...
ECOLOGIX lab info@elabspb.ru +7 (800) 600-14-16 +7 (812) 209-28-38
Санкт-Петербург ул. Калинина д. 13
ECOLOGIX LAB
СПБ, ул. Калинина д. 13
Пн-Чт: 09:00-18:00
Пт: 09:00-17:00
+7 (800) 600-14-16 info@elabspb.ru
Меню
  • О компании
  • Методики
  • Контакты
    •
    Поиск
    Закрыть
    ECOLOGIX LAB
    СПБ, ул. Калинина д. 13
    Пн-Чт: 09:00-18:00
    Пт: 09:00-17:00
    +7 (800) 600-14-16 info@elabspb.ru
  • О компании
  • Услуги
  • Оборудование
  • Статьи
  • Методики
  • Контакты
    •

    Политика конфиденциальности

    Положение об обработке персональных данных в ООО «НТЦ «ЭколоджиксЛаб»

    1. Общие положения

    1.1. Настоящее Положение об обработке персональных данных (далее - Положение) ООО «НТЦ «ЭколоджиксЛаб» (далее - Организация) устанавливает порядок получения, учета, обработки, накопления, хранения и распространения персональных данных субъектов персональных данных.

    1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

    1.3. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    1.4. Обработка персональных данных в Организации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящим Положением.

    1.5. Действие настоящего Положения распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение персональных данных.

    1.6. Настоящее Положение имеет целью обеспечение обработки персональных данных в соответствии с требованиями действующего законодательства в сфере защиты персональных данных, обеспечение безопасности персональных данных, обрабатываемых в Организации, всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизации ущерба от возможной реализации угроз безопасности персональных данных.

    1.7. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

    1.8. При обработке персональных данных Организация придерживается следующих принципов:

    - обработка персональных данных должна осуществляться на законной и справедливой основе;

    - обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

    - не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

    - обработке подлежат только персональные данные, которые отвечают целям их обработки;

    - содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

    - при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

    - хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

    1.9. Организация не производит обработку персональных данных субъектов персональных данных в целях политической агитации.

    1.10. Настоящее Положение предназначено для ознакомления неограниченного круга лиц и подлежит опубликованию на официальном сайте Организации: https://ecologixlab.ru.

    2. Основные понятия и определения

    2.1. Для целей настоящего Положения используются следующие основные понятия:

    Персональные данные (ПД) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

    Персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику ООО «НТЦ «ЭколоджиксЛаб», в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы, другая информация, необходимая Организации в связи с трудовыми отношениями;

    Ответственный работник Организации – работник, имеющий доступ к персональным данным субъектов персональных данных;

    Оператор персональных данных (Оператор) – ООО «НТЦ «ЭколоджиксЛаб»;

    Субъект персональных данных (Субъект) - физическое лицо, персональные данные которого обрабатываются Оператором;

    Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием средств автоматизации или без их использования. Обработка ПД включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

    Защита персональных данных – деятельность ответственных работников Организации по обеспечению с помощью локального регулирования порядка обработки ПД и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения ПД;

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    3. Категории субъектов обработки персональных данных и состав персональных данных

    3.1. Информационные системы ПД, принадлежащие или используемые Организацией, предназначены для обработки ПД следующих категорий субъектов:

    - физических лиц, состоящих в трудовых отношениях с Организацией, в том числе бывших работников по срочному/бессрочному трудовому договору или лиц, выполняющих работы по гражданско-правовому договору;

    - физических лиц, которые являются претендентами на заключение трудового договора с Организацией;

    - посетителей Организации;

    - работников подрядных организаций, которые выполняют работы на территории Организации;

    - представителей и работников контрагентов Организации;

    - посетители сайта Организации.

    3.2. Состав персональных данных, обрабатываемых Оператором:

    - фамилия, имя, отчество;

    - дата рождения;

    - сведения о документе, удостоверяющем личность;

    - сведения о месте жительства и (или) пребывания;

    - сведения о страховом стаже и льготах;

    - сведения об обязательном медицинском, пенсионном и социальном страховании (СНИЛС);

    - номер телефона;

    - адрес электронной почты;

    - сведения об образовании и обучении;

    - сведения о профессии трудовой/профессиональной квалификации;

    - сведения о достижениях, заслугах, поощрениях и наградах;

    - сведения о доходах, расходах и удержаниях, связанных с трудовой (служебной) деятельностью;

    - платежные реквизиты;

    - сведения об отношении к воинской обязанности и о воинском учете;

    - фотография;

    - данные водительского удостоверения;

    - семейный статус

    - IP-адрес;

    - данные файлов cookie;

    - информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам);

    - технические характеристики оборудования и программного обеспечения используемых Пользователем;

    - дата и время доступа к Сервисам;

    - адреса запрашиваемых страниц.

    4. Цели сбора и обработки персональных данных

    4.1. Основными целями обработки ПД являются:

    - исполнение обязанностей работодателя в соответствии с законодательством Российской Федерации: ведение кадрового делопроизводства, обеспечение безопасности данных работников, обеспечение медицинского и социального страхования, охраны труда, организация командирования работников, обеспечение личной безопасности работников, ведение воинского учета в отношении работников;

    - организация пропускного режима на территорию Организации;

    - в целях заключения договора между Организацией и потенциальным клиентом.

    - исполнение гражданско-правовых договоров, где представителем контрагента является субъект ПД;

    - архивное хранение документов в соответствии с законодательством Российской Федерации, в том числе выдача архивных справок по требованию субъекта ПД или его законного представителя.

    5. Обязанности Организации как Оператора ПД

    5.1. Организация обязана осуществлять обработку ПД только с согласия субъектов ПД, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6 и пунктами 2-10 части 2 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

    5.2. При сборе ПД Организация обязана по запросу субъекта ПД предоставлять информацию, касающуюся обработки его ПД.

    5.3. В случае если предоставление ПД является обязательным в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Организация обязуется разъяснять субъекту ПД юридические последствия отказа предоставить его ПД и(или) дать согласие на их обработку.

    5.4. Если ПД получены не от субъекта ПД, Организация до начала обработки таких ПД обязана предоставить субъекту ПД информацию, касающуюся обработки его ПД в соответствии с ч. 3 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

    5.5. В случаях, если Организация не является оператором ПД, полученных от субъектов ПД, обязанность по предоставлению субъекту ПД соответствующих сведений возлагается на оператора ПД, от которого эти данные получены.

    5.6. Организация при обработке ПД обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПД в соответствии со статьей 8 настоящего Положения.

    5.7. Организация обязана отвечать на запросы субъектов ПД, их представителей, а также уполномоченного органа по защите прав субъектов ПД касательно обрабатываемых ПД в соответствии с настоящим Положением.

    5.8. Организация обязана в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

    5.9. Организация до начала обработки ПД обязана уведомлять уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Организация обязуется предоставлять актуализированные сведения в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД.

    5.10. Организация обязана сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими ПД при обращении субъекта ПД или его представителя в установленные сроки.

    5.11. В случае отказа в предоставлении информации о наличии ПД о соответствующем субъекте ПД или ПД субъекту ПД или его представителю при их обращении либо при получении запроса субъекта ПД или его представителя Организация обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в установленные сроки.

    5.12. Организация обязана сообщить в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в установленные сроки.

    6. Обязанности и права субъектов персональных данных

    6.1. Субъект персональных данных обязан передавать Оператору достоверные ПД для их обработки. При изменении персональных данных – своевременно сообщать Оператору с предоставлением надлежащих ПД.

    6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его ПД, за исключением случаев, когда право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с действующим законодательством.

    6.3. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:

    - подтверждение факта обработки ПД;

    - правовые основания и цели обработки ПД;

    - цели и применяемые способы обработки ПД;

    - наименование и место нахождения Организации, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договорных отношений или на основании действующего законодательства;

    - обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством;

    - сроки обработки ПД, в том числе сроки их хранения;

    - порядок осуществления субъектом ПД прав;

    - информацию об осуществленной или о предполагаемой трансграничной передаче данных;

    - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Организации, если обработка поручена или будет поручена такому лицу;

    - информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных»;

    - иные сведения, предусмотренные № 152-ФЗ от 27.07.2006 г. «О персональных данных» или другими федеральными законами.

    6.4. Субъекты ПД в целях обеспечения защиты своих ПД, хранящихся в Организации, имеют право:

    - получать полную информацию о своих ПД, их обработке, хранении и передаче;

    - определять своих представителей для защиты своих ПД;

    - требовать исключения или исправления неверных или неполных ПД, а также данных, обработанных с нарушениями настоящего Положения и действующего законодательства. При отказе Организации исключить или исправить ПД, субъекты ПД вправе заявить Организации в письменном виде о своем несогласии с соответствующим обоснованием;

    - требовать от Организации извещения всех лиц, которым ранее были сообщены неверные или неполные ПД субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях.

    6.5. Если субъекты ПД считают, что Организация осуществляет обработку их ПД с нарушением требований действующего законодательства или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.

    6.6. Субъект ПД вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПД, ранее разрешенных им для распространения, в случае несоблюдения положений Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» или обратиться с таким требованием в суд.

    6.7. Получить информацию, указанную в п. 6.3 настоящего Положения субъект ПД может, обратившись с письменным запросом в Организацию в порядке, установленном действующим законодательством.

    7. Порядок обработки, хранения и передачи персональных данных третьим лицам

    7.1. Обработка персональных данных.

    7.1.1. Обработка ПД в Организации происходит как неавтоматизированным, так и автоматизированным способом.

    7.1.2. К обработке ПД в Организации допускаются только работники, прошедшие определенную процедуру допуска, к которой относятся:

    - ознакомление работника под подпись с локальными нормативными актами Организации, регламентирующими порядок и процедуру работы с ПД;

    - подписание работником информированного согласия о соблюдении конфиденциальности в отношении ПД при работе с ними (Обязательства о неразглашении персональных данных);

    - получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам Организации, содержащим в себе ПД. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы ПД.

    7.1.3. Работники, имеющие доступ к ПД, получают только те ПД, которые необходимы им для выполнения конкретных трудовых обязанностей.

    7.2. Хранение персональных данных

    7.2.1. ПД хранятся в бумажном и электронном виде.

    7.2.2. В бумажном виде ПД должны храниться в специально оборудованных металлических шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов при этом находятся у ответственного работника, назначаемого приказом генерального директора Организации.

    7.2.3. В электронном виде ПД хранятся в базах данных информационных систем Организации, а также в архивных копиях баз данных этих информационных систем ПД.

    7.2.4. Места хранения носителей ПД, порядок хранения, учета и уничтожения к ним регламентируются внутренними документами, утверждаемыми генеральным директором Организации.

    7.2.5. При хранении ПД соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним:

    - назначение работника, ответственного за обработку ПД в структурном подразделении;

    - ограничение физического доступа к местам обработки ПД;

    - съемные электронные носители, на которых хранятся резервные копии ПД субъектов ПД, должны быть промаркированы и учтены в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий ПД;

    - учет всех информационных систем и электронных и бумажных носителей, а также архивных копий;

    - применение сертифицированных средств защиты информации и средств криптографической защиты информации.

    7.3. Передача персональных данных

    7.3.1. Для целей обработки ПД Организация может передавать ПД исключительно своим работникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.

    7.3.2. Предоставление сведений, составляющих ПД, без согласия субъекта ПД допускается:

    - по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

    - в целях расследования несчастного случая на производстве и профессионального заболевания;

    - в целях осуществления учета и контроля в системе обязательного социального страхования;

    - в иных, установленных законом случаях.

    7.3.3. Передача ПД третьим лицам в остальных случаях возможна только с согласия субъекта ПД и только с целью исполнения обязанностей перед субъектом ПД в рамках договора, либо когда такая обязанность у Организации наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае Организация ограничивает передачу ПД запрошенным объемом.

    7.3.5. В случае заключения поручения на обработку ПД с третьими лицами, в таком поручении должны быть определены перечень ПД, перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ от 27.06.2006 г. «О персональных данных», обязанность по запросу оператора ПД в течение срока действия поручения оператора, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с действующим законодательством, обязанность и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона № 152-ФЗ от 27.06.2006 г. «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ от 27.06.2006 г. «О персональных данных».

    7.3.6. При передаче ПД в электронном виде третьим лицам по открытым каналам связи Организация обязана принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-правовых актов в области защиты ПД.

    8. Защита персональных данных

    8.1. При обработке ПД Организация применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

    8.2. Обеспечение безопасности ПД в Организации достигается следующими мерами:

    - установление индивидуальных паролей доступа работникам Организации к информационным системам Организации в соответствии с их должностными обязанностями;

    - определение угроз безопасности ПД при их обработке в информационных системах ПД;

    - применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

    - учет машинных носителей ПД;

    - обнаружение фактов несанкционированного доступа к ПД и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПД и по реагированию на компьютерные инциденты в них;

    - восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    - установление правил доступа к ПД, обрабатываемым в информационных системах ПД, обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах ПД Учреждения;

    - контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД;

    - назначение работника, ответственного за организацию обработки ПД;

    - назначение работника, ответственного за обеспечение безопасности ПД;

    - назначение ответственных лиц по защите информационных систем Учреждения, содержащих ПД (администратор информационной системы ПД, администратор безопасности);

    - определение списка лиц, допущенных к работе с ПД;

    - разработка и утверждение локальных нормативных актов Организации, регламентирующих порядок обработки ПД;

    - проведение обучения и повышение осведомленности работников в области защиты ПД;

    - контроль соответствия обработки ПД Федеральному закону № 152-ФЗ от 27.07.2006 г. «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, локальным актам Организации, в том числе контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД Организации;

    - применение мер ответственности к должностным лицам Организации за нарушение установленных правил обработки ПД.

    9. Порядок уничтожения, блокирования, срок обработки и хранения персональных данных

    9.1. В случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД Организация обязана осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки.

    9.2. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД Организация обязана осуществить блокирование ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.

    9.3. В случае подтверждения факта неточности ПД Организация на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов обязана уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПД.

    9.4. В случае выявления неправомерной обработки ПД, осуществляемой Организацией или лицом, действующим по поручению Организации, Организация в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Организации.

    9.5. В случае, если обеспечить правомерность обработки ПД невозможно, Организация в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПД, обязана уничтожить такие ПД или обеспечить их уничтожение.

    9.6. Об устранении допущенных нарушений или об уничтожении ПД Организация обязана уведомить субъекта ПД или его представителя, а в случае, если обращение субъекта ПД или его представителя либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.

    9.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Организация обязана с момента выявления такого инцидента уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

    - в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Организацией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

    - в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

    9.8. В случае достижения цели обработки ПД Организация обязана прекратить обработку ПД или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) и уничтожить ПД данные или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД либо если Организация не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством.

    9.9. В случае отзыва субъектом ПД согласия на обработку его ПД Организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Организацией и субъектом ПД либо если оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством.

    9.10. В случае обращения субъекта ПД к Организации с требованием о прекращении обработки ПД Организация обязана в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПД), за исключением случаев, установленных действующим законодательством. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Организацией в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

    9.11. В случае отсутствия возможности уничтожения ПД в течение срока, указанного в настоящей статье Положения, Организация осуществляет блокирование таких ПД или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение ПД в срок не более чем 6 (шесть) месяцев, если иной срок не установлен действующим законодательством.

    10. Ответственность за нарушение норм, регулирующих обработку и защиту ПД

    10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, привлекаются к дисциплинарной, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

    * * *

    Сертификаты

    certificate certificate certificate
    certificate certificate certificate
    certificate certificate certificate
    certificate certificate certificate
    certificate certificate
    certificate certificate