Политика обработки и защиты персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в области обработки и защиты персональных данных (далее – «Политика») является внутренним нормативным документом САП-Проект далее – «Общество», определяющим права и обязанности субъектов персональных данных и Общества, принципы и условия обработки персональных данных, способы обработки и перечень действий с персональными данными, перечень обрабатываемых персональных данных, цели и сроки их обработки, категории субъектов персональных данных, порядок обработки персональных данных , порядок уточнения, удаление и уничтожение персональных данных, порядок ответов на запросы субъектов на доступ к персональным данным.

1.2. Политика направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Целью разработки Политики является создание в Обществе единой системы взглядов и понимания целей, условий и порядка обработки персональных данных.

1.4. Политика разработана в соответствии со следующими нормативными документами:

  • Конституция Российской Федерации;
  • Федеральный закон от 27.07.2006 No 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
  • Федеральный закон от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Трудовой кодекс Российской Федерации;
  • Постановление Правительства Российской Федерации от 15.09.2008 No687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18.02.2013 No21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.5. Политика применяется Обществом к обработке персональных данных, в том числе в следующих случаях:

  • использование сайта Общества;
  • любые обращения в Общество в любой форме, направление жалоб, комментариев или замечаний и предложений;
  • посещение офисов и иных помещений Общества;
  • продажа товаров, проведение работ, оказание услуг (включая информационные услуги с использованием веб-сервисов);
  • взаимодействие с контрагентами, бизнес-партнерами, иными компаниями при осуществлении хозяйственной деятельности Общества;
  • трудовые отношения с сотрудниками Общества;
  • взаимодействие с кандидат амина вакантные должности в Обществ;
  • в иных случаях.

1.6. Политика является общедоступным документом и публикуется на официальном Интернет-сайте Общества в целях ознакомления с ней неограниченного круга лиц.

1.7.1. Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники.

1.7.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.7.3. Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных.

1.7.4. Информационная система персональных данных (далее – «ИСПДн») – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.7.5. Информация – сведения (сообщения, данные) независимо от формы их представления.

1.7.6. Конфиденциальность персональных данных – обязательное для выполнения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, и их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.7.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.7.8. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.7.9. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.7.10. Ответственный за организацию обработки персональных данных – должностное лицо Общества, ответственное за организацию обработки персональных данных в Обществе.

1.7.11. Персональные данные (далее – «ПДн») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

1.7.11.1. ПДн, разрешенные субъектом персональных данных для распространения, – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».

1.7.12. Предоставление персональных данных – действия, направленные на раскрытие ПДн данных определенному лицу или определенному кругу лиц.

1.7.13. Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

1.7.14. Субъект персональных данных (далее – «субъект ПДн») – физическое лицо, определяемое или определенное ПДн .

1.7.15. Специальные категории персональных данных – ПДн субъектов ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.

1.7.16. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.

1.7.17. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДН и (или) в результате которых уничтожаются материальные носители ПДн.

1.7.18. Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.

1.7.19. Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя Сайта, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

1.7.20. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

1.7.21. Сайт – официальный Интернет-сайт vsap.ru, принадлежащий САП-Проект.

1.8. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн в Обществе;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые в Обществе способы обработки ПДн;
  • наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании законодательства Российской Федерации;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

1.9. Сведения по запросу должны быть предоставлены субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

1.10. Субъект ПДн имеет право на отзыв данного ранее согласия на обработку ПДн.

1.11. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.12. Для реализации своих прав и защиты законных интересов субъект ПДн имеет право обратиться к Обществу. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных». Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

1.13. Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в органе по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

1.14. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, а также иные права, определенные главой 3 ФЗ «О персональных данных».

1.15. Общество как оператор при обработке ПДн обязано:

  • принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты ПДн;
  • разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;
  • осуществлять блокирование неправомерно обрабатываемых ПДн;
  • осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;
  • уведомлять субъекта ПДн об устранении допущенных нарушений или уничтожения его ПДн;
  • предоставлять по просьбе субъекта ПДн или его законного представителя информацию, касающуюся обработки его ПДн, в порядке, установленном законодательством Российской Федерации и
  • внутренними нормативными документами Общества.
  • обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

1.16. В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и внутренними нормативными документами Общества, в

Обществе назначается Ответственный за организацию обработки ПДн.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка ПДн в Обществе осуществляется на основе следующих принципов:

2.1.1. законности и справедливой основы;

2.1.2. ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;

2.1.3. недопущения обработки ПДн, несовместимой с целями сбора ПДн;

2.1.4. недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

2.1.5. обработки только тех ПДн, которые отвечают целям их обработки;

2.1.6. соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

2.1.7. недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;

2.1.8. обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;

2.1.9. осуществления хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

2.1.10. уничтожения ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.

3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка ПДн в Обществе должна осуществляться в соответствии с требованиями ФЗ «О персональных данных», настоящей Политикой и внутренними нормативными документами Общества, регламентирующими обработку и обеспечение безопасности ПДн.

3.2. Обработка ПДн производится в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных
  • законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных
  • интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.3. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

4. СПОСОБЫ ОБРАБОТКИ И ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

4.1. Общество осуществляет обработку ПДн с использованием средств автоматизации, а также без использования таких средств.

4.2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, доступ, блокирование, удаление, уничтожение ПДн.

4.3. Общество не осуществляет распространение ПДн.

5. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ И СРОКИ ИХ ОБРАБОТКИ

5.1. Общество осуществляет обработку ПДн следующих категорий субъектов ПДн:

  • работников Общества,
  • родственников работников Общества,
  • бывших работников Общества,
  • кандидатов на вакантные должности в Обществе,
  • контрагентов-физических лиц,
  • представителей контрагентов-физических лиц,
  • представителей контрагентов-юридических лиц,
  • клиентов-физических лиц,
  • посетителей сайта Общества,
  • участников Общества.

5.2. Перечень обрабатываемых в Обществе ПДн, цели сбора и обработки ПДн, правовые основания обработки ПДн, а также сроки обработки ПДн, устанавливаются приказом Генерального директора Общества.

6. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В Обществе не подлежат обработке ПДн, относящиеся к специальным категориям: расовая принадлежность; национальная принадлежность; политические взгляды; религиозные или философские убеждения; состояния здоровья (за исключением состояния здоровья работников Общества в случаях, установленных ст. 69, 73, 213, 324, 328 Трудового кодекса Российской Федерации); интимная жизнь.

6.2. В случае принятия решения об обработке указанных категорий ПДн, должно быть обеспечено выполнение одного из условий:

6.2.1. субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

6.2.2. обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 ФЗ «О персональных данных»;

6.2.3. обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

6.2.4. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

6.2.5. обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;

6.2.6. обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

6.2.7. обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

6.3. Обработка ПДн о судимости может осуществляться Обществом в соответствии со ст. 65 Трудового кодекса Российской Федерации, а также в случаях и порядке, которые определяются соответствующими федеральными законами.

7. БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

7.1. Обработка биометрических ПДн в Обществе осуществляется в случаях, если субъект ПДн дал согласие в письменной форме на обработку своих биометрических ПДн.

7.2. Обработка биометрических ПДн может осуществляться без согласия субъекта ПДн в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

7.3. Общество может осуществлять обработку следующих видов биометрических ПДн данных:

  • фотография;
  • видеоизображение.

8. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Общество и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством.

9. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ПРОДВИЖЕНИЯ ПРОДУКТОВ И УСЛУГ НА РЫНКЕ

9.1. Обществом может производиться комплекс мероприятий по продвижению продуктов и услуг Общества путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, в рамках которого обрабатываются ПДн клиентов только при условии их предварительного письменного согласия.

9.2. В случае отказа клиента от обработки его ПДн в целях продвижения продуктов и услуг, Общество обязано немедленно прекратить обработку его ПДн в указанных целях.

10. ПРИНЯТИЕ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. В Обществе запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных ч. 2 ст. 16 ФЗ «О защите персональных данных» (см. п. 10.2).

10.2. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

Перед началом применения информационных систем для принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Общество обязано:

разъяснить субъекту ПДн порядок принятия и возможные юридические последствия такого решения;
разъяснить порядок защиты субъектом ПДн своих прав и законных интересов;
получить в письменной форме согласие субъекта ПДн на такой способ принятия решений при обработке его ПДн.
После принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Общество обязано:

известить субъекта ПДн о принятом решении с целью предоставления возможности заявить возражение против такого решения;
рассмотреть возражение, поступившее от субъекта ПДн, в течение 30 (тридцати) дней со дня его полу

10.3. В соответствии со ст. 86 Трудового кодекса Российской Федерации, при принятии решений, затрагивающих интересы работников, Общество как работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

11. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Обработка ПДн субъектов ПДн производится Обществом строго в соответствии с принципами и на условиях, определенных законодательством Российской Федерации.

11.2. При предоставлении ПДн третьей стороне должны выполняться следующие условия:

  • передача (предоставление, доступ) ПДн третьей стороне осуществляется на основании договора, в котором содержится поручение на обработку ПДн;
  • передача (предоставление, доступ) ПДн третьей стороне осуществляется на основании действующего законодательства Российской Федерации;
  • наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.

11.3. В поручении Общества на обработку ПДн в обязательном порядке определяются:

11.3.1. Перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, при этом перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с Обществом, согласии и т.п. документах;

11.3.2. Цели обработки, при этом цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с Обществом, согласии и т.п. документах;

11.3.3. Обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

11.3.4. Требования к защите ПДн (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть ниже требований, выполняемых самим Обществом).

11.4. Общество вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

11.5. Информация, относящаяся к ПДн, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.

11.6. Работники Общества и иные лица, получившие доступ к обрабатываемым ПДн, подписывают обязательство о неразглашении конфиденциальной информации, а также предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки ПДн.

11.7. В соответствии с ч. 2 ст. 19 ФЗ «О персональных данных» для обеспечения безопасности ПДн при их обработке Общество принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

12. УТОЧНЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, ПДн подлежат уточнению Обществом, а в случае неправомерной обработки ПДн должна быть прекращена.

12.2. Уточнение ПДн, обрабатываемых в Обществе, осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.

12.3. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

12.4. Уничтожение ПДн субъекта ПДн производится в следующих случаях:

12.4.1. По достижении целей их обработки в срок, не превышающий 30 (тридцати) дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами Российской Федерации;

12.4.2. Утраты необходимости в достижении целей обработки ПДн в течение 30 (тридцати) дней;

12.4.3. В случае невозможности обеспечения правомерности обработки ПДн в срок, не превышающий 10 (десяти) рабочих дней с момента выявления неправомерной обработки ПДн;

12.4.4. В случае отзыва субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять Обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами Российской Федерации;

12.4.5. В случае истечения срока хранения ПДн, определяемого в соответствии с законодательством Российской Федерации и организационно-распорядительными документами Общества;

12.4.6. В случае предписания уполномоченного органа по защите прав субъектов ПДн, Прокуратуры Российской Федерации или решения суда;

12.4.7. Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.

12.5. В случае отзыва субъектом согласия на использование ПДн для контактов с потенциальными потребителями при продвижении товаров и услуг Общество немедленно прекращает по требованию субъекта ПДн обработку его ПДн.

12.6. Уничтожение на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

12.7. Уничтожение на бумажных носителях осуществляется в соответствии с правилами Общества, установленными для документооборота и архивирования. Структурное подразделение, ответственное за обработку ПДн, осуществляет систематический контроль и выделение документов, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.

12.8. Общество обязано сообщить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.

13. РЕАЛИЗУЕМЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. В соответствии с требованиями ст. 18.1 и ст. 19 ФЗ «О персональных данных» в Обществе реализуются следующие меры направленные на обеспечение выполнения Обществом обязанностей, предусмотренных действующим законодательством Российской Федерации:

13.1.1. назначение ответственного за организацию обработки ПДн;

13.1.2. издание документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

13.1.3. осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям действующего законодательства и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политики, локальным актам Общества;

13.1.4. оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства в области персональных данных, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации;

13.1.5. ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;

13.1.6. обеспечение неограниченного доступ к Политике, в том числе к сведениям о реализуемых требованиях к защите ПДн, путем размещения настоящей Политики по адресу нахождения Общества, а также на Сайте;

13.1.7. определение угроз безопасности ПДн при их обработке в ИСПДн;

13.1.8. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

13.1.9. обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

13.1.10. оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

13.1.11. учет лиц, допущенных к работе с ПДн в ИСПДн;

13.1.12. установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;

13.1.13. недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

13.1.14. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

14. РЕАГИРОВАНИЕ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Субъект ПДн может обратиться в Общество по всем предусмотренным в законодательстве Российской Федерации вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение), по адресу электронной почты info@pik-broker.ru либо путем направления письменного запроса по адресу Общества. Согласие на обработку ПДн может быть отозвано субъектом путем направления сканированной копии письменного уведомления, подписанного субъектом ПДн, на адрес электронной почты: info@pik-broker.ru либо оригинала письменного уведомления в адрес Общества заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под подпись уполномоченному представителю Общества.

14.2. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта персональных данных или его представителя, дату обращения.

14.3. В случае необходимости Ответственный за организацию обработки ПДн, запрашивает дополнительную информацию у субъекта ПДн (или его законного представителя).

14.4. Процедуру рассмотрения запросов субъектов персональных данных или их представителей, осуществляется в соответствии с Правилами рассмотрения запросов субъектов персональных данных или их представителей, утвержденными Приказом Генерального директора Общества.

Читайте также

Пользовательское соглашение

Согласие на обработку персональных данных

Политика обработки и защиты персональных данных

Политика Сookie

Ввод вывод электронных денег

Лицензионное соглашение