Политика Платформы в отношении обработки и защиты персональных данных

Настоящая Политика разработана и применяется в ООО «СИАГРО» на основании статей 23, 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Постановления Правительства Российской Федерации от 01 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013г. №21 «Об утверждении состава и содержания организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных.

Настоящая Политика определяет действия Оператора в отношении обработки персональных данных Субъектов персональных данных, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.

Политика разработана с целью обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности лиц Общества, имеющих доступ к персональным данным Субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

Действие настоящей Политики не распространяется на отношения, возникающие при обработке персональных данных сотрудников Оператора, соискателей вакантных должностей Общества поскольку такие отношения урегулированы отдельным локальным актом; на отношения, на которые действие Федерального закона «О персональных данных» не распространяется (п.2 ст.1 ФЗ).

Настоящая Политика применяется в частности, но не ограничиваясь, при навигации на сайте www.agrosy.ru без совершения заказа на оказание услуг, а также при пользовании сервисами, предложенными на www.agrosy.ru, в том числе без выполнения регистрации на www.agrosy.ru; при выполнении регистрации на www.agrosy.ru и при ином использовании Сайта.

1. Понятия, используемые в настоящей Политике

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому Субъекту персональных данных, являющаяся конфиденциальной информацией ограниченного доступа, не составляющей государственную тайну;

Субъект персональных данных — лицо, носитель персональных дынных, чьи персональные данные переданы Обществу для обработки.

Оператор персональных данных — ООО «СИАГРО» (ОГРН 1206300038900, ИНН 6325075955), государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;

Использование персон альных данных — действия с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иными образом затрагивающих права и свободы Субъекта персональных данных или других лиц;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия Субъекта персональных данных или наличия законного основания;

Сайт — совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ и сети Интернет;

Посетитель — физическое или юридическое лицо, действующее в своих интересах или в интересах других лиц, имеющее доступ к Сайту и использующее его частичный функционал;

Зарегистрированный пользователь — физическое или юридическое лицо, действующее в своих интересах или в интересах других лиц, зарегистрированное в установленном порядке, акцептовавшее Условия использования платформы, размещенное на Сайте, имеющее доступ к Сайту и использующее его полный функционал.

2. Сокращения, используемые в настоящей Политике

Общество — ООО «СИАГРО»

Политика — настоящая Политика в отношении обработки персональных данных и их защите

ПД — Персональные данные

РФ – Российская Федерация

Субъект— Субъект персональных данных

ФЗ – Федеральный закон от 27.07.2006 №153-ФЗ «О персональных данных»

3. Принципы обработки ПД

3.1. Осуществление обработки ПД на законной и справедливой основе;

3.2. Ограничения обработки ПД достижением конкретных, заранее определенных и законных целей. Недопустимости обработки ПДН, несовместимой с целями сбора ПД.

3.3. Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;

3.4. Соответствия содержания и объема ПД целям их обработки;

3.5. Недопустимости обработки ПД избыточных по отношению к заявленным целям их обработки;

3.6. Обеспечения точности, достаточности, а в необходимых случаях и актуальности ПД по отношению к целям обработки;

3.7. Принятия необходимых мер или обеспечения принятия мер по удалению или уточнению неполных или неточных ПД;

3.8. Хранения ПД в форме, позволяющей определить Субъекта ПД, не дольше, чем этого требуют цели обработки ПД;

3.9. Уничтожения ПД по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Условия обработки ПД

4.1. Обработка ПД осуществляется с добровольного согласия Субъекта на обработку его ПД;

4.2. Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПД, в том числе в случае заключения договора по инициативе Субъекта ПД или договора, по которому Субъект ПД будет являться выгодоприобретателем или поручителем;

4.3. Обработка ПД необходима для использования Сайта Зарегистрированным пользователем;

4.4.Обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

4.5. Обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПД, если получение согласия Субъекта ПД невозможно;

4.6. Обработка ПД необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПД.

4.7. Осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен Субъектом ПД либо по его просьбе (далее - ПД, сделанные общедоступными Субъектом);

4.8. Осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.9. Оператор не осуществляет действий, направленных на раскрытие ПД неопределенному кругу лиц, т. е. не осуществляет распространение ПД.

4.10. Обработка ПД осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 ФЗ, при условии обязательного обезличивания ПД.

4.11. Оператор вправе поручить обработку ПД другому лицу с согласия Субъекта ПД. Передача необходима в рамках использования Сайта либо для оказания услуг Субъекту ПД, при этом обеспечивается конфиденциальность ПД. Лица, осуществляющие обработку ПД по поручению Общества, обязуются соблюдать принципы и правила обработки ПД, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с ПД, которые будут совершаться организацией, осуществляющей обработку ПД, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПД при их обработке, а также указаны требования к защите обрабатываемых ПД.

5. ЦЕЛИ ОБРАБОТКИ ПД

5.1.Общество руководствуется конкретными, заранее определенными целями обработки ПД, в соответствии с которыми ПД были предоставлены Субъектом, в частности:

  • обеспечение защиты прав и свобод Субъекта при обработке его ПД;
  • ведение бухгалтерского учета и отчетности;
  • обеспечение Зарегистрированному пользователю возможности взаимодействовать с Сайтом, в частности направление уведомлений, запросов и информации, связанных с оказанием услуг, а также обработка запросов и заявок от Зарегистрированного пользователя, предоставление доступа к персонализированным ресурсам Сайта, предоставления Зарегистрированному пользователю специальных предложений, любых информационных сообщений, включая рекламу и иных сведений от имени Сайта или от имени партнеров Сайта, предоставления доступа Зарегистрированному пользователю и Посетителю на сайты или сервисы партнеров Сайта;
  • проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Клиента услугами Общества, улучшение качества услуг;
  • проведение статистических и иных исследований на основе обезличенных данных.

6. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПД

6.1. Гражданский кодекс РФ (гл.39 ГК РФ);

6.2. Налоговый кодекс РФ;

6.3. Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

6.4. Устав Общества;

6.5. Договор возмездного оказания услуг, заключенный между Обществом и Субъектом ПД (Оферта);

6.6. Условия использования и иные документы, размещенные на Сайте;

6.7. Добровольное согласие Субъекта на обработку ПД.

7.КАТЕГОРИИ СУБЪЕКТОВ ПД И ПЕРЕЧЕНЬ ПД

7.1. Персональные данные, на обработку которых субъект персональных данных дает добровольное согласие Оператору, включают, но не ограничиваются следующими категориями

Физическое лицо — Зарегистрированный пользователь сайта:

  • фамилия, имя, отчество;
  • адрес электронной почты;
  • номер телефона;
  • местоположение;
  • адрес (город, улица, номер дома, номер квартиры – по желанию Субьекта);
  • сведения об используемом браузере;
  • IP-адрес.

Юридическое лицо — Зарегистрированный пользователь сайта:

  • наименование;
  • ИНН;
  • адрес электронной почты;
  • номер телефона;
  • фамилия, имя, отчество контактного лица;
  • местоположение;
  • адрес (город, улица, номер дома, номер квартиры – по желанию Субъекта);
  • сведения об используемом браузере;
  • IP-адрес.

8. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПД И ОБЩЕСТВА В ОБЛАСТИ ЗАЩИТЫ ПД

8.1. Субъект имеет право на получение информации, касающейся обработки его ПД, в частности:

  • подтверждение факта обработки ПД Обществом;
  • правовые основания и цели обработки ПД;
  • применяемые Обществом способы обработки ПД;
  • наименование и местонахождение Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему Субъекту ПД, источник их получения, если иной порядок предоставления не предусмотрен федеральным законом;
  • срок обработки ПД и срок их хранения;
  • порядок осуществления Субъектом ПД своих прав;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные федеральным законом.

8.2. Субъект имеет право требовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав

8.3. Субъект имеет право требовать от Общества извещения всех лиц, которым ранее были сообщены неверные или неполные ПД, обо всех произведенных в них исключениях, исправлениях и дополнениях;

8.4. Субъект имеет право отозвать свое согласие на обработку ПД;

8.5. Субъект имеет право на свободный безвозмездный доступ к своим ПД посредством личного обращения либо направления запроса, в простой форме по электронному адресу support@agrosy.ru . с предоставление подтверждающих документов. В случае неполноты представленных сведений, Оператор вправе обратиться к Субъекту ПД с дополнительным запросом для идентификации Субъекта. При этом сведения о ПД предоставляются в доступной форме, исключая ПД, относящиеся к другим Субъектам ПД по месту расположения Общества в рабочее время в течение тридцати дней с момента получения запроса или полной информации, необходимой для идентификации Субъекта.

8.6. Субъект имеет право обжаловать действия или бездействие Общества в уполномоченный орган по защите прав Субъектов ПД или в судебном порядке.

8.7. Субъект имеет право на иные права, предусмотренные действующим законодательством.

8.9. Субъект ПД обязан:

  • передавать Обществу достоверные ПД. Общество вправе проверять достоверность предоставленных ПН в порядке, не противоречащем законодательству РФ, однако Общество исходит из того, что Субъект ПН предоставляет достоверные и достаточные ПД для осуществления целей обработки ПД, и поддерживает эту информацию в актуальном состоянии;
  • своевременно сообщать Обществу об изменении своих ПД.

8.10. Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей, добровольным решением и в своем интересе.

8.11. В случае несогласия Субъекта ПД с указанными в настоящем разделе Правами и Обязанностями, Субъект ПД должен немедленно удалить свои персональные данные с Платформы, а также немедленно прекратить использование Платформы.

8.12. Обязанности Оператора:

  • обеспечивать конфиденциальность ПД. Оператор и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия Субъекта ПД, если иное не предусмотрено законом;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, сведениям о реализуемых требованиях к защите ПД;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДН, а также от иных неправомерных действий в отношении ПД;
  • предоставлять ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
  • иные обязанности Оператора, предусмотренные законодательством.

9. ПОРЯДОК ОБРАБОТКИ ПД.

9.1. Оператор осуществляет обработку ПД Субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (предоставление);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

9.2. Оператор получает ПД:

  • путем личной добровольной передачи Субъектом ПД при внесении данных на Сайте;
  • путем личной добровольной передачи Субъектом в рамках гражданско-правовых отношений;

9.3. Оператор получает и начинает обработку ПД Субъекта с момента получения его согласия.

Согласие на обработку ПД дается Субъектом ПД при осуществлении регистрационных действие на Сайте, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПД конклюдентных действий.

В частности, согласие на обработку ПД считается предоставленным Субъектом добровольно посредством совершения Субъектом ПД следующих конклюдентных действий в совокупности:

  • путем проставления специального знака — «галочки» в специальном поле на Сайте при осуществлении регистрационных действий для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака для ознакомления тексте (настоящей Политики). Согласие считается полученным с момента проставления специального знака - «галочки» и действует до момента направления Субъектом ПД соответствующего заявления о прекращении обработки ПД по месту нахождения Оператора или по электронному адресу: support@agrosy.ru

В случае отсутствия согласия Субъекта на обработку его ПД, такая обработка не осуществляется и регистрационные действия прекращаются..

9.4. При обработке ПД Исполнительный орган Общества вправе утверждать способы обработки, документирования, хранения и защиты ПД на базе современных информационных технологий.

9.5. Оператор до начала обработки ПД назначает ответственного за организацию обработки ПД в должности не ниже начальника структурного подразделения, именуемого далее «Куратор ОПД», который получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.

9.6. Перечень лиц, допущенных к обработке ПД, определяется распоряжением Исполнительного органа и внутренними локальным нормативными актами Общества. Указанные лица должны быть ознакомлены до начала работы:
- с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к порядку защиты ПД;

  • с документами, определяющими действия Оператора в отношении обработки ПД, в том числе с настоящей Политикой, приложениями и изменениями к ней;
  • с локальными актами по вопросам обработки ПД.

9.7. Сотрудники Оператора имеют право получать только те ПД, которые необходимы им для выполнения конкретных должностных обязанностей. Сотрудники Оператора, осуществляющие обработку ПД, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Общества, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей ИС в установленном порядке. Каждый сотрудник при трудоустройстве получает логин и пароль для работы в соответствующей ИС. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром работодателя при осуществлении доступа сотрудника в ИС путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в ИС. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций в ИС.

9.8. Оценка вреда, который может быть причинен Субъектам в случае нарушения Оператором требований ФЗ, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.

9.9. В случае если Оператор поручает обработку ПД третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к ПД Зарегистрированных пользователей Сайта, соответствующие данные предоставляются Оператором только после подписания с лицами, осуществляющими обработку ПД по поручению Оператора, соответствующего соглашения, в котором должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим их обработку, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со ст. 19 ФЗ «О персональных данных».

9.10. ПД не могут быть использованы в целях причинения имущественного и морального вреда Субъектам, затруднения реализации прав и свобод граждан РФ.

9.11. В целях собственного информационного обеспечения у Общества могут создаваться общедоступные источники ПД Субъектов, в том числе справочники и адресные книги. В общедоступные источники ПД с письменного согласия Субъекта могут включаться его фамилия, имя, отчество, номера контактных телефонов, адрес электронной почты и иные ПД, сообщаемые Субъектом. Сведения о Субъекте должны быть в любое время исключены из общедоступных источников ПД по требованию Субъекта либо по решению суда или иных уполномоченных государственных органов.

9.12. Обработка и хранение ПД осуществляются не дольше, чем этого требуют цели обработки ПД, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или согласием Субъекта не установлен соответствующий срок хранения. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

9.13. Хранение ПД, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.

6.14. Сотрудник Оператора, имеющий доступ к ПД в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей ПД Субъектов, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих ПД. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать документы и иные носители, содержащие ПД лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие ПД Субъектов, передаются другому сотруднику, имеющему доступ к ПД по указанию руководителя соответствующего структурного подразделения Оператора.

При увольнении сотрудника, имеющего доступ к ПД, документы и иные носители, содержащие ПД, передаются другому сотруднику, имеющему доступ к ПД по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку ПД.

9.15. Обработка ПД прекращается, уничтожение/обезличивание ПДН производится в связи с:

  • достижением цели обработки ПДН, утрата необходимости в достижении целей обработки ПД - в течение тридцати дней, если иное не предусмотрено договором;
  • сроком неиспользования своего ЛК более двух лет - в течение тридцати дней;
  • выявление неправомерной обработки ПД – в течение трех дней с даты выявления;
  • невозможность обеспечения правомерности обработки персональных данных - в течение десяти дней;
  • отзыв согласия Субъекта ПД, если сохранение ПД более не требуется для целей обработки ПД - в течение 30 дней.

9.16. Субъект ПД может в любой момент отозвать свое согласие на обработку ПД при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва Субъектом согласия на обработку ПД, Оператор вправе продолжить обработку ПД без согласия Субъекта только при наличии оснований, указанных в ФЗ.

Для отзыва согласия на обработку ПД необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора, либо направить электронное письмо по электронному адресу: support@agrosy.ru

В случае отзыва Субъектом согласия на обработку его ПД, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПД более не требуется для целей их обработки, уничтожает ПД или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является Субъект ПД, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку ПД без согласия Субъекта на основаниях, предусмотренных ФЗ или другими федеральными законами.

10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПД

10.1. При обработке ПД Оператор применяет правовые, организационные и технические меры и обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности ПД при их обработке в информационных системах ПД, требованиям к материальным носителям ПД и технологиям хранения таких данных вне информационных систем ПД, установленными Правительством РФ.

10.2. Мероприятия по защите ПД определяются Положениями, Приказами, Инструкциями и другими локальными актами Общества.

10.3. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ними нормативно-правовыми актами. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами, если иное не предусмотрено указанным законом иди другими федеральными законами. Обеспечение безопасности ПД достигается в частности:

  • назначением ответственного лица за организацию обработки ПД;
  • определением угроз безопасности ПД при их обработке в информационных системах ПД;
  • применение организационных и технических мер по обеспечению безопасности ПД;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПД;
  • обнаружением фактов несанкционированного доступа к ПД и принятием необходимых мер;
  • восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПД, обрабатываемых в информационных системах ПД;
  • контролем над принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД;
  • оценкой вреда, который может быть причинен Субъектам ПД в случае нарушения ФЗ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ;
  • издание Обществом локальных актов по вопросам обработки ПД, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранения последствий таких нарушений;
  • ознакомление сотрудников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ, настоящей Политикой и другими локальными актами по вопросам обработки ПД, и (или) обучением (инструктаж) указанных сотрудников.

11. ЗАПРОСЫ, ОБРАЩЕНИЯ И ПОРЯДОК ИХ ОБРАБОТКИ ОПЕРАТОРОМ

11.1. Оператор обязан предоставить безвозмездно Субъекту или его представителю возможность ознакомления с ПД, относящимися к этому Субъекту. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПД. Оператор обязан уведомить Субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПД этого Субъекта были переданы.

11.2. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

11.3. В случае выявления неправомерной обработки ПД при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование ПД, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы Субъекта или третьих лиц.

11.4. В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных Субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПД.

11.5. В случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДН или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПД невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД, обязан уничтожить такие ПД или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПД Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

12. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛИТИКИ

12.1. Контроль исполнения настоящей Политики возложен на Куратора ОПД.

12.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством РФ.

12.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

13. ПРОЧИЕ ПОЛОЖЕНИЯ

13.1. Настоящая Политика и изменения к ней утверждаются единоличным исполнительным органом Общества, являются обязательными для исполнения всеми сотрудниками, имеющими доступ к ПД Субъектов, и вступает в силу со дня ее утверждения.

13.2. Все сотрудники Общества, допущенные к работе с ПД, должны быть ознакомлены с настоящей Политикой до начала работы с ПД.

13.3. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, иным документам, определяющим политику Оператора в отношении обработки ПД, к сведениям о реализуемых требованиях к защите персональных данных Оператор осуществляет, в частности, но не ограничиваясь, посредством размещения на сайте, принадлежащем Оператору.

13.4. Все вопросы, связанные с обработкой ПД, не урегулированные настоящей Политикой, разрешаются в соответствии с действующими законодательством РФ в области персональных данных, а также принятыми Обществом иными локальными актами в области персональных данных.