Политика в отношении обработки персональных данных в АО «БПО «СИБПРИБОРМАШ»

  • Настоящий документ определяет Политику АО «БПО «СИБПРИБОРМАШ» (далее — Общество) в отношении обработки персональных данных (далее – Политика).
  • Настоящая Политика разработана на основании следующих нормативных правовых актов:

— Федеральный закон от 27.06.2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закона «О персональных данных»);

— постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  • Настоящая Политика, все дополнения и изменения к ней утверждаются приказом руководителя Общества.
  • Политика подлежит опубликованию на официальном сайте Общества.
  • Положения Политики распространяются на все отношения, связанные с обработкой персональных данных (далее — ПДн), осуществляемые в Обществе, как с использованием средств автоматизации, так и без использования средств автоматизации.
  • Политика применяется ко всем сотрудникам Общества.
  1. Правовые основания обработки ПДн
    • Правовые основания обработки ПДн в Обществе:

—  обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

— обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

  1. Категории субъектов ПДн
    • В Обществе осуществляется обработка ПДн следующих категорий субъектов ПДн:

— сотрудники;

— соискатели;

— уволенные сотрудники;

— иные лица;

— родственники сотрудников.

  1. Категории обрабатываемых ПДн
    • Общество осуществляет обработку следующих категорий ПДн:

— специальные категории ПДн;

— биометрические ПДн;

— иные категории ПДн.

  1. Цели обработки ПДн
    • Обработка ПДн сотрудников осуществляется в следующих целях:

—  осуществления Обществом деятельности по трудоустройству и реализации трудовых отношений;

— оформления пропуска на территорию Общества;

— осуществления Обществом мер социальной поддержки;

— публикации информации на информационных ресурсах Общества;

— установления медицинского диагноза и оказания медицинских услуг;

— получения услуг в Консультационно-оздоровительном центре №2.

  • Обработка ПДн соискателей осуществляться в целях принятия решения о трудоустройстве.
  • Обработка ПДн уволенных сотрудников осуществляется в целях выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете.
  • Обработка ПДн иных лиц осуществляется в следующих целях

— оформления пропуска на территорию Общества;

— получения услуг в Консультационно-оздоровительном центре №2

  • Обработка ПДн родственников сотрудников осуществляется в целях:

— осуществления Обществом мер социальной поддержки;

— публикации информации на информационных ресурсах Общества.

  1. Состав обрабатываемых ПДн
    • Категории обрабатываемых ПДн сотрудников в целях осуществления Обществом деятельности по трудоустройству и реализации трудовых отношений:

— специальные категории ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— пол;

— место рождения;

— адрес места жительства;

— адрес регистрации;

— данные документа удостоверяющего личность;

— данные водительского удостоверения;

— номер телефона;

— доходы;

— отношение к воинской обязанности, сведения о воинском учете;

— данные документов об образовании;

— должность;

— табельный номер;

— ИНН;

— СНИЛС;

— сведения о судимости;

— сведения о состоянии здоровья;

— данные документов подтверждающие степень родства;

— сведения удостоверения ветерана;

— сведения пенсионного удостоверения;

— сведения о смене фамилии;

— сведения полиса ОМС;

— номер расчетного счета;

— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

— семейное положение;

— сведения о составе семьи;

— сведения о деловых и иных личных качествах;

— сведения о близких родственниках;

— фотографическое изображение лица.

  • Категории обрабатываемых ПДн сотрудников в целях оформления пропуска на территорию Общества:

— биометрические ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта ПДн;

— номер телефона;

— адрес регистрации;

— должность;

— табельный номер.

  • Общество обрабатывает иные категории ПДн сотрудников в целях осуществления Обществом мер социальной поддержки.

Состав обрабатываемых ПДн:

— данные документов подтверждающие степень родства;

  • Общество обрабатывает иные категории ПДн сотрудников в целях публикации информации на информационных ресурсах Общества:

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— должность;

— фотографическое изображение лица.

  • Категории обрабатываемых ПДн сотрудников в целях установления медицинского диагноза и оказания медицинских услуг:

— специальные категории ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— пол;

— адрес регистрации;

— СНИЛС;

— сведения полиса ОМС;

— данные документа удостоверяющего личность.

— сведения о состоянии здоровья.

  • Общество обрабатывает иные категории ПДн сотрудников в целях получения услуг в Консультационно-оздоровительном центре №2.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

—  должность

— номер телефона;

— ИНН;

— табельный номер.

  • Общество обрабатывает иные категории ПДн соискателей в целях принятия решения о трудоустройстве.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— место рождения;

— данные документа удостоверяющего личность;

— ИНН;

— СНИЛС;

— номер телефона;

— сведения об образовании;

— адрес места жительства ;

— адрес регистрации;

— семейное положение;

— сведения о близких родственниках работающих на предприятии.

  • Категории обрабатываемых ПДн уволенных сотрудников в целях выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете:

— специальные категории ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— пол;

— место рождения;

— адрес места жительства;

— адрес регистрации;

— данные документа удостоверяющего личность;

— данные водительского удостоверения;

— номер телефона;

— доходы;

— отношение к воинской обязанности, сведения о воинском учете;

— данные документов об образовании;

— должность;

— табельный номер;

— ИНН;

— СНИЛС;

— сведения о судимости;

— сведения о состоянии здоровья;

— данные документов подтверждающие степень родства;

— сведения удостоверения ветерана;

— сведения пенсионного удостоверения;

— сведения о смене фамилии;

— сведения полиса ОМС;

— номер расчетного счета;

— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

— семейное положение;

— сведения о составе семьи;

— сведения о деловых и иных личных качествах;

— сведения о близких родственниках;

— фотографическое изображение лица.

  • Категории обрабатываемых ПДн иных лиц в целях оформления пропуска на территорию Общества:

— биометрические ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта ПДн;

— номер телефона;

— адрес регистрации;

— должность ;

— табельный номер.

  • Общество обрабатывает иные категории ПДн иных лиц в целях получения услуг в Консультационно-оздоровительном центре №2.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

—  должность

— номер телефона;

— ИНН;

— табельный номер.

  • Категории обрабатываемых ПДн родственников сотрудников в целях осуществления Обществом мер социальной поддержки:

— специальные категории ПДн;

— иные категории ПДн.

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения

— данные документов подтверждающие степень родства;

— сведения свидетельства о смерти близких родственников;

— сведения о состоянии здоровья.

  • Общество обрабатывает иные категории ПДн родственников сотрудника в целях публикации информации на информационных ресурсах Общества:

Состав обрабатываемых ПДн:

— фамилия, имя, отчество;

— дата рождения;

— фотографическое изображение лица.

  1. Принципы и условия обработки ПДн
    • При обработке ПДн в Обществе соблюдаются следующие принципы:
  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность и в необходимых случаях актуальность по отношению к целям обработки ПДн;
  • принимаются необходимые меры по удалению или уточнению неполных, или неточных ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
    • В Обществе осуществляется как автоматизированная обработка ПДн, так и без использования средств автоматизации. Совокупность операций обработки ПДн в Обществе включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение, распространение.
    • Общество не поручает обработку ПДн третьим лицам.
    • Прекращение обработки ПДн осуществляется при прекращении деятельности Общества (ликвидация или реорганизация).
    • В Обществе обеспечивается конфиденциальность ПДн. Сотрудники Общества, получившие доступ к ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
  1. Реализация мер обеспечения безопасности ПДн
    • Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
    • К таким мерам в Обществе относятся:
  • назначение лица, ответственного за организацию обработки ПДн;
  • издание локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категорий субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявления нарушений законодательства Российской Федерации в области обработки и защиты ПДн, устранение последствий таких нарушений;
  • осуществление внутреннего контроля соответствия обработки ПДн законодательству Российской Федерации о ПДн, требованиям к защите ПДн, внутренним документам Общества в области обработки и защиты ПДн;
  • оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • ознакомление сотрудников Общества с положениями законодательства Российской Федерации о ПДн, внутренними документами Общества по вопросам обработки ПДн, требованиями к защите ПДн;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со ст.19 Федерального закона «О персональных данных», в частности:
  1. определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее — ИСПДн) Общества;
  2. реализация технических и организационных мер по защите ПДн, обрабатываемых в ИСПДн Общества, на основе требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требований приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ;
  3. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;
  4. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  5. учет машинных носителей ПДн;
  6. обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
  7. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  9. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
    • В Обществе в установленном порядке обеспечивается взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
  10. Обработка ПДн, осуществляемая без использования средств автоматизации
    • ПДн при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных бумажных носителях ПДн, в специальных разделах или на полях форм (бланков).
    • При фиксации ПДн на бумажных носителях не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный бумажный носитель.
    • Лица, осуществляющие обработку ПДн без использования средств автоматизации проинформированы о факте обработки ими ПДн, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами Российской Федерации, а также локальными правовыми актами Общества.
    • При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), соблюдаются следующие условия:
  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Общества, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки ПДн;
  • типовая форма предусматривает поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку ПДн;
  • типовая форма составляется таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
  • типовая форма исключает объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
    • При несовместимости целей обработки ПДн, зафиксированных на одном бумажном носители, если бумажный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же бумажном носителе ПДн, принимаются меры по обеспечению раздельной обработки ПДн, в частности:
  • при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же бумажном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
  • при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется бумажный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
    • Уничтожение или обезличивание части ПДн, если это допускается бумажным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на бумажном носителе (удаление, вымарывание). Положения, предусмотренные в настоящем пункте и пункте 9.5. настоящей Политики применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации, не являющейся ПДн.
    • Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на бумажном носителе путем фиксации на том же бумажном носителе сведений о вносимых в них изменениях либо путем изготовления нового бумажного носителя с уточненными ПДн.
    • Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации:
  • обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПДн можно определить места хранения ПДн и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;
  • обеспечивается раздельное хранение ПДн, обработка которых осуществляется в различных целях;
  • при хранении бумажных носителей соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
  1. Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов на доступ к ПДн
    • Права субъектов ПДн:
      • Право субъекта ПДн на доступ к его ПДн:
        • Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн в том числе содержащей:
      • подтверждение факта обработки ПДн Обществом;
      • правовые основания и цели обработки ПДн;
      • цели и применяемые Обществом способы обработки ПДн;
      • наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона;
      • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
      • сроки обработки ПДн, в том числе сроки их хранения;
      • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152;
      • информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
      • информацию о политике Общества в отношении обработки ПДн;
      • иные сведения, предусмотренные Федеральным законом № 152 или другими Федеральными законами Российской Федерации.
        • Субъект ПДн имеет право на получение запрашиваемой информации, за исключением случаев, когда доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
        • Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
        • Запрашиваемая субъектом информация должна быть предоставлена субъекту ПДн Обществом в доступной форме, и в ней не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
        • Запрашиваемая информация предоставляется субъекту ПДн или его представителю Обществом в течение десяти рабочих дней с момента обращения либо при получении запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Общество предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.
        • В случае если запрашиваемая субъектом информация, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
        • Субъект ПДн вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в подпункте 10.1.1.6 пункта 10.1.1. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.
        • Общество вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
      • Право на обжалование действий или бездействия Общества:
        • Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
        • Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
      • Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Обществом не осуществляется.
    • Обязанности Общества:
      • Обязанности Общества при сборе ПДн:
        • При сборе ПДн Общество предоставляет субъекту ПДн по его запросу запрашиваемую информацию, касающуюся обработки его ПДн указанную в  подпункте 10.1.1.1 пункта 10.1.1 настоящей Политики.
        • Если предоставление ПДн и (или) получение Обществом согласия на обработку ПДн являются обязательными в соответствии с федеральным законом, Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
        • Если ПДн получены не от субъекта ПДн, Общество до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
      • наименование и адрес Общества;
      • цель обработки ПДн и ее правовое основание;
      • перечень ПДн ;
      • предполагаемые пользователи ПДн;
      • установленные Федеральным законом «О персональных данных» права субъекта ПДн;
      • источник получения ПДн.
        • Общество не предоставляет субъекту информацию, сообщаемую при получении ПДн не от субъекта ПДн, в случаях, если:
      • субъект ПДн уведомлен об осуществлении обработки его ПДн Обществом;
      • ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
      • ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
      • Общество осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
      • предоставление субъекту ПДн информации, сообщаемой при получении ПДн не от субъекта ПДн, нарушает права и законные интересы третьих лиц.
        • Обязанности Общества при обращении к нему субъекта ПДн либо при получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн:
          • Общество сообщает в установленном порядке субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
          • В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн Общество дает в письменной форме мотивированный ответ в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
          • Общество предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие ПДн. Общество уведомляет субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
          • Общество сообщает в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
        • Обязанности Общества по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн:
          • В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование ПДн, относящихся к этому субъекту ПДн с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
          • В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет ПДн в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
          • В случае выявления неправомерной обработки ПДн, осуществляемой Обществом в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн. В случае если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Общество уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
          • В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

—  в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченным Обществом на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

— в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

  • В случае достижения цели обработки ПДн Общество прекращает обработку ПДн и уничтожает ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн.
  • В случае отзыва субъектом ПДн согласия на обработку его ПДн Общество прекращает их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн.
  • В случае обращения субъекта ПДн в Общество с требованием о прекращении обработки ПДн Общество обязано в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
  • В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Общество блокирует такие ПДн и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  1. Ответственность
    • Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут ответственность, предусмотренную законодательством Российской Федерации.
    • Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных Федеральным законом «О персональных данных», а также требований к защите ПДн, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.