5. Порядок, способы и условия обработки персональных данных5.1. Общие условия.
5.1.1. Общество осуществляет обработку персональных данных в соответствии с требованиями законодательства Российской Федерации.
5.1.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.1.3. К обработке персональных данных допускаются работники Общества в соответствии с действующим Регламентом о допуске работников к обработке персональных данных.
5.1.4. Обработка персональных данных для каждой цели их обработки осуществляется следующими способами:
• Неавтоматизированная\ автоматизированная\ смешанная обработка персональных данных;
• Обработка с\без передачи по внутренней сети, а также с\без передачи по сети Интернет.
5.1.5. Обработка персональных данных для каждой цели обработки, указанной в п. 4.2 Политики, осуществляется путем:
• Получения персональных данных в устной и письменной форме непосредственно от субъекта персональных данных;
• Внесения персональных данных в журналы, реестры и информационные системы Общества;
• Использования иных способов обработки персональных данных в случаях и порядке, предусмотренном и/или не запрещённом законодательством Российской Федерации.
5.1.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.1.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.2. Меры защиты персональных данных.
5.2.1. Общество принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• Назначено лицо, ответственное за организацию обработки персональных данных;
• Разработаны и изданы локальные нормативные акты и положения, определяющие политику оператора в отношении обработки персональных данных (в том числе процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений);
• Осуществляется внутренний контроль соответствия обработки персональных данных требованиям законов и нормативных правовых актов, требованиям к защите персональных данных, положениям Общества в отношении обработки персональных данных, локальным актам Общества;
• Проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона (в рамках моделирования угроз безопасности персональных данных);
• Организован процесс ознакомления и обучения непосредственно осуществляющих обработку персональных данных сотрудников Общества, правилам работы с персональными данными до предоставления доступа в информационные системы персональных данных (Далее – ИСПДн) Общества;
• Определены угрозы безопасности персональных данных при их обработке в ИСПДн;
• Введены и реализованы организационные и технические меры по обеспечению безопасности персональных данных согласно приказу ФСТЭК от 18.02.2013 г. №21;
• Применяются средства защиты информации;
• Производится регулярная оценка эффективности применяемых мер по обеспечению безопасности персональных данных;
• Производится учёт машинных носителей;
• Осуществляется автоматический мониторинг инфраструктуры Общества с целью обнаружения фактов несанкционированного доступа к персональным данным и принятия превентивных мер по его предотвращению;
• Разработаны организационные и технические меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Организован процесс предоставления доступа к персональным данным на основе матрицы доступа в информационные системы персональных данных;
• Реализовано обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
• Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
• Выполняется постоянный контроль уровня защищенности информационных систем персональных данных.
5.3. Хранение персональных данных.
5.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.3.2. Персональные данные, полученные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа в течение установленных сроков хранения (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236).
5.3.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в целях, определённых локальными нормативными актами и положениями Общества, хранятся в электронных папках на серверах Общества.
5.3.4. Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
5.3.5. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДн.
5.3.6. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если иное не установлено законодательством Российской Федерации и/или договором, положениями, локальными нормативными актами Общества.
5.4. Прекращение обработки персональных данных.
5.4.1. Прекращение обработки персональных данных осуществляется в Обществе в следующих случаях:
• Выявлен факт их неправомерной обработки. В этом случае срок прекращения обработки персональных данных — в течении трёх рабочих дней с даты выявления такого факта;
• Достигнута цель их обработки;
• Субъектом на основании его письменного заявления отозвано согласие на обработку его персональных данных;
• Истечение срока на обработку персональных данных субъекта, предусмотренного договором, положениями, локальными нормативными актами Общества, а также действующим законодательством Российской Федерации.
• Ликвидация Общества.
5.4.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, Общество прекращает обработку этих данных, если иное не предусмотрено действующим законодательством Российской Федерации.
5.4.3. Субъект персональных данных имеет право обратиться в Общество с требованием о прекращении обработки его персональных данных, написав соответствующее заявление. В этом случае обработка персональных данных прекращается в срок, не превышающий 10 рабочих дней с даты получения требования, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.5. Обращение субъекта персональных данных.
5.5.1 Субъект персональных данных имеет право обратиться к Обществу с запросом на получение информации, касающейся обработки его персональных данных (ч. 7 ст. 14 Закона о персональных данных). Общество предоставляет данные сведения субъекту персональных данных или его представителю в срок, не превышающий 10 рабочих дней со дня обращения либо получения запроса субъекта персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.5.2. Общество безвозмездно предоставляет субъекту персональных данных (или его надлежаще уполномоченному в силу доверенности или закона представителю) возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
5.5.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.5.4. Общество предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.5.5. Если в обращении (запросе) субъекта персональных данных не отражены, в соответствии с требованиями Закона о персональных данных, все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
5.5.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5.6. Блокирование.
5.6.1. Блокирование персональных данных осуществляется в случае выявления неточности в персональных данных или выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора.
5.6.2. Сроки блокирования – персональные данные блокируются с момента обращения\запроса субъекта персональных данных или его представителя, или по запросу Роскомнадзора — на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5.6.3. Разблокировка возможна на основании сведений или иных необходимых документов, представленных субъектом персональных данных или его представителем либо Роскомнадзором, в течение семи рабочих дней со дня представления таких сведений.
5.7. Расследование инцидентов.
5.7.1. При выявлении Обществом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество:
• В течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• В течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
5.8. Уничтожение.
5.8.1. Условия и сроки уничтожения персональных данных в Обществе:
• Достижение цели обработки персональных данных, либо утрата необходимости достигать эту цель — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации;
• Достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации;
• Предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в срок, не превышающий 7 рабочих дней;
• Отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации.
5.8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• Иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
5.8.3. Ответственные лица, порядок и способы уничтожения персональных данных установлены в локальных нормативных актах Общества.
5.9.
Обработка персональных данных посетителей сайта Общества осуществляется в соответствии с
Условиями обработки персональных данных посетителей сайта.
6. Основные права и обязанности6.1. Общество вправе:
• Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации;
• Во исполнение условий заключаемых гражданско-правовых договоров в рамках осуществляемой деятельности, исключительно по письменному поручению стороны такого договора (далее - Контрагент), при условии соблюдения требований о передаче персональных данных таким лицом выступать в качестве оператора персональных данных работников и /или иных лиц на стороне Контрагента, а также, если в силу обстоятельств применимо, поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации;
• В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующим законодательством Российской Федерации.
6.2. Общество обязано:
• Организовывать обработку персональных данных в соответствии с требованиями действующего законодательства Российской Федерации;
• Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями действующего законодательства Российской Федерации;
• Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Обществу необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
• В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6.3. Субъект персональных данных вправе:
• Получать информацию, касающуюся обработки его персональных данных в соответствии с Законом о персональных данных, за исключением случаев, предусмотренных федеральными законами, в т.ч. содержащей:
• Подтверждение факта обработки персональных данных;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые оператором способы обработки персональных данных;
• Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
• Иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
• Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• Давать предварительное согласие на обработку его персональных данных в целях, определённых настоящей Политикой;
• Обжаловать действия (бездействия) Общества, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• Защищать свои права и законные интересы, в т.ч. в судебном порядке.
6.4. Субъект персональных данных обязан:
• Обеспечивать точность, достоверность и актуальность при предоставлении персональных данных Обществу.
• Своевременно извещать Общество об изменении своих персональных данных в случае, если такая обязанность предусмотрена действующим законодательством Российской Федерации или договором с субъектом персональных данных.
• Своевременно извещать Общество о факте утечек своих персональных данных.
7. Заключительные положения7.1. Контроль за исполнением требований настоящей Политики осуществляет ответственный за организацию обработки персональных данных, назначенный в Обществе в соответствии с требованиями действующего законодательства Российской Федерации.
7.2. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.