ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «АвтоМаксимум»
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Общество – Общество с ограниченной ответственностью «АвтоМаксимум», ООО «АвтоМаксимум» (672012, Забайкальский край, город Чита, улица Подгорбунского, дом 57, квартира 92 ОГРН: 1247500008579).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Носитель персональных данных – физическое лицо или материальный объект, в том числе физическое поле, в котором персональные данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Ответственный за организацию обработки персональных данных – лицо, осуществляющее внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных.
Ответственный за обеспечение безопасности персональных данных - лицо, ответственное за обеспечение безопасности персональных данных, за реализацию и непрерывность соблюдения установленных мер защиты и осуществляющих поддержку функционирования средств защиты информации, применяемых в информационной системе персональных данных Общества.
Пользователь – работник Общества, которому разрешено выполнять некоторые действия (операции) по обработке персональных данных в информационной системе персональных данных или использующее результаты ее функционирования.
Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность.
Конфиденциальность персональных данных – обязательное для выполнения лицом, получившим доступ к персональным данным, требование не передавать такие персональные данные третьим лицам без согласия ее обладателя.
Доступность персональных данных – состояние персональных данных, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Целостность персональных данных – состояние персональных данных, при котором их изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Несанкционированный доступ (несанкционированные действия) – доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки и защиты персональных данных в Обществе с ограниченной ответственностью «АвтоМаксимум» (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели и условия обработки персональных данных (далее – ПД), а также стратегию их защиты в Обществе с ограниченной ответственностью «АвтоМаксимум» (далее – Общество, Оператор).
Настоящая Политика является основным руководящим внутренним документом Общества, определяющим требования, предъявляемые в отношении обработки и обеспечения безопасности ПД.
Внутренние документы Общества, регламентирующие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
Настоящая Политика разработана в целях реализации положений законодательства Российской Федерации в отношении обработки ПД, а также требований нормативных и методических документов по защите ПД.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА
Обработка ПД Обществом осуществляется на основе принципов:
• законности и справедливости целей и способов обработки ПД;
• соответствия целей обработки ПД законным целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Общества;
• соответствия объема и содержания обрабатываемых ПД, способов обработки ПД целям обработки ПД;
• точности ПД, их достаточности и актуальности по отношению к целям обработки ПД;
• недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;
• хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, или устанавливающий срок хранения федеральный закон, договор, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД;
• уничтожения ПД по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПД, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
Общество в своей деятельности исходит из того, что субъект ПД предоставляет точную и достоверную информацию, во время взаимодействия с Обществом, извещает представителей Общества об изменении своих ПД.
4. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
Соблюдение законов и иных нормативных правовых актов, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества Общества, получение работниками образования, в том числе дополнительного профессионального образования, осуществление расчетов по оплате труда (в том числе путем совершения безналичных платежей - оформления банковской карты и перечисления на нее заработной платы), обеспечения работников социальными льготами, исчисление и уплата предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование; идентификация и рассмотрения кандидатов на вакантные должности Оператора, проведение собеседований с целью трудоустройства; заключение и исполнение гражданско-правовых договоров, в том числе заключения и исполнения договора на услуги по доставке водителем-курьером товаров в период исполнения Договора Делимобиль; защита прав и интересов оператора в качестве кредитора в договорных и деликтных обязательствах; заключения и исполнения Договора Делимобиль (https://delimobil.ru/dogovor), а также договоров аренды ТС, заключенных в рамках Договора Делимобиль, и реализации Оператором полномочий, указанных в данных договорах, оказания Оператором дополнительных услуг, участия в проводимых Оператором акциях, опросах, исследованиях, принятия решений или совершения иных действий, порождающих юридические последствия, представление информации об оказываемых Оператором услугах, рекламной и иной информации, предоставление Оператором консультационных услуг.
Основаниями для обработки ПД субъектов ПД Обществом являются:
• «Гражданский кодекс Российской Федерации (часть первая)» от 30 ноября 1994 г. № 51-ФЗ;
• «Гражданский кодекс Российской Федерации (часть вторая)» от 26 января 1996 г. № 14-ФЗ;
• «Налоговый кодекс Российской Федерации» от 31 июля 1998 года № 146-ФЗ;
• «Трудовой кодекс Российской Федерации» от 30 декабря 2001 г. № 197-ФЗ;
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
• Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Статья 13.2 Федерального закона от 25 июля 2002 года № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
• Федеральный закон от 29 декабря 2006 года № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 03.07.2016г. №230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях»;
• Постановление Госкомстата России от 5 января 2004 года № 1 «Об утверждении унифицированных форм первичной учётной документации по учёту труда и его оплаты»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – № 1119-ПП);
• согласие субъектов персональных данных на обработку ПД (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
• трудовые договоры;
• гражданско-правовые договоры, заключаемые между Оператором и Субъектом ПД;
• договор с оператором персональных данных, который поручает Обществу обработку персональных данных;
• Устав Общества.
Общество обрабатывает ПД, ставшие известными Обществу в связи с реализацией уставных задач и целей деятельности Общества, а также в результате, но не ограничиваясь:
• заключения гражданско-правовых договоров;
• заключения соглашений о сотрудничестве;
• оформления и/или получения доверенностей (в том числе от имени Общества);
• получения любых иных документов от клиентов, контрагентов Общества, необходимых для заключения Обществом договоров с такими лицами;
• поступления в Общество письменных, в том числе электронных обращений, запросов, заявлений, жалоб, ходатайств;
• переписки по электронной почте;
• получения Обществом документов посетителей при посещении ими помещений Общества;
• осуществления иных действий, предусмотренных действующим законодательством Российской Федерации или внутренними политиками Общества.
5. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Общество обрабатывает ПД следующих категорий субъектов ПД:
• кандидатов на трудоустройство - фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения); гражданство; пол; возраст; дата и место рождения; паспортные данные; адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (домашний, мобильный); адрес личной электронной почты (e-mail) (при наличии); данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, знании иностранных языков; сведения о трудовой деятельности (о трудовом стаже, местах работы, датах приема и увольнения, должностях, среднемесячном доходе, количестве подчиненных, основных должностных обязанностях, службе в армии, работах на выборных должностях, на государственной или муниципальной службе и др.); сведения о наличии водительского удостоверения и стаже вождения автомобиля; сведения, указанные в миграционных документах (для иностранных граждан); отношение к воинской обязанности и сведения воинского учета; информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности, сведения о доходах; сведения о деловых и иных личных качествах, носящих оценочный характер; фотоизображение;
• работников Оператора, включая лиц, с которыми прекращен трудовой договор - фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения); гражданство; пол; возраст; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (домашний, мобильный); идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; адрес личной электронной почты (e-mail); данные банковского счета и карты для выплаты заработной платы; данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, знании иностранных языков; сведения о трудовой деятельности (о трудовом стаже, местах работы, датах приема и увольнения, должностях, работах на выборных должностях, на государственной службе); сведения о занимаемой должности; сведения, указанные в миграционных документах (для иностранных граждан); отношение к воинской обязанности и сведения воинского учета; категория инвалидности и данные заключения медико-социальной экспертной комиссии (при наличии); медицинское заключение о возможности либо невозможности работы в конкретных условиях труда (при наличии); сведения о доходах; сведения о моей частной жизни (состояние в браке, состав семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством); фотоизображение;
• пользователей сервиса краткосрочной аренды - фамилия, имя, отчество; дата и место рождения; паспортные данные: серия и номер паспорта, наименование выдавшего документ органа, код подразделения, дата выдачи; данные водительского удостоверения: серия и номер документа, наименование органа, выдавшего документ, дата выдачи, дата окончания срока действия документа, категория прав; адрес места регистрации и проживания; данные свидетельства о регистрации по месту пребывания: дата выдачи, наименование органа (учреждения), выдавшего документ, период регистрации, адрес регистрации (для лиц, не имеющих постоянной регистрации в Москве или Московской области); номер, дата принятия решения о предоставлении вида на жительство на территории РФ, дата выдачи документа, подтверждающего предоставление вида на жительства, срок окончания разрешения, серия и номер указанного документа (для
иностранных граждан, обладающих видом на жительство на территории РФ); номера контактных телефонов (мобильного телефона, зарегистрированного на имя Пользователя); адрес электронной почты; сведения, необходимые для совершения Пользователем платежей за услуги, предоставляемые Оператором; информация об истории пользования Сервисом Оператора: количество, стоимость, продолжительность услуг и иная информация об услугах Сервиса, полученных Пользователем, сведения об исполнении Пользователем Договора аренды ТС без экипажа, включая статистическую информацию о количестве правонарушений, совершенных Пользователем, выписанных и оплаченных штрафах, ДТП с участием Пользователя, имевших место в процессе пользования Сервисом; информация об услугах третьих лиц, полученных Пользователем в связи с обращением к Сервису Оператора (страховые продукты); информация об участии Пользователя в акциях Оператора; фотоизображения Пользователя;
• физических лиц, оказывающих услуги по доставке товаров (водители-курьеры) - фамилия, имя, отчество; дата и место рождения; паспортные данные: серия и номер паспорта, наименование выдавшего документ органа, код подразделения, дата выдачи; данные водительского удостоверения: серия и номер документа, наименование органа, выдавшего документ, дата выдачи, дата окончания срока действия документа, категория прав; адрес места регистрации и проживания; данные свидетельства о регистрации по месту пребывания: дата выдачи, наименование органа (учреждения), выдавшего документ, период регистрации, адрес регистрации (для лиц, не имеющих постоянной регистрации в Москве или Московской области); номер, дата принятия решения о предоставлении вида на жительство на территории РФ, дата выдачи документа, подтверждающего предоставление вида на жительства, срок окончания разрешения, серия и номер указанного документа (для иностранных граждан, обладающих видом на жительство на территории РФ); номера контактных телефонов; адрес электронной почты Пользователя; сведения о состоянии здоровья, содержащиеся в личной медицинской книжке; информация об истории использования транспортных средств Оператора в целях оказания услуг, включая статистическую информацию о количестве правонарушений, совершенных Субъектом, выписанных и оплаченных штрафах, ДТП с участием Субъекта, имевших место в процессе использования транспортных средств, информация об услугах третьих лиц, полученных в связи с обращением к Сервису Оператора (страховые продукты); фотоизображения; идентификационный номер цифрового пропуска; координаты начала и окончания поездки; номер ИНН; номер СНИЛС; реквизиты банковского счета;
• представителей контрагентов/ клиентов - фамилия, имя, отчество; гражданство; пол; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения), сведения, указанные в миграционных документах (для иностранных граждан), адрес, сведения о занимаемой должности, номер телефона, адрес электронной почты;
• физических лиц, с которыми Оператор заключил или планирует заключить гражданско-правовые договоры - фамилия, имя, отчество (информация о смене фамилии, имени, отчества); гражданство; пол; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения); сведения, указанные в миграционных документах (для иностранных граждан); реквизиты банковского счета; сведения о постановке на учет в качестве плательщика НПД или присвоении статуса Индивидуального предпринимателя (если применимо); номер СНИЛС; ИНН; ОГРНИП (если применимо); адрес регистрации по месту жительства и адрес фактического проживания; сведения о занимаемой должности; номер телефона; адрес личной электронной почты (e-mail);
• должников по деликтным обязательствам - фамилия, имя, отчество; дата рождения; адрес регистрации; номер телефона; данные водительского удостоверения: серия и номер документа, дата выдачи, категория прав;
• посетителей офисов - фамилия, имя, отчество, фирменное наименование организации, представителем которой является субъект, дата и период времени посещения, серия и номер, дата выдачи документа, удостоверяющего личность (паспорта или водительского удостоверения);
• посетители сайтов - фамилия, имя, отчество, гражданство, пол, дата и место рождения, данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган выдачи, код подразделения), адрес, сведения о занимаемой должности, номер телефона, адрес электронной почты.
• Общество осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
• В Обществе обрабатываются следующие категории ПД:
• иные категории персональных данных – персональные данные, не отнесенные к категориям: специальные, биометрические и общедоступные персональные данные;
• специальные категории персональных данных – сведения о состоянии здоровья.
Перечень ПД и категории субъектов ПД утверждается «Перечнем обрабатываемых персональных данных».
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка ПД осуществляется следующими способами: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление.
Обработка ПД Общества допускается в следующих случаях:
• обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
• обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
• обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД;
• обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных
• обработка ПД осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПД;
• осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Общество осуществляет хранение ПД в базах данных, находящихся на территории Российской Федерации.
Обществом соблюдаются требования о конфиденциальности персональных данных, установленные ст. 7 ФЗ «О персональных данных».
Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этой стороной договора (поручения на обработку ПД). Лицо, осуществляющее обработку ПД по поручению Общества, обязано соблюдать принципы и правила обработки ПД, предусмотренные ФЗ «О персональных данных».
В поручении третьему лицу указываются цели обработки и перечень действий (операций) с ПД, которые могут быть совершены данным лицом, устанавливаются его обязанности по обеспечению конфиденциальности и безопасности ПД при их обработке, а также требования к защите обрабатываемых ПД в соответствии с ФЗ «О персональных данных».
Обществом не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
Общество прекращает обработку ПД в следующих случаях:
• при выявлении неправомерных действий с ПД в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с ПД, уничтожает ПД. Об устранении допущенных нарушений или об уничтожении ПД Общество уведомляет субъекта ПД или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов ПД, также этот орган;
• при достижении цели обработки ПД Общество незамедлительно прекращает обработку ПД и уничтожает соответствующие ПД в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПД;
• при отзыве субъектом ПД согласия на обработку своих ПД Общество прекращает обработку ПД и уничтожает (за исключением ПД, которые хранятся в соответствии с действующим законодательством) ПД в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении ПД Общество уведомляет субъекта ПД.
7. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Получение и обработка ПД в случаях, предусмотренных ФЗ «О персональных данных», осуществляются Обществом с согласия субъекта ПД, в том числе в письменной форме.
Письменное согласие субъекта ПД должно включать:
• фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Общества;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие субъекта ПД;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Обществом способов обработки ПД;
• срок, в течение которого действует согласие;
• подпись субъекта ПД.
Субъект ПД дает Обществу согласие на обработку своих ПД свободно, в своей воле и своем интересе. Согласие на обработку ПД может быть отозвано субъектом ПД путем направления в Общество письменного заявления в свободной форме. В этом случае (в отсуствие иных оснований для обработки) Общество обязуется прекратить обработку, а также уничтожить все имеющиеся в Обществе ПД в сроки, установленные ФЗ «О персональных данных».
Общество вправе обрабатывать ПД без согласия субъекта ПД (или при отзыве субъектом ПД указанного согласия) при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2. ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
Передача ПД третьим лицам осуществляется Обществом с согласия субъекта ПД в соответствии с требованиями действующего законодательства.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения соблюдения установленных законодательством прав субъектов ПД, в Обществе разработан и введен порядок работы с обращениями и запросами субъектов ПД, а также порядок предоставления субъектам ПД информации, установленной законодательством РФ в области ПД.
Субъект ПД имеет право на получение информации, касающейся обработки Обществом его ПД, в том числе содержащей:
• подтверждение факта обработки ПД Обществом;
• правовые основания и цели обработки ПД;
• цели и применяемые Обществом способы обработки ПД;
• наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
Общество предоставляет указанную информацию на основании соответствующего письменного запроса субъекта ПД, содержащего: номер удостоверяющего личность документа, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) и подпись субъекта ПД.
Общество обязуется сообщить субъекту ПД информацию о наличии ПД, относящихся к соответствующему субъекту ПД в течение тридцати дней с даты получения Запроса субъекта ПД.
Субъект ПД вправе требовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Для реализации и защиты своих прав и законных интересов субъект ПД имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
Если субъект ПД считает, что Общество осуществляет обработку его ПД с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его персональным данным нарушает права и законные интересы третьих лиц.
9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения безопасности ПД Общество принимает необходимые и достаточные организационные и технические меры для защиты ПД субъектов ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, включающие в том числе:
• назначение лица, ответственного за организацию обработки ПД и лица, ответственного за обеспечение безопасности ПД, а также определение их функций и полномочий;
• разработка и поддержание актуальности комплекта внутренних нормативных документов в отношении обработки и защиты ПД;
• периодический внутренний контроль, а также внешний аудит соответствия обработки ПД требованиям ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам;
• проведение оценки вреда, который может быть причинен субъектам ПД в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда с принимаемыми мерами по безопасности ПД;
• ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации и внутренних нормативных документов Общества в отношении обработки и защиты ПД, периодическое обучение вопросам обработки и защиты ПД;
• определение угроз безопасности ПД при их обработке в ИСПД;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учет работников, допущенных к обработке ПД;
• учет материальных носителей ПД;
• обнаружение фактов несанкционированного доступа к ПД и принятием мер;
• восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;
• контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД.
Комплекс мероприятий и технических средств по обеспечению безопасности ПД в Обществе формулируется с учетом результатов оценки возможного вреда субъекту ПД, который может быть нанесен в случае нарушения безопасности его ПД, актуальности угроз безопасности ПД, а также установления уровня защищенности ПД.
10. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Контроль за соблюдением локальных нормативных актов Общества в области ПД осуществляется с целью проверки соответствия процессов обработки и защиты ПД требованиям законодательства РФ в области ПД, а также выявления возможных каналов утечки и несанкционированного доступа к ПД.
Внутренний контроль за соблюдением структурными подразделениями Общества требований законодательства РФ и локальных нормативных актов Общества в области ПД осуществляется лицами, ответственными за обработку и защиту ПД в Обществе.
Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПД, установленных в Обществе, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством РФ.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Общества.
Внесение изменений в настоящую Политику может вызвано изменениями в законодательстве Российской Федерации, внутренних документах Общества, информационных системах ПД, системе обработки и защиты ПД.
Все изменения и дополнения, внесенные в настоящую Политику, утверждаются генеральным директором Общества.
Все работники Общества подлежат обязательному ознакомлению с настоящей Политикой и несут предусмотренную законодательством Российской Федерации ответственность за нарушение её положений.