Политика ООО «ЦП КАМАЗ» в отношении обработки персональных данных
  1. Общие положения
1.1. Политика ООО «ЦП КАМАЗ» в отношении обработки персональных данных (далее – Политика) разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «ЦП КАМАЗ» (далее – Общество) персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
1.2. Политика разработана с учетом требований законодательства Российской Федерации (далее – РФ) в области персональных данных.
1.3. Целью Политики является информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в Обществе основополагающих принципов законности, справедливости, неизбыточности, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.
1.4. Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, является одной из приоритетных задач Общества.
1.5. Политика действует в отношении всех персональных данных, обрабатываемых в Обществе, и является общедоступным документом.
1.6. Политика вступает в силу с момента его утверждения генеральным директором и действует до его отмены приказом генерального директора или до введения в действие новой Политики. Внесение изменений в Политику производится приказом генерального директора. Изменения вступают в силу с момента подписания соответствующего приказа.
1.7. Во исполнение требований ч. 2, ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе на сайте Общества (далее – Оператор) по адресу: https://drt.chelnok.space/.
1.8. Запросы субъектов персональных данных в отношении обработки их персональных данных у Оператора, отзывы согласия на обработку персональных данных принимаются по адресу: 423827, Республика Татарстан, г. Набережные Челны, проспект Автозаводский, дом 2, кабинет 516 или по электронной почте support@chelnok.space в соответствии с разделом 8 Политики.

2. Основные термины и определения, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информация – сведения (сообщения, данные) независимо от формы их представления.
2.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – ООО «ЦП КАМАЗ», самостоятельно или совместно с другими лицами, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.13. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных осуществляется на законной и справедливой основе, в соответствии с принципами и условиями обработки персональных данных, установленными законодательством РФ в области персональных данных.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
3.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и (или) обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ в области персональных данных, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ в области персональных данных.

4. Основные права и обязанности Оператора

4.1. Оператор имеет право:

  • Получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
  • В случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
  • Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ в области персональных данных;
  • Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных;
  • Разрабатывать и утверждать приказом генерального директора отдельную политику в отношении обработки персональных данных в рамках реализуемых им проектов при условии ее соответствия требованиям Политики и Закона о персональных данных.

4.2. Оператор обязан:

  • Предоставлять субъекту персональных данных, по его просьбе, информацию, касающуюся обработки его персональных данных;
  • Организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
  • Назначить лицо, ответственное за организацию обработки персональных данных;
  • Издать документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных;
  • Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
  • Осуществлять оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
  • Ознакомить работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
  • Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  • Сообщать в уполномоченный орган по защите прав субъектов персональных данных, по запросу этого органа, необходимую информацию в течение 10 (десяти) дней с даты получения такого запроса;
  • Публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
  • Принимать правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • Прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
  • Исполнять иные обязанности, предусмотренные Законом о персональных данных.

5. Основные права и обязанности субъектов персональных данных

5.1. Субъекты персональных данных имеют право:

  • Получать информацию, касающуюся обработки их персональных данных (наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства РФ), за исключением случаев, предусмотренных законодательством РФ в области персональных данных. Сведения предоставляются субъектам персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
  • На получение уведомления от Оператора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • Требовать от оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
  • Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
  • На отзыв согласия на обработку персональных данных, а также на направление требования о прекращении обработки персональных данных;
  • Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке их персональных данных;
  • На осуществление иных прав, предусмотренных законодательством РФ.

5.2. Субъекты персональных данных обязаны:

  • Предоставлять Оператору достоверные данные о себе;
  • Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, цели обработки персональных данных
7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства РФ.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового, в случаях, предусмотренных законодательством РФ.
7.3. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
7.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных, только после подписания обязательства об их неразглашении.
7.5. Обработка персональных данных для каждой цели обработки, указанной в разделе 6 Политики, осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
  • внесения персональных данных в журналы, реестры и информационные системы Оператора;
  • использования иных способов обработки персональных данных.

7.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ в области персональных данных. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором на основании согласия субъекта персональных данных на распространение, которое оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
7.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства РФ.
7.8. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством РФ.
7.9. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
7.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:

  • Определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Разрабатывает на основе модели угроз систему защиты персональных данных; осуществляет анализ защищённости информационных систем персональных данных Оператора с применением специализированных программных средств (сканеров безопасности);
  • Обеспечивает безопасность персональных данных при их обработке в информационных системах персональных данных в соответствии с установленными Правительством РФ уровнями защищенности персональных данных, использует антивирусное программное обеспечение с регулярно обновляемыми базами и межсетевые экраны, применяет в необходимых случаях средства криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи;
  • Применяет средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
  • Осуществляет шифрование данных (при хранении – с использованием алгоритма AES-256 на уровне базы данных с использованием встроенных механизмов шифрования, ключи шифрования хранятся и управляются с использованием специализированной системы управления ключами (KMS); при передаче по внутренней сети Оператора и (или) по сети Интернет – с использованием протоколов TLS/SSL, которые регулярно обновляются для обеспечения высокого уровня безопасности);
  • Осуществляет расшифровку персональных данных только на уровне информационной системы персональных данных, имеющей соответствующие права доступа, ограничивает доступ к ключам расшифровки и предоставляет их только работникам Оператора, непосредственно осуществляющим обработку персональных данных, журналирует все действия по расшифровке персональных данных и проводит регулярный анализ таких действий для обеспечения защиты персональных данных;
  • Осуществляет ввод в эксплуатацию информационной системы персональных данных только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них персональных данных;
  • Ведет учет машинных носителей персональных данных;
  • Организует отслеживание фактов несанкционированного доступа к персональным данным и принимает необходимые меры, в том числе меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  • Осуществляет восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним путем резервного копирования;
  • Устанавливает правила доступа к персональным данным (парольную защиту и матрицу доступа), обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • Организует контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • Определяет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ. Результаты оценки вреда оформляются актом оценки потенциального вреда субъектам персональных данных;
  • Организует пропускной режим на территорию Оператора, охрану помещений с техническими средствами обработки персональных данных.

7.11. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Росархива от 20.12.2019 №236).
17.12. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
17.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в Законе о персональных данных.

8. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 (десять) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
8.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены, в соответствии с требованиями Закона о персональных данных, все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.5. Оператор вносит необходимые изменения в персональные данные субъекта персональных данных в срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
8.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
8.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.9. Оператор уничтожает персональные данные субъекта персональных данных в срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (в случае осуществления такой передачи).
8.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор, с момента выявления такого инцидента самим Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом, уведомляет уполномоченный орган по защите прав субъектов персональных данных:

  • в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;
  • в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9. Порядок прекращения, уничтожения персональных данных Оператором

9.1. Оператор, в случае достижения цели обработки персональных данных, прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо, если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных законодательством РФ в области персональных данных.
9.2. Оператор, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо, если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных законодательством РФ в области персональных данных.
9.3. Оператор, в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.4. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем разделе, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ в области персональных данных.
9.5. Уничтожение персональных данных, которые подлежат уничтожению, осуществляет комиссия в составе не менее 3 (трех) человек, созданная приказом генерального директора Общества.
9.6. Комиссия составляет список с указанием документов, материальных носителей (жестких дисков, флеш-накопителей и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
9.7. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем программного удаления данных с электронных носителей и резервных копий методами и средствами гарантированного удаления остаточной информации.
9.8. Обезличивание персональных данных осуществляется следующими методами:

  • методом изменения состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
  • методом декомпозиции, то есть разбиением множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств.

9.9. Комиссия подтверждает уничтожение персональных данных согласно требованиям, установленными уполномоченным органом по защите прав субъектов персональных данных, а именно:

  • актом об уничтожении персональных данных – если обработка персональных данных осуществляется Оператором без использования средств автоматизации;
  • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных – если обработка персональных данных осуществляется Оператором с использованием средств автоматизации или одновременно с использованием средств автоматизации и без использования средств автоматизации.

9.10. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
9.11. Акты и выгрузки из журнала хранятся в течение 3 (трех) лет с момента уничтожения персональных данных.

10. Ответственность за нарушение и контроль норм, регулирующих обработку персональных данных

10.1. Работники Оператора, непосредственно осуществляющие обработку персональных данных, обязаны:

  • руководствоваться в своей работе действующим законодательством РФ, настоящей Политикой, должностной инструкцией и иными локальными актами Оператора в области обработки персональных данных;
  • обеспечивать сохранность и конфиденциальность персональных данных субъекта персональных данных, исключить доступ к ним третьих лиц;
  • осуществлять обработку персональных данных только в установленных целях;
  • информировать лицо, ответственное за организацию обработки персональных данных, об инцидентах, связанных с нарушением порядка обработки персональных данных;
  • разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (если в соответствии с Законом о персональных данных предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными).

10.2. Ответственность за обеспечение требований Политики несут ответственные лица за организацию обработки персональных данных, за организацию и выполнение технических мер по обеспечению безопасности персональных данных.
10.3. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
10.4. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
10.5. Ответственный за организацию обработки персональных данных осуществляет контроль за соблюдением требований обработки и защиты персональных данных в целях изучения и оценки состояния сохранности персональных данных, выявления недостатков при обработке и защите персональных данных, установления причин их возникновения и выработки предложений по их устранению.
10.6. Для контроля (аудита) исполнения требований законодательства РФ в области персональных данных, в том числе требований к защите персональных данных, требований настоящей Политики проводятся внутренние плановые и внеплановые проверки.
10.7. Внутренние внеплановые проверки проводятся при наличии признаков утечки, раскрытия персональных данных или утраты носителей персональных данных или в иных случаях на основании приказа генерального директора.
10.8. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
10.9. Лица, осуществляющие внутренние плановые и (или) внеплановые проверки, имеют право:

  • знакомиться со всеми документами и иными материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы, консультироваться со специалистами и исполнителями, требовать предоставления письменных объяснений, справок и отчетов по всем вопросам, входящим в их компетенцию;
  • проверять автоматизированные рабочие места и серверы на соответствие установленным требованиям. При проверке должен присутствовать ответственный за организацию и выполнение технических мер по обеспечению безопасности персональных данных.

10.10. По результатам проверки лица, осуществляющие внутренние плановые и (или) внеплановые проверки, составляют «Справку по результатам проверки соблюдения организационных требований при обработке персональных данных» в произвольной форме, в которой отражается: состояние дел в области выполнения установленных норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, выявленные недостатки и нарушения, а также вносятся предложения по их устранению. Справка направляется в адрес генерального директора.