изображение
изображение

Политика конфиденциальности

14514

ПОЛИТИКА ООО «ВИОЛА» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗУЕМЫХ ТРЕБОВАНИЙ К ИХ ЗАЩИТЕ

1 Общие положения

1.1 Настоящий документ определяет политику ООО «Виола» в отношении обработки персональных данных и реализуемых требований к их защите (далее - Политика) и излагает систему основных принципов, применяемых в отношении обработки персональных данных в организации.


1.2 Настоящая Политика разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а также в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных в ООО «Виола» (далее - Оператор).


1.3 Целью разработки настоящей Политики является реализация требований законодательства в области обработки и обеспечения безопасности персональных данных для всестороннего обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну, обеспечение безопасности персональных данных, обрабатываемых Оператором, от различных видов угроз, внешних и внутренних, умышленных и непреднамеренных, а также минимизацию ущерба от возможной реализаций угроз безопасности персональных данных.


1.4 Политикой определен перечень субъектов, персональные данные которых обрабатываются Оператором, цели сбора и обработки персональных данных, условия обработки персональных данных и их передачи третьим лицам, методы защиты персональных данных, реализуемые Оператором, права субъектов персональных данных и ответственность Оператора, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.


1.5 Действие настоящей Политики распространяется на все подразделения и всех сотрудников Оператора, на все процессы деятельности Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.


1.6 Настоящая Политика подлежит размещению на общедоступных ресурсах Оператора с неограниченным доступом и актуализируется в случае изменения законодательства Российской Федерации о персональных данных по результатам оценки достаточности и эффективности принимаемых мер обеспечения безопасности обработки персональных данных Оператором.


1.7 Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора по адресу: 199178, Россия, г. Санкт- Петербург, Васильевский остров, 18 линия, д. 29, литера А, помещение 1-Н, комната 154.


1.8 Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети «Интернет»: www.viola.ru.


1.9 Основные термины, определения и понятия, используемые в Политике:


Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.


Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.


Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).


Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.


Информационная система персональных данных (ИСПД) - совокупность баз персональных данных, информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без таковых.


Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.


Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.


Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.


Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.


Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.


Персональные данные (ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).


Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.


Субъект персональных данных - физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.


Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.10 Обработка ПДн Оператором осуществляется на основе следующих принципов:
  1. законности и справедливой основы;
  2. ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
  3. недопущения обработки ПДн, несовместимой с целями сбора ПДн;
  4. недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  5. обработки только тех ПДн, которые отвечают целям их обработки;
  6. соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
  7. недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
  8. обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
  9. уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.

1.11 Права субъектов персональных данных:


1.11.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.


1.11.2 В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
  1. подтверждение факта обработки ПДн;
  2. правовые основания и цели обработки ПДн;
  3. цели и применяемые способы обработки ПДн;
  4. сведения о лицах (за исключением работников компании Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с компанией Оператора или на основании федерального закона;
  5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  6. сроки обработки ПД, в том числе сроки их хранения;
  7. порядок осуществления субъектом ПД своих прав;
  8. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  9. иные сведения, предусмотренные Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.

1.11.3 Получить информацию, указанную в пункте 1.11.2, субъект ПДн может, обратившись с письменным запросом в компанию Оператора. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в сроки, установленные в законодательство о ПДн.


1.11.4 Обработка запросов субъектов ПДн производится Оператором согласно соответствующему внутреннему документу, разработанному и утвержденному в соответствии с действующим законодательством в области защиты ПДн, и подконтрольна работнику, ответственному за организацию обработки ПДн в компании Оператора.


1.12 Обязанности Оператора:


1.12.1 Оператор обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».


1.12.2 При сборе ПДн Оператор обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в разделе 1.11 настоящей Политики. В случае если предоставление ПД является обязательным в соответствии с законодательством, Оператор обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.


1.12.3 Если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».


1.12.4 Оператор при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.


1.12.5 Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.


1.12.6 Оператор обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн, касающиеся обрабатываемых ПДн в соответствии с требованиями законодательства.


1.12.7 В случае предоставления субъектом ПДн, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, Оператор обязуется устранить данные нарушения в сроки, предусмотренные Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», и уведомить субъекта ПДн о внесенных изменениях и принятых мерах.


1.12.8 В случае достижения целей обработки ПДн Оператор обязуется прекратить обработку ПДн и уничтожить ПДн в течение 30 дней с даты достижения целей обработки ПДн, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо федеральными законами.


1.12.9 Оператор несет ответственность за разработку и применение локальных нормативных правовых актов в области обработки и защиты ПДн, а также поддержание их актуального состояния требованиям действующего законодательства.

2 Цели сбора персональных данных

2.1 Обработка ПДн Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработка ПДн, несовместимая с целями сбора персональных данных не допустима.


2.2 Цели обработки ПДн сформированы исходя из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных ИСПД.


2.3 Оператор осуществляет сбор и дальнейшую обработку ПДн в целях:

- Заключения, исполнения и прекращения гражданско-правовых договоров с гражданами, юридическими лицами, индивидуальными предпринимателями и другими лицами в ситуациях, предусмотренных законодательством и Уставом компании Оператора, в том числе в целях:

   анализа корпоративной и деловой информации о контрагентах Оператора на основании данных, полученных из публичных источников и от третьих лиц;

   анализа информации о доверенных лицах и представителях контрагентов, полученных из публичных источников и от третьих лиц;

   заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления медицинского страхования;


- Организации и ведения кадрового учета в организации Оператора, обеспечения соблюдения законов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам, в том числе в целях:

   выполнения требований трудового законодательства и законодательства по учету труда и его оплаты;


- Организации и ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами, в том числе в целях:

   привлечения и отбора кандидатов на трудоустройство в компании Оператора, анализа информации о них для наиболее полного соответствия требованиям Оператора;

   формирования кадрового резерва с согласия субъектов персональных данных;

   централизованного оформления полисов добровольного медицинского страхования и страхования жизни для сотрудников Оператора;

   организации функционального, интеграционного, управленческого, коммуникативного обучения и развития для сотрудников Оператора;


- Исполнения требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование, в том числе:

   осуществления пенсионных и налоговых отчислений;


- Заполнения первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и другими федеральными законами, в том числе в целях:

   формирования статистической отчетности для предоставления контролирующим органам государственной власти Российской Федерации;


- Организации и ведения административно-хозяйственной деятельности компании Оператора, в том числе в целях:

   оказания помощи сотрудникам Оператора, направляемых в служебные командировки (деловые поездки), в оформлении выездных виз, авиа- и железнодорожных проездных билетов, а также при бронировании гостиничных номеров;

   оформления въездных виз и разрешительных документов для иностранных граждан (и членов их семей), поступающих на работу к Оператору;

   осуществления перевозки сотрудников Оператора, иных лиц, документов и материальных ценностей посредством автомобильного транспорта, находящихся в ведении Оператора;

   учёта информации об использовании услуг корпоративной мобильной связи;

   облегчения коммуникаций между сотрудниками Оператора;


- Обеспечения выполнения требований безопасности в компании Оператора, в том числе в целях:

   обеспечения личной безопасности сотрудников и иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Оператора, а также обеспечения сохранности материальных и иных ценностей, находящихся в ведении Оператора;

   организации процесса доступа работников и посетителей на территорию компании Оператора в соответствии с Законом РФ от 11.03.1992 № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»;

   сохранения жизни и здоровья сотрудников Оператора в процессе трудовой деятельности, выявления нарушений состояния здоровья сотрудников Оператора и медицинских противопоказаний к работе, а также выполнения требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками Оператора и иными лицами;

   контроля соблюдения требований безопасности при эксплуатации автотранспортных средств Оператора, рационального использования рабочего времени, а также сохранности вверенного сотрудникам имущества Оператора, в том числе целесообразности использования топливной карты Оператора;


- Организации взаимодействия и установления обратной связи с потребителями продукции, посетителями сайтов и приложений Оператора, участниками маркетинговых акций и мероприятий (далее - Пользователи), в том числе в целях:

   исполнения договорных обязательств и идентификации Пользователей в рамках соглашений и договоров с Оператором, включая публичные правила участия;

   подтверждения достоверности и полноты персональных данных, предоставленных Пользователями;

   предоставления пользователю персонализированных услуг;

   повышения качества работы и обслуживания, оценка удобства и пользы сайтов и приложений Оператора, анализа эффективности продуктов и услуг;

   оказания услуг, обработки запросов, заявок и претензий от Пользователей;

   совершенствования продукции компании Оператора;

   установления с Пользователями обратной связи для индивидуального общения, направления уведомлений и запросов, в том числе посредством e-mail, касающихся использования сервисов, оказания услуг, информирования о деятельности компании Оператора, новых акций, предложений и других новостей;

   осуществления акций, конкурсов (при условии участия в них Пользователей;

   информирования участников маркетинговых акций и мероприятий о выигрышах;

   проведения маркетингового анализа, статистических и иных исследований на основе обезличенных данных;

   таргетирования рекламных материалов и осуществления рекламной деятельности с согласия Пользователя;

   идентификации пользователей сайтов и приложений Оператора для электронной рассылки;

   определения места нахождения пользователей для обеспечения безопасности и предотвращения мошенничества;


- Информирования общественности и других заинтересованных сторон о деятельности компании, в соответствии с требованиями Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», в том числе в целях:

   анализа информации о представителях средств массовой информации и лицах, осуществляющих публично информационную деятельность, полученных из публичных источников и от третьих лиц;

   предоставления оперативной информации представителям средств массовой информации;


- В других целях, достижение которых не запрещено федеральным законодательством Российской Федерации, международными договорами.

3 Правовые основания обработки персональных данных

3.1 Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.


3.2 Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

3.3 Обработка ПДн Оператором возможна только при достаточности на то правовых оснований, в том числе в случаях, если:
  1. обработка необходима для выполнения договорных обязательств Оператора перед субъектом ПДн, включая обеспечение работы сайтов и сервисов;
  2. обработка необходима для соблюдения установленных законодательством Российской Федерации обязательств Оператора;
  3. обработка необходима для обеспечения законных интересов Оператора в соответствии с его уставными документами.

3.4 В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора, для конкретных целей Оператор может запросить отдельное согласие субъекта на обработку ПДн.

4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.


4.2 К персональным данным относится любая информация, относящаяся прямо или косвенно к определенному или определяемому субъекту персональных данных, обрабатываемая Оператором для достижения указанных целей.

4.3 Оператор осуществляет обработку персональные данных следующих категорий субъектов ПДн:
  1. физических лиц, являющихся или являвшихся ранее сотрудниками Оператора;
  2. физических лиц, являющихся кандидатами на вакантные должности сотрудников Оператора;
  3. физических лиц, чьи данные необходимо обрабатывать в соответствии с требованиями трудового, налогового и иного законодательства (родственники сотрудников Оператора и пр.);
  4. физических лиц, с которыми Оператором заключены или могут быть заключены договоры гражданско-правового характера на выполнение работ и (или) оказание услуг (представители или сотрудники организаций, индивидуальных предпринимателей, физических лиц);
  5. физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает права субъектов ПДн и соответствует требованиям, установленным законодательством о персональных данных;
  6. физических лиц, осуществляющих разовый доступ на территорию, в здания и помещения компании Оператора;
  7. физических лиц, являющихся потребителями продукции компании Оператора, а также лиц, участвующих в маркетинговых мероприятиях и акциях;
  8. иных физических лиц, выразившие согласие на обработку Оператором своих персональных данных, или обработка персональных данных которых необходима Оператору для выполнения обязанностей, исполнения функций или полномочий, возложенных и (или) предусмотренных международным договором Российской Федерации или законом Российской Федерации.
4.4 Оператор не обрабатывает специальные категории ПДн субъектов, в том числе:
  1. Расовая принадлежность;
  2. Политические взгляды;
  3. Философские убеждения;
  4. Состояние интимной жизни;
  5. Национальная принадлежность;
  6. Религиозные убеждения;
  7. Состояние здоровья, за исключением случаев, предусмотренных законодательством Российской Федерации.
5 Порядок и условия обработки персональных данных и их передача третьим лицам

5.1 Обработка персональных данных Оператором осуществляется с согласия субъекта на обработку его персональных данных, если иное не предусмотрено законодательством РФ.


5.2 При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.


5.3 Оператор может осуществлять обработку персональных данных субъектов ПДн, оставивших обращение через форму обратной связи, по электронной почте, по телефону горячей линии или в официальных представительствах Оператора в социальных сетях для проведения работы по обращению в необходимом для этого объеме.


5.4 Оператор вправе осуществлять трансграничную передачу ПДн в порядке и на условиях, предусмотренными федеральными законами.


5.5 Обработка ПДн Оператором происходит как неавтоматизированным, так и автоматизированным способом.

5.6 К обработке ПДн в компании Оператора допускаются только работники, прошедшие определенную процедуру допуска, которая включает в себя:
  1. ознакомление работника под роспись с локальными нормативными правовыми актами Оператора (положения, инструкции и пр.), строго регламентирующими порядок и процедуру работы с ПДн;
  2. взятие с работника подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними;
  3. получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам Оператора, содержащим в себе ПДн. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПД.

5.7 Работники получают доступ только к тем ПДн, которые необходимы им для выполнения конкретных трудовых функций.


5.8 ПДн хранятся в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПД Оператора, а также в архивных копиях баз данных этих ИСПД.

5.9 При хранении ПДн соблюдаются предусмотренные законодательством организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним, в частности, относятся:
  1. назначение работника, ответственного за организацию обработки ПДн в компании Оператора;
  2. ограничение физического доступа к местам хранения и носителям;
  3. учет всех информационных систем и электронных носителей, а также архивных копий;
  4. применение сертифицированных средств защиты информации (далее - СЗИ) и средств криптографической защиты информации (далее - СКЗИ).

5.10 Для достижения целей обработки персональных данных Оператор может передавать ПДн исключительно своим работникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.


5.11 Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо когда такая обязанность у Оператора наступает в результате требований законодательства или при поступлении запроса от уполномоченных государственных и муниципальных органов. В последнем случае Оператор ограничивает передачу ПДн запрошенным объемом.


5.12 Оператор может поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».


5.13 Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность за соблюдение принципов и правил обработки персональных данных, предусмотренных законодательством, перед Оператором.


5.14 Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Компания поручила обработку ПДн.


5.15 Условием прекращения обработки персональных данных являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.


5.16 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.


5.17 Сроки обработки персональных данных определяются с учетом установленных целей обработки ПДн, сроков действия договоров с субъектами ПДн и согласий субъектов ПДн на обработку их персональных данных.


5.18 Защита и обеспечение безопасности персональных данных:


5.18.1 Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

5.18.2 Обеспечение безопасности персональных данных в компании Оператора достигается следующими мерами:
  1. назначением работника, ответственного за организацию обработки ПДн;
  2. назначением комиссии по защите ПДн;
  3. проведением аудита ИСПД Оператора, проведением их классификации;
  4. разработкой частной модели угроз безопасности ПДн;
  5. определением типа угроз безопасности персональных данных;
  6. определением уровня защищенности персональных данных и принятием организационно-технических мер по обеспечению безопасности персональных данных;
  7. назначением для ИСПД ответственных лиц (администратор ИСПД, администратор безопасности, ответственный пользователь СЗИ и СКЗИ);
  8. определением списка лиц, допущенных к работе с ПДн;
  9. разработкой и утверждением локальных нормативных правовых актов Оператора, регламентирующих порядок обработки ПДн, разработкой для пользователей и ответственных лиц рабочих (методических) инструкций;
  10. проведением периодического обучения и повышением осведомленности работников в области защиты ПДн;
  11. реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных СЗИ и СКЗИ;
  12. учетом машинных носителей персональных данных;
  13. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  14. установлением правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПД;
  15. проведением периодических проверок состояния защищенности ИСПД Оператора;
  16. раздельным хранением персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
  17. обеспечением в отношении каждой категории ПДн возможности определения места хранения ПДн (материальных носителей) и установления перечня лиц, осуществляющих обработку ПДн, либо имеющих к ним доступ;
  18. соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.
6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1 В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат актуализации Оператором, а обработка прекращается, соответственно.


6.2 Оператор прекращает обработку персональных данных в следующих случаях:
  1. по достижении целей их обработки или в случае утраты необходимости в достижении этих целей;
  2. по требованию субъекта ПДн, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  3. в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  4. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Оператором исключительно на основании согласия субъекта персональных данных);
  5. в случае ликвидации компании Оператора.
6.3 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
  1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иными федеральными законами;
  3. иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

6.4 При поступлении от субъекта персональных данных или его представителя запроса по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным Оператор принимает соответствующие меры реагирования, установленные локальными нормативными правовыми актами Оператора и сообщает субъекту ПДн о принятых мерах в установленные сроки.


6.5 При утрате или разглашении персональных данных Оператор информирует субъекта ПДн об утрате или разглашении персональных данных. При этом Оператор совместно с субъектом ПДн принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных субъекта ПДн.


6.6 Оператор не проверяет достоверность персональных данных, предоставленных субъектом ПДн. При этом Оператор исходит из того, что субъект ПДн предоставляет достоверные и достаточные персональные данные и поддерживает их в актуальном состоянии.

7 Заключительные положения

7.1 Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.


7.2 Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.


7.3 В целях обеспечения актуального состояния требований, изложенных в настоящем Положении, настоящее Положение подлежит пересмотру не реже одного раза в два года с момента его утверждения.


7.4 Положение подлежит внеплановому пересмотру в случае существенных изменений в деятельности Оператора и (или) изменений в законодательстве в области обработки и защиты ПДн.


7.5 Ответственность за соблюдение требований настоящего Положения и поддержание его в актуальном состоянии возлагается на должностное лицо, ответственное за организацию обработки персональных данных в компании Оператора.