ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДАЮ:

 

Генеральный директор

 ООО «СУРСКИЙ ЛОМБАРД»

__________ Мигина К.В.

 «01» сентября 2022 г.

 

 

 

Положение
о защите, хранении, обработке и передаче персональных данных клиентов

Общества с ограниченной ответственностью

«СУРСКИЙ ЛОМБАРД»

в новой редакции

   

г. Пенза

1. Общие положения

 

1.1. Настоящим Положением устанавливается порядок обработки и защиты персональных данных Клиентов Общества с ограниченной ответственностью «СУРСКИЙ ЛОМБАРД» (далее – Общество или Оператор).

1.2. Настоящее Положение регламентируется Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон), Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативно-правовыми актами.

1.3. Основные понятия, используемые в Положении:

— персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Клиенту), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Общества, позволяет идентифицировать личность Клиента;

— оператор — Общество с ограниченной ответственностью «СУРСКИЙ ЛОМБАРД»;

— клиент — физическое лицо, официальный представитель — физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Обществом;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— защита персональных данных — деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

Настоящее Положение устанавливает обязательные для сотрудников Общества общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Клиентов Общества.

1.5. Настоящее Положение утверждается руководителем Общества и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.

 

2. Состав и получение персональных данных

 

2.1. К персональным данным, сбор и обработку которых осуществляет Оператор, относятся:

— фамилия, имя, отчество;

— дата рождения;

— место рождения;

— адрес;

— паспортные данные (номер, дата выдачи, кем выдан);

— номер телефона;

— адрес электронной почты;

— иные сведения, необходимые исполнителю в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.

2.2. Все персональные данные Клиента Оператор может получить только от него самого.

 

3. Обработка и хранение персональных данных

 

3.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящим Положением и законодательством Российской Федерации.

3.2. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиента.

3.3. Обработка персональных данных Клиента осуществляется смешанным способом (с использованием средств автоматизации и без использования таких средств).

3.4. Оператор обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных Клиентов, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:

3.4.1. Цель обработки персональных данных: заключение, исполнение и прекращение гражданско-правовых договоров с Клиентом в области деятельности по предоставлению ломбардами краткосрочных займов под залог движимого имущества.

 

Категория персональных данных Перечень персональных данных Категория субъектов Тип угрозы Уровень защищенности Срок обработки Срок хранения
общие Фамилия, имя, отчество Все клиенты, представители контрагентов – физические лица, состоящие в договорных и иных гражданско-правовых отношениях с оператором

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3

 

 

 

 

 

 

3

Определяется периодом деятельности Общества, достижением цели обработки; в случае отзыва согласия клиентом с учетом условий, предусмотренных ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 

Определяется в соответствии со сроком действия гражданско-правового договора, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (утв. Приказом Росархива от 20.12.2019 № 236), сроком исковой давности, а также иными требованиями законодательства

 

год, месяц, дата рождения
место рождения
адрес
иные паспортные данные
номер телефона
адрес электронной почты

 

3.4.2. Цель обработки персональных данных: осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей в сфере противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма.

 

Категория персональных данных Перечень персональных данных Категория субъектов Тип угрозы Уровень защищенности Срок обработки Срок хранения
общие Фамилия, имя, отчество Все клиенты, представители контрагентов – физические лица, состоящие в договорных и иных гражданско-правовых отношениях с оператором

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3

 

 

 

 

 

 

3

Определяется периодом деятельности Общества, достижением цели обработки; в случае отзыва согласия клиентом с учетом условий, предусмотренных ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 

Определяется в соответствии со сроком действия гражданско-правового договора, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (утв. Приказом Росархива от 20.12.2019 № 236), сроком исковой давности, а также иными требованиями законодательства

 

год, месяц, дата рождения
место рождения
адрес
иные паспортные данные
номер телефона
адрес электронной почты

 

3.5. При 4-м уровне защищенности персональных данных Оператор:

— обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

— обеспечивает сохранность носителей персональных данных;

— утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

— использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

3.6. При 3-м уровне защищенности персональных данных Оператор дополнительно к мерам, перечисленным в пункте 3.5 настоящего положения, назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

3.7. При 2-м уровне защищенности персональных данных Оператор дополнительно к мерам, перечисленным в пунктах 3.5, 3.6 настоящего положения, ограничивает доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

3.8. При 1-м уровне защищенности персональных данных Оператор дополнительно к мерам, перечисленным в пунктах 3.5-3.7 настоящего положения:

— обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работника по доступу к персональным данным, содержащимся в информационной системе;

— создает структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возлагает на одно из структурных подразделений функции по обеспечению такой безопасности.

3.9. Оператор обрабатывает без использования средств автоматизации следующие категории персональных данных Клиента, обеспечивает их защиту, которые хранятся на бумажных носителях:

3.9.1. Цель обработки персональных данных: заключение, исполнение и прекращение гражданско-правовых договоров с Клиентом в области деятельности по предоставлению ломбардами краткосрочных займов под залог движимого имущества.

 

Категория персональных данных Перечень персональных данных Категория субъектов Срок обработки Срок хранения
общие Фамилия, имя, отчество Все клиенты, представители контрагентов – физические лица, состоящие в договорных и иных гражданско-правовых отношениях с оператором

 

 

 

 

 

 

 

 

 

 

Определяется периодом деятельности Общества, достижением цели обработки; в случае отзыва согласия клиентом с учетом условий, предусмотренных ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 

Определяется в соответствии со сроком действия гражданско-правового договора, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (утв. Приказом Росархива от 20.12.2019 № 236), сроком исковой давности, а также иными требованиями законодательства
год, месяц, дата рождения
место рождения
адрес
иные паспортные данные
номер телефона
адрес электронной почты

 

3.9.2. Цель обработки персональных данных: осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей в сфере противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма.

 

Категория персональных данных Перечень персональных данных Категория субъектов Срок обработки Срок хранения
общие Фамилия, имя, отчество Все клиенты, представители контрагентов – физические лица, состоящие в договорных и иных гражданско-правовых отношениях с оператором

 

 

 

 

 

 

 

 

 

 

Определяется периодом деятельности Общества, достижением цели обработки; в случае отзыва согласия клиентом с учетом условий, предусмотренных ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 

Определяется в соответствии со сроком действия гражданско-правового договора, «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (утв. Приказом Росархива от 20.12.2019 № 236), сроком исковой давности, а также иными требованиями законодательства
год, месяц, дата рождения
место рождения
адрес
иные паспортные данные
номер телефона
адрес электронной почты

 

3.10. Оператор при обработке персональных данных Клиентов на бумажных носителях в целях обеспечения их защиты:

— назначает должностное лицо (работника), ответственного за обработку персональных данных;

— ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные Клиентов.

3.11. В целях обеспечения конфиденциальности документы, содержащие персональные данные Клиентов, оформляются, ведутся и хранятся только работниками Оператора.

3.12. Работники Оператора, допущенные к персональным данным Клиентов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных Клиентов не допускаются.

3.13. Персональные данные Клиентов на бумажных носителях хранятся в специально оборудованном шкафу или сейфе, которые запираются, опечатываются и сдаются под охрану.

3.14. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах в персональных компьютерах Оператора и сотрудников, допущенных к обработке персональных данных Клиентов.

3.15. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных Клиента обязан соблюдать следующие общие требования:

3.15.1. Обработка персональных данных Клиента должна осуществляться на законной и справедливой основе, исключительно в целях содействия выполнения договорных обязательств между Оператором и Клиентом;

3.15.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации и иными нормативными правовыми актами.

3.15.3. Получение персональных данных может осуществляться как путем личного представления, так и путем получения их из иных источников.

Все персональные данные Клиента следует получать лично, за исключением случаев, если их получение возможно только от третьей стороны. Получение персональных данных у третьих лиц возможно при условии уведомления об этом Клиента.

3.15.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.15.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.15.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

3.15.7. При идентификации Клиента Оператор может затребовать предъявления документов, удостоверяющих личность Клиента и подтверждающих полномочия представителя.

3.15.8. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.15.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить Клиента, не дольше, чем этого требуют цели обработки персональных данных.

3.15.10. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4. Организация защиты персональных данных

4.1. Защита персональных данных Клиентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.

4.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.

4.3. Сотрудники Оператора, имеющие доступ к персональным данным Клиентов, выполняют действия по обработке персональных данных в соответствии со служебной необходимостью и возложенными на них функциями в рамках должностных инструкций.

4.4. В целях реализации условий настоящего Положения Оператор назначает ответственного за организацию обработки персональных данных.

4.5. Защите подлежат:

4.5.1. Информация о персональных данных Клиента.

4.5.2. Документы на бумажных носителях, содержащие персональные данные Клиента.

4.5.3. Персональные данные, содержащиеся на электронных носителях.

4.6. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных Клиентов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19 Федерального закона, в частности:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применяет прошедшую в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) осуществляет учет машинных носителей персональных данных;

6) осуществляет поиск фактов несанкционированного доступа к персональным данным и принятие мер по данным фактам;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатывает в информационной системе персональные данные, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролирует принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.7. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

4.8. Ответственные лица соответствующих подразделений, хранящих персональные данные Клиентов на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства РФ от 15 сентября 2008 г. № 687.

4.9. Ответственные лица структурных подразделений, обрабатывающие персональные данные Клиентов в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

 

5. Передача персональных данных

 

5.1. Передача персональных данных Клиента третьим лицам осуществляется только с письменного согласия Клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных иными федеральными законами.

5.2. Передача персональных данных Оператором третьим лицам может допускаться только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

5.3. Согласие на обработку персональных данных, разрешенных Клиентом для распространения, оформляется отдельно от иных согласий Клиента на обработку его персональных данных. Оператор обязан обеспечить Клиенту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Клиентом для распространения.

5.4. В согласии на обработку персональных данных, разрешенных Клиентом для распространения, Клиент вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении Клиентом запретов и условий, предусмотренных в настоящем пункте, не допускается.

5.5. Молчание или бездействие Клиента ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.

5.6. При передаче персональных данных Клиентов третьим лицам Оператор обязуется предупредить лиц, получающих персональные данные Клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные Клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

5.7. При трансграничной передаче персональных данных в соответствии с действующим законодательством Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

5.8. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.

5.9. В соответствии с действующим законодательством РФ Общество имеет право в порядке и на условиях, установленных Федеральным законом РФ от 30 декабря 2004 года № 218-ФЗ «О кредитных историях», предоставлять имеющуюся у него информацию, необходимую для формирования кредитных историй, в отношении своих Клиентов в бюро кредитных историй, включенное в государственный реестр бюро кредитных историй.

 

6. Обязанности Оператора и клиента

6.1. Оператор обязуется:

6.1.1. За свой счет обеспечить защиту персональных данных Клиентов от их неправомерного использования или утраты в порядке, установленном законодательством РФ.

6.1.2. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания законных услуг Клиентам.

6.1.3. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

1) назначение Оператором ответственного за организацию обработки персональных данных;

2) издание Оператором документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категорий и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

6.1.4. Опубликовать или иным образом обеспечить неограниченный доступ к настоящему Положению, к сведениям о реализуемых требованиях к защите персональных данных. При использовании Оператором информационно-телекоммуникационной сетей, Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-коммуникационной сети.

6.1.5. Получать персональные данные Клиента непосредственно у него самого. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Общества должны сообщить Клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

6.1.6. Разъяснить Клиенту юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с Федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными.

6.1.7. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

6.1.8. В случае прекращения деятельности Оператора обеспечить учет и сохранность документов, порядок передачи их на государственное хранение в соответствии с правилами, предусмотренными действующим законодательством Российской Федерации.

6.1.9. По требованию Клиента или его законного представителя предоставить полную информацию о его персональных данных и обработке этих данных.

6.1.10. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерном инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

6.2. В целях обеспечения достоверности персональных данных Клиент обязуется:

— при заключении договора с Обществом предоставить Обществу полные и достоверные данные о себе;

— в случае изменения сведений, составляющих персональные данные Клиента, незамедлительно предоставить данную информацию Обществу.

 

7. Права Клиента на защиту его персональных данных

7.1. Клиент в целях обеспечения защиты своих персональных данных, хранящихся у Оператора, имеет право:

— получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

— определять своих представителей для защиты своих персональных данных;

— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего положения и законодательства Российской Федерации.

При отказе Оператора исключить или исправить персональные данные Клиента Клиент вправе заявить Оператору в письменном виде о своем несогласии с соответствующим обоснованием;

— требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.2. Если Клиент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

 

8. Порядок уничтожения, блокирования персональных данных

8.1. В случае выявления неправомерной обработки персональных данных при обращении Клиента Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Клиенту, или обеспечить их блокирование с момента такого обращения на период проверки.

8.2. В случае выявления неточных персональных данных при обращении Клиента Оператор обязан осуществить блокирование персональных данных, относящихся к этому Клиенту, или обеспечить их блокирование с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Клиента или третьих лиц.

8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Клиентом, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

8.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Клиента.

8.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Клиента, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

— в течении 24-х часов о произошедшем инциденте, о предполагаемых причинах и предполагаемом вреде, нанесенном правам Клиента, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав Клиента, по вопросам, связанным с выявленном инцидентом;

— в течении 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.7. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Клиент.

8.8. В случае отзыва Клиентом согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Клиент, иным соглашением между Оператором и Клиентом либо если Оператор не вправе осуществлять обработку персональных данных без согласия Клиента на основаниях, предусмотренных Федеральным законом.

8.9. В случае обращения Клиента к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных Федеральным законом. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Клиента мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.4-8.9 настоящего Положения, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.11. После истечения срока нормативного хранения документов, содержащих персональные данные Клиента, или при наступлении иных законных оснований документы подлежат уничтожению.

8.12. Оператор для этих целей создает экспертную комиссию, состав которой определяется руководителем Общества, и проводит экспертизу ценности документов.

8.13. Уничтожение персональных данных Клиентов должно производиться способом, исключающим возможность восстановления этих персональных данных на носителе:

— персональные данные на бумажном носителе уничтожаются путем сжигания, шреддирования,

— персональные данные на электронном носителе уничтожаются с помощью программных средств для уничтожения информации на электронных носителях.

8.14. Факт уничтожения носителя персональных данных подтверждается актом об уничтожении персональных данных.

 

9. Ответственность за нарушение норм, регулирующих обработку персональных данных

 

9.1. Общество несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3. Любое лицо может обратиться к Оператору с жалобой на нарушение норм данного Положения и действующего законодательства по вопросам защиты персональных данных.

Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в десятидневный срок со дня их поступления.

9.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

10. Заключительные положения

 

10.1. Настоящее положение вступает в силу с момента его утверждения.

10.2. Общество обеспечивает неограниченный доступ к настоящему документу.

10.3. Настоящее положение доводится до сведения всех работников Общества персонально под роспись.