищенности ПДн защитой может привести к утечке данных
11	Риск отказа от ответственности или несоответствия договорным обязательствам	Несоответствие условий договоров по обработке ПДн и отсутствие должного контроля за их соблюдением может создать юридические риски для организации
12	Риск несвоевременного реагирования на инциденты безопасности	Несвоевременное обнаружение или реагирование на инциденты, связанные с нарушением безопасности ПДн (например, утечка данных), может привести к репутационному либо финансовому ущербу для Общества
13	Риск недостаточной подготовки и обучения работников	Отсутствие регулярного обучения работников по вопросам информационной безопасности может привести к ошибкам при обработке ПДн и угрозам безопасности
14	Риск недостаточной безопасности при удаленном доступе	Недостаточные меры безопасности при удаленном доступе к информационным активам Общества (например, использование незащищенных сетей или устройств) могут привести к утечке ПДн или компрометации их целостности
15	Риск нарушения порядка уведомления уполномоченного органа	Неосуществление информирования Роскомнадзора об инцидентах, связанных с обработкой ПДн и повлекших нарушение прав субъектов, в порядке, установленном Федеральным законом № 152-ФЗ, может привести к административной ответственности и усилению надзорных мер в отношении организации