1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящей Политикой определяется порядок обработки и защиты персональных данных, установленный у Оператора: ООО «Бофт», 199178, г Санкт-Петербург, линия 13-Я В.О., дом 72, лит. А, ПОМ/ОФИС 1-Н/238, ИНН: 7839492042, ОГРН: 1147847064177 (далее – Оператор).
1.2. Настоящая политика определяет порядок обработки персональных данных на материальных и электронных носителях, а также с использованием средств автоматизации, в том числе посредством обработки персональных данных на Сайте Оператора, размещенном в сети Интернет по адресу (включая все страницы, размещенные на указанном домене): www.boft.io, www.boft.ru
1.3. Обращения Оператору по вопросам обработки и защиты персональных данных могут быть направлены по адресу места нахождения Оператора, указанному выше, а также по адресу электронной почты hello@boft.ru
1.4. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Оператора, его работников, контрагентов и третьих лиц в связи с необходимостью обработки сведений, составляющих персональные данные.
1.5. Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон), иными законами и подзаконными актами Российской Федерации, а также настоящей Политикой.
1.6. Оператор вправе принимать иные локальные нормативные акты (далее – ЛНА), регулирующие порядок обработки и защиты персональных данных Оператором, его работниками и уполномоченными лицами.
1.7. Политика о персональных данных должна быть опубликована на Сайте Оператора, а также может быть доступна для ознакомления неограниченному кругу лиц иными способами, согласованными с Оператором. В связи с тем, что приложения к настоящей Политике содержат сведения о технических мерах защиты персональных данных, а также иные сведения, раскрытие которых может снизить уровень защиты персональных данных, доступ к таким приложениям предоставляется исключительно лицам, в обязанности которых входит работа с соответствующими информационными системами персональных данных.
1.8. Оператор вправе в любое время по своему усмотрению вносить изменения в настоящую политику.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. К целям обработки персональных данных оператора относятся:
2.2.1. Заключение и исполнение трудового договора (выплата заработной платы; ведение кадрового, налогового и бухгалтерского учета), в т.ч.: организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами; исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование; заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.
2.2.2. Подбор персонала (соискателей) на вакантные должности оператора, Проведение собеседований.
2.2.3. Заключение и исполнение гражданских договоров (в т.ч. выплата вознаграждения, передача отчетности и т.д.).
2.2.4. Заключение и исполнение оферты на Сайте Оператора.
2.2.5. Рассылка уведомлений и информации пользователям Сайта.
2.3. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных допускается в следующих случаях:
3.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
3.1.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3.1.3. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц;
3.1.4. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
3.2. Совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; Уставные документы оператора;
3.3. Правовыми основаниями для обработки персональных данных являются:
3.3.1. Заключение и исполнение договора (п.5 ч.1 ст.6 ФЗ 152-ФЗ);
3.3.2. Согласие на обработку персональных данных (п.1 ч.1 ст.6 ФЗ 152-ФЗ);
3.3.3. Исполнение законных обязанностей оператора ПДн (п.2 ч.1 ст.6 ФЗ 152-ФЗ);
3.3.4. Осуществление прав и законных интересов оператора (п.7 ч.1 ст.6 ФЗ 152-ФЗ).
4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Работники оператора, бывшие работники, а также родственники работников. В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений: фамилия, имя, отчество; пол; гражданство; национальность; дата (число, месяц, год) и место рождения; адрес места проживания; сведения о регистрации по месту жительства или пребывания; номера телефонов, адрес электронной почты; замещаемая должность; сведения о трудовой деятельности; идентификационный номер налогоплательщика; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета; данные полиса обязательного медицинского страхования; данные паспорта или иного удостоверяющего личность документа; данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации; данные трудовой книжки, вкладыша в трудовую книжку; сведения о воинском учете; сведения об образовании; сведения о наградах, иных поощрениях; сведения о дисциплинарных взысканиях; сведения, содержащиеся в материалах служебных проверок; сведения о семейном положении; сведения о близких родственниках; сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера; номер расчетного счета.
4.2. Контрагенты оператора (физические лица и представители юридических лиц). В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных: наименование контрагента, ФИО субъекта, ИНН, ОГРНИП, СНИЛС, дата рождения, адрес электронной почты, номер телефона, адрес регистрации, почтовый адрес, паспортные данные, банковские реквизиты, данные паспорта или иного удостоверяющего личность документа.
4.3. Клиенты оператора (физические лица и/или представители юридических лиц). В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением оферты на Сайте Оператора: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес электронной почты; номер телефона; файлы cookies; геолокация устройства пользователя.
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается: (1) в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; (2) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством.
5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Информация, получаемая Оператором, может иметь как материальную, так и электронную форму.
5.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных.
5.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.8.1. Сведения о месте нахождения носителя информационной системы персональных данных указаны в соответствующем положении о информационной системе персональных данных.
5.8.2. После того как в отношении определенного набора персональных данных будут выполнены требования Закона о локализации, повторная иди дополнительная локализация таких персональных данных не требуется, в связи с достижением целей, установленных Законом.
5.8.3. Если персональные данные были записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься Оператором в принадлежащую ему электронную базу данных, находящуюся за пределами Российской Федерации.
5.9. Оператор разъясняет субъектам персональных данных, что в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом и/или необходимо для заключения/исполнения договора, то отказ предоставить персональные данные влечет соответствующие юридические последствия, включая невозможность использования Сайта, а также заключения и исполнения сделок с Оператором.
5.10. Работники и/или представители Оператора обязаны соблюдать конфиденциальность обрабатываемых персональных данных, предпринимать все необходимые меры для соблюдения правил обработки персональных данных, предусмотренных настоящей Политикой, а также для обеспечения необходимого уровня защиты персональных данных от неправомерного доступа и иных угроз. В случае возникновения внештатной ситуации или отсутствии информации о необходимых действиях по защите персональных данных, работник обязан обратиться к своему непосредственному руководителю для получения необходимых инструкций и/или пояснений.
6. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Информация об основаниях обработки персональных данных, а также об источниках персональных данных указывается в соответствующих положениях об отдельных информационных системах персональных данных (ИСПДн).
6.1.1. Источниками персональных данных могут являться субъект персональных данных, общедоступные источники персональных данных и иные источники, если иное не предусмотрено в положениях об отдельных ИСПДн.
6.1.2. Обработка персональных данных, источником которых не является непосредственно субъект персональных данных осуществляется в строгом соответствии с действующим законодательством Российской Федерации в области защиты персональных данных.
6.1.3. При получении информации о персональных данных от третьих лиц Оператор предпринимает все возможные меры, а также получать заверения и гарантии от третьих лиц, предоставляющих информацию, о том, что обработка персональных данных такими лицами осуществляется в строгом соответствии с действующим законодательством. Соответствующие заверения и гарантии законности обработки персональных данных включаются в соглашения с лицами, которые являются источниками персональных данных.
6.2. Оператор не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда субъект персональных данных дал свое прямое согласие в письменной форме на обработку указанных персональных данных, а также в случае, если такие персональные данные сделаны общедоступными субъектом персональных данных.
6.3. Обработка персональных данных возможна при наличии согласия субъекта персональных данных на обработку его персональных данных либо без такого согласия в следующих случаях:
6.3.1. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
6.3.2. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.
6.3.3. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
6.3.4. Обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания персональных данных.
6.3.5. Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
6.3.6. В иных случаях, предусмотренных Законом.
6.4. Соглашаясь с политикой обработки персональных данных, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
6.4.1. Субъект персональных данных подтверждает, что согласие на обработку персональных данных является конкретным, информированным и сознательным.
6.4.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
6.5. Обработка персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии предварительного согласия субъекта персональных данных. Оператор ведет учет сведений о дате и форме получения согласия субъекта персональных данных на обработку своих данных в вышеназванных целях.
6.6. Оператор прекращает обработку персональных данных по требованию субъекта персональных данных. Требования субъекта персональных данных о прекращении обработки его персональных данных могут быть направлены Оператору посредством запроса в письменной и/или электронной форме.
6.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, прямо указанных в Законе.
7. ОБРАБОТКА КУКИ-ФАЙЛОВ (COOKIES)
7.1. Настоящее положение также определяет порядок обработки и хранения файлов Cookies (далее – Данные), установленный у Оператора. Данное положение применяется ко всем интернет-страницам, расположенным в домене Сайта.
7.2. Обработка Данных осуществляется с помощью сервисов интернет статистики Яндекс.Метрика https://metrika.yandex.ru, рекламных сетей ВКонтакте https://vk.com, а также иных сервисов.
7.3. Акцептом условий использования Данных являются любые действия Пользователя по использованию Сайта, в том числе первое открытие любой страницы Сайта в браузере на любом устройстве Пользователя.
7.4. Использование Сайта, в том числе его просмотр, поиск информации возможно только при условии полного и безоговорочного принятия условий использования Данных. При несогласии Пользователя с условиями использования данных, Пользователь обязан немедленно прекратить использование Сайта.
7.5. Оператор вправе по своему усмотрению обновлять Положение в отношении файлов cookies. Все изменения будут применяться после публикации новой редакции Положения в отношении файлов cookies на Сайте.
7.6. Обработка данных
7.6.1. Cookies представляет собой файл, который содержит текстовую информацию и сохраняется веб-браузером при посещении Сайта, что позволяет веб-сайту, открытому в браузере, сохранять и определять интернет-активность Пользователя.
7.6.2. Данные используются для обеспечения работы Сайта, отслеживания перемещения Пользователей по Сайту и сохранения аутентификационных данных. На Сайте могут быть использованы следующие типы cookies-файлов:
Прямые cookies-файлы, которые создаются непосредственно Сайтом, а также сторонние cookies-файлы, которые создаются иными веб-сайтами.
Обязательные cookies-файлы, которые необходимы для технического обеспечения корректной работы веб-сайта.
Мониторинговые cookies-файлы, в которых сохраняется информация о работе веб-сайта, включая количество посетителей, проведенное на Сайте время, сообщения об ошибках.
Функциональные cookies-файлы, которые улучшают работу веб-сайта путем запоминания предпочтений Пользователя, включая языковые, региональные или иные параметры.
Рекламные cookies-файлы, которые позволяют предлагать персонализированную рекламу.
Сессионные cookies-файлы являются временными и удаляются при закрытии браузера, а постоянные cookies-файлы остаются на устройстве до тех пор, пока они не будут удалены вручную или автоматически удалены устройством Пользователя.
7.6.3. Сайт может содержать и использовать веб-маячки и аналогичные технологии, которые представляют собой прозрачное изображение размером 1х1 пиксель, которое размещается на Сайте или в электронном письме и помогает анализировать поведение Пользователей.
7.6.4. Файлы cookies могут использоваться для определения Пользователя, при этом Данные ни при каких обстоятельствах не используются для определения личности пользователя и не являются персональными данными.
7.6.5. Некоторые файлы cookies, могут обрабатываться с участием сторонних сервисов и третьих лиц (информационными, рекламными, аналитическими партнёрами), которые могут обрабатывать и объединять файлы cookies, собранные на Сайте, с другой информацией, предоставленной Пользователем и/или собранной с других веб-сайтов.
7.7. Использование Сайта подразумевает полное и информированное согласие Пользователя на обработку Данных Оператором в порядке и на условиях, установленных Положением. Сбор и обработка Данных осуществляются автоматически при использовании Сайта.
7.8. В случае отказа Пользователя от предоставления права использования Данных Оператором, Пользователь вправе в любое время самостоятельно отключить возможность использования файлов Cookies и иных данных о Пользователе, используемом браузере, устройстве, с которого осуществляется использование Сайта, настроить иные параметры использования данных на своем браузере и/или устройстве, а также вправе отказаться от использования Сайта.
7.9. Согласие распространяется на любое действие (операцию) или совокупность действий (операций) включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, блокирование, удаление и уничтожение.
7.10. В настройках браузера Пользователь может установить уведомления об обработке Данных или полностью запретить их обработку. При этом, отключение cookies-файлов может повлиять на корректную работу Сайта.
7.11. Сайт использует сеансовые и постоянные файлы cookies. Сеансовые файлы cookies хранятся временно и удаляются после закрытия браузера. Постоянные файлы cookies сохраняются после завершения сеанса и обрабатываются до момента отзыва согласия Пользователя на обработку Данных.
7.12. Пользователь имеет право получать информацию об обработке Оператором файлов cookies на Сайте; требовать исправления неточных файлов cookies Пользователя; требовать удаления файлов cookies Пользователя; ограничивать обработку файлов cookies при наличии технической возможности и в случае, если это допускается в соответствии с действующим законодательством.
7.13. Данные используются для контроля трафика, анализа использования Сайта и улучшения его работы.
7.14. Пользователям следует принимать во внимание, что третьи лица могут использовать файлы cookies, собранные на Сайте, для иных целей, в частности для настройки предпочтений Пользователя при использовании других сайтов, отображения наиболее релевантной рекламы, оценки активности рекламных кампаний и отслеживания действий Пользователя на других сайтах. Оператор не несет ответственности за действия третьих лиц при использовании Данных на сторонних сайтах.
7.15. Оператор не использует системы автоматического принятия решений при обработке файлов cookies на Сайте.
7.16. Обработка файлов cookies на Сайте может также предполагать обработку таких файлов третьими лицами в случае интеграции сервисов Сайта с сервисами и сайтами третьих лиц.
7.17. Для определения порядка и условий обработки Данных сторонними сайтами и сервисами Пользователю необходимо напрямую связаться с соответствующими операторами данных.
7.18. Оператор вправе осуществлять интеграцию сторонних сервисов на Сайт, в результате чего, обработка собранных cookies-файлов будет осуществляться третьими лицами в порядке и на условиях, определяемых такими лицами.
7.19. В связи с вышеизложенным обработка файлов cookies может осуществляться за пределами страны Пользователя.
8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора (в целях заключения и/или исполнения договора между Оператором и Субъектом).
8.2. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
8.3. Персональные данные субъекта никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, прямо связанных с исполнением договора или связанных с исполнением действующего законодательства. В том числе Оператор вправе осуществлять передачу ПДн в следующих случаях:
8.3.1. Передача в Государственные органы - в целях исполнения трудового, налогового и иных требований законодательства;
8.3.2. Передача в Кредитные организации и платежные сервисы - в целях исполнения трудового или гражданского договора (выплата вознаграждения).
8.3.3. Передача в специализированный сервис рассылки осуществляется исключительно в целях реализации технических мер по рассылке информации.
8.3.4. Передача в целях исполнения договора, в том числе: анализ данных, обработка информации, авторизация и идентификация пользователей, техническая поддержка и связь с пользователем, осуществление платежей по договору, рекомендации по использованию сервисов и программных продуктов.
8.4. Способы передачи: с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
8.5. Трансграничная передача персональных данных не осуществляется.
8.6. Субъекты персональных данных уведомлены, что при передаче персональных данных Оператор соблюдает следующие правила:
8.6.1. Не сообщает персональные данные субъекта персональных данных в коммерческих целях без согласия субъекта персональных данных.
8.6.2. Предупреждает лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц заверений о том, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности полученных данных.
8.6.3. Разрешает доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
8.7. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом соглашения.
8.7.1. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
8.7.2. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
8.8. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать дополнительное согласие субъекта персональных данных на обработку его персональных данных.
8.9. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.
9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. При обработке персональных данных Оператором не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
9.2. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
9.3. Уничтожение и/или блокирование персональных данных может производиться любым способом, исключающим дальнейшую обработку этих персональных данных, в том числе путем физического уничтожения материальных носителей и безвозвратного удаления данных с электронного носителя без возможности восстановления таких данных.
9.4. Уничтожение и/или блокирование персональных данных осуществляются лицом, ответственным за защиту соответствующей ИСПДн.
9.5. Уточнение персональных данных производится путем обновления или изменения данных на соответствующем носителе. Если такой порядок не допускается техническими особенностями носителя, то уточнение персональных данных осуществляется путем фиксации на том же носителе сведений о вносимых изменениях либо путем изготовления нового носителя с уточненными персональными данными.
9.6. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их обновление для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.1.1. Осуществление организационных и правовых мер по защите персональных данных и установлению порядка обработки персональных данных Оператором осуществляется лицом, уполномоченным руководителем Оператора.
10.1.2. Осуществление технических и иных мер по защите персональных данных, содержащихся в отдельных ИСПДн, осуществляется лицом, уполномоченным руководителем Оператора соответствующим приказом.
10.1.3. Перечень лиц, имеющих право доступа к отдельным ИСПДн устанавливается в журналах учета (перечнях) лиц, имеющих соответствующий доступ. Право доступа к персональным данным также может быть предоставлено иным лицам, перечисленным в журнале лиц, имеющих доступ к персональным данным.
10.1.4. Порядок хранения материальных и электронных носителей персональных данных и ИСПДн, а также перечень обрабатываемых персональных данных и цели обработки персональных данных устанавливаются в положениях об отдельных ИСПДн.
10.2. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных и лиц, имеющих доступ к персональным данным.
10.3. Оператор ведет перечни действующих локальных нормативных актов, ИСПДн, а также перечни лиц, ответственных за защиту персональных данных, и лиц, имеющих доступ к ИСПДн, а также иные перечни, при наличии необходимости ведения соответствующего учета. Ведение перечней может осуществляться в электронном виде и/или на материальных носителях.
10.4. Лицо, ответственное за организацию обработки персональных данных обязано:
10.4.1. Организовывать работу Оператора по разработке и принятию организационно-распорядительных документов, регламентирующих деятельность по обработке и защите персональных данных, поддержанию их в актуальном состоянии;
10.4.2. Организовывать принятие Оператором правовых, организационных и технических мер для защиты персональных данных;
10.4.3. Проводить инструктаж работников в соответствии с Инструкцией по проведению инструктажа лиц, допущенных к работе с информационными системами персональных данных;
10.4.4. Осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также инициировать проведение служебных расследований по фактам нарушения установленных правил обработки и защиты персональных данных;
10.4.5. Представлять интересы Оператора при проверках надзорных органов в сфере обработки персональных данных, а также организовывать прием и обработку обращений субъектов персональных данных.
10.5. Лицо, ответственное за обеспечение безопасности отдельной информационное системы персональных данных обязано:
10.5.1. Обеспечить применение технических мер защиты персональных данных, сохранность и резервное копирование данных, а также обеспечивать функционирование и безопасность средств защиты информации;
10.5.2. Контролировать выполнение установленных правил обеспечения защиты персональных данных лицами, допущенными к обработке персональных данных в соответствующей ИСПДн;
10.5.3. Инициировать проведение служебных расследований по фактам нарушения установленных правил обеспечения защиты персональных данных, несанкционированного доступа к персональным данным;
10.5.4. Контролировать и обеспечивать правомерный доступ к ИСПДн, контролировать доступ в помещения с носителями ИСПДн, обеспечить доступ к защищаемой информации всем группам пользователей ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения, а также не допускать к работе на элементах ИСПДн посторонних лиц.
11. ОБЩИЕ МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора по защите персональных данных включает следующие обязанности:
11.1.1. утверждение перечня ИСПДн и назначение лиц, ответственных за организацию обработки и защиты персональных данных;
11.1.2. издание документов, определяющих политику Оператора в отношении обработки персональных данных, а также издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
11.1.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
11.1.4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
11.1.5. оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей по защите персональных данных;
11.1.6. ознакомление и/или обучение лиц, непосредственно осуществляющих обработку персональных данных.
11.2. Обеспечение безопасности персональных данных достигается, в частности:
11.2.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
11.2.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
11.2.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, а также учетом носителей персональных данных.
11.2.4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
11.2.5. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.
11.2.6. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
11.2.7. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
11.2.8. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
11.3. Оператор обеспечивает неограниченный доступ к документам, определяющим его политику в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных путем размещения таких документов на Сайте, в месте своего нахождения и/или иным образом.
12. ПОРЯДОК ПРИМЕНЕНИЯ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2. Мероприятия по защите персональных данных осуществляются на регулярной и систематичной основе. Регулярность и систематичность подразумевает осуществление мероприятий по мере необходимости, но не реже одного раза в каждом календарном году.
12.3. Для защиты персональных данных и предотвращения несанкционированного доступа к персональным данным применяются следующие организационные меры защиты:
12.3.1. Доступ к носителям ИСПДн допускается только для лиц, в обязанности которых входит обработка персональных данных, с обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
12.3.2. Персональные данные, обрабатываемые при помощи материальных носителей, хранятся в запирающихся шкафах, в помещениях, доступ к которым может быть ограничен для определенного круга лиц. Обеспечивается контроль доступа к персональным данным.
12.3.3. Сохранность персональных данных, обрабатываемые при помощи вычислительной техники, обеспечивается средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.
12.3.4. Оператор ведет учет, хранения и обращения носителей, содержащих информацию с персональными данными.
12.3.5. На регулярной основе, но не реже одного раза в год, осуществляется проведение мероприятий по определению угроз безопасности персональных данных при их обработке и формирование моделей угроз.
12.3.6. На постоянной основе осуществляется контроль доступа в целях обнаружения фактов несанкционированного доступа к персональным данным.
12.3.7. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации. Регулярность проведения проверки устанавливается руководителем Оператора по мере необходимости, но в любом случае не реже одного раза в год.
12.3.8. Меры по контролю (анализу) защищенности персональных данных проводятся на регулярной основе и обеспечивают контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
12.3.9. Меры по выявлению инцидентов и реагированию на них включают обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов лицами, ответственными за защиту соответствующих персональных данных.
12.3.10. Оператор осуществляет организацию пропускного режима на территорию Общества, а также контроль доступа в помещения с техническими средствами обработки персональных данных.
12.3.11. Постоянный доступ в помещения, в которых осуществляется обработка персональных данных, имеют лица, непосредственно осуществляющие обработку персональных данных в соответствующей информационной системе. Лица, не осуществляющие обработку персональных данных, имеют допуск в указанные помещения только в присутствии лица, ответственного за защиту соответствующих ИСПДн.
12.4. Правовые меры защиты персональных данных включают:
12.4.1. Включение в договоры с контрагентами положений, гарантирующих защиту персональных данных контрагентами Оператора, в случае, если в рамках таких договоров осуществляется обработка персональных данных.
12.4.2. Оператор разрабатывает и регулярно обновляет необходимые локальные нормативные акты, и издает приказы в области защиты персональных данных.
12.4.3. Оператор назначает, а также ведет систематический контроль и учет лиц, ответственных за защиту персональных данных, а также учет лиц, имеющих доступ к ИСПДн.
12.5. В состав технических мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят следующие меры:
12.5.1. Оператор регулярно осуществляет проверку готовности и эффективности использования средств защиты информации, разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации, а также регистрацию и учет действий пользователей информационных систем персональных данных.
12.5.2. Оператором осуществляет использование антивирусных средств и средств восстановления системы защиты персональных данных, применение средств межсетевого обнаружения вторжений, анализа защищенности и средств криптографической защиты информации. Используемое программное обеспечение допускает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
12.5.3. Меры по идентификации и аутентификации субъектов доступа и объектов доступа обеспечивают присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
12.5.4. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
12.5.5. Меры по ограничению программной среды обеспечивают установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения и/или исключают возможность установки и (или) запуска запрещенного программного обеспечения.
12.5.6. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) исключают возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
12.5.7. Меры по регистрации событий безопасности обеспечивают сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
12.5.8. Меры по антивирусной защите обеспечивают обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
12.5.9. Меры по обнаружению (предотвращению) вторжений обеспечивают обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
12.5.10. Меры по обеспечению целостности ИСПДн обеспечивают обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
12.5.11. Меры по обеспечению доступности персональных данных обеспечивают авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
12.5.12. Меры по защите среды виртуализации исключают несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
12.5.13. Меры по защите технических средств исключают несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены.
12.5.14. Меры по защите информационной системы, ее средств, систем связи и передачи данных обеспечивают защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
12.5.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных обеспечивают управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
12.6. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
12.6.1. определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных;
12.6.2. адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
12.6.3. уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
12.6.4. дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
12.7. При невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
13. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА
13.1. Настоящий раздел устанавливает порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
13.2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператор организует проведение регулярных проверок условий обработки персональных данных (не реже одного раза в год).
13.3. Проверки осуществляются лицом, ответственным за организацию обработки персональных данных, либо, если такое лицо посчитает необходимым, комиссией, образуемой руководителем Оператора. Состав комиссии определяется лицом, ответственным за организацию обработки персональных данных Оператора.
13.4. Срок осуществления внутреннего контроля не должен превышать 5 рабочих дней с даты начала проверки, если иной срок не потребуется для проведения надлежащего контроля.
13.5. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется Акт проверки, который в течение направляется руководителю Оператора.
14. ПРАВИЛА ПРОВЕДЕНИЯ ОЦЕНКИ ПОТЕНЦИАЛЬНОГО ВРЕДА
14.1. Настоящий раздел устанавливает порядок проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, а также оценки соотношения указанного вреда и принимаемых оператором мер, направленных на защиту персональных данных.
14.2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
14.3. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
14.3.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
14.3.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
14.3.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных;
14.3.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
14.3.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
14.3.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
14.3.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
14.3.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
14.4. Субъекту персональных данных может быть причинен вред в форме:
14.4.1. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
14.4.2. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
14.5. В оценке возможного вреда Оператор исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:
14.5.1. Низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
14.5.2. Средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;
14.5.3. Высокий уровень возможного вреда - во всех остальных случаях.
14.6. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер:
14.6.1. Оценка возможного вреда субъектам персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных.
14.6.2. Состав и перечень инструментов оценки потенциального вреда определяется лицом, ответственным за организацию обработки персональных данных на основании доступной практики и доступных статистических данных.
15. ПРАВИЛА ОЗНАКОМЛЕНИЯ И ОБУЧЕНИЯ РАБОТНИКОВ
15.1. Настоящий раздел политики устанавливает порядок ознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
15.2. Ознакомление работников с действующими локальными нормативными актами в области защиты персональных данных осуществляется в общем порядке ознакомления работников Оператора с локальными нормативными актами, действующими в организации.
15.3. Обучение работников осуществляется по мере необходимости актуализации знаний и навыков в области защиты персональных данных. Решение о необходимости проведения обучения принимается лицом, ответственным за организацию обработки персональных данных.
15.4. Оператор разрабатывает типовые положения и обязанности о защите персональных данных и включает такие положения в должностные инструкции работников, осуществляющих обработку персональных данных.
15.5. Оператор разрабатывает проект типового обязательства работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
15.6. Оператор вправе издавать и утверждать иные инструкции по проведению контроля и инструктажу работников в области защиты персональных данных.
16. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
16.1. Работники Оператора, ответственные за обработку и защиту персональных данных, а также иные лица, получившие доступ к персональным данным, обязаны предпринимать все возможные меры по сохранению конфиденциальности персональных данных и предотвращению их разглашения.
16.2. В случае утраты лицом права доступа к соответствующей ИСПДн по любой причине (прекращение договора, распорядительный акт оператора, требование субъекта персональных данных и т.д.), такое лицо обязано незамедлительно прекратить обработку персональных данных, а также возвратить непосредственному руководителю все ИСПДн и средства доступа к ИСПДн, находящиеся в распоряжении такого лица.
16.3. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
16.4. За нарушение порядка обращения с персональными данными ответственное лицо несет ответственность, предусмотренную законом, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.
17. ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
17.1. Субъект персональных данных вправе направлять Оператору свои запросы и требования (далее – Обращение), в том числе относительно использования его персональных данных.
17.2. Обращение может быть направлено в письменной форме или в форме электронного документа. Документ должен быть направлен с адреса электронной почты, указанного субъектом при регистрации на Сайте или в договоре.
17.3. Субъект персональных данных вправе в любое время отозвать согласие на обработку его персональных данных.
17.4. Обращение должно содержать сведения о документе, удостоверяющем личность субъекта персональных данных или его представителя; сведения о договорных или иных законных отношениях с Оператором (в частности, логин и пароль на Сайте); Суть обращения; Подпись субъекта персональных данных или его законного представителя.
17.5. Оператор регистрирует поступление обращения и проверяет наличие всех обязательных реквизитов Обращения. При отсутствии в Обращении обязательных реквизитов Оператор вправе запросить дополнительные сведения, необходимые для идентификации субъекта персональных данных. По результатам рассмотрения надлежащего обращения, Оператор направляет ответ в форме, аналогичной поступившему обращению. Срок ответа на обращение не должен превышать 30 календарных дней, если иной срок прямо не предусмотрен действующим законодательством для отдельных видов обращений.
18. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
18.1. Настоящий локальный нормативный акт утверждается руководителем Оператора и вступает в силу с момента его утверждения.
18.2. Ознакомление работников с настоящим документом осуществляется в общем порядке, предусмотренном для ознакомления работников Оператора с локальными нормативными актами, действующими в организации, а также путем опубликования настоящего документа в открытом доступе для неограниченного круга лиц.
18.3. Правила рассмотрения запросов субъектов персональных данных или их представителей могут быть установлены в соответствующих положениях об ИСПДн.