Политика обработки персональных данных в ООО «АкулА»

1. Общие положения

1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон) и определяет порядок обработки и меры по обеспечению безопасности персональных данных (далее – ПДн), реализуемые в ООО «АкулА» (далее – Оператор)

1.2. Политика разработана в целях реализации защиты прав и свобод субъекта при обработке его ПДн у Оператора.

1.3. При осуществлении своей деятельности в области обработки ПДн Оператор руководствуется принципами обработки ПДн, отраженными в ст.5 Закона.

1.4. Основные понятия, используемые в Политике:

Персональные данные (ПДн) - любая информация, относящаяся к прямо или

косвенно определенному или определяемому физическому лицу (субъекту ПДн);

Оператор ПДн - учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

Субъект ПДн – физическое лицо, в отношении персональных данных которого выполняется обработка.

Обработка ПДн - любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Смешанная обработка ПДн – обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

Уничтожение персональных данных - действия, в результате которых

становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн;

Обезличивание персональных данных - действия, в результате которых

становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту ПДн;

Информационная система персональных данных (далее - ИСПДн) - совокупность ПДн, содержащихся в базах данных и информационные технологии и технических средства, обеспечивающие обработку ПДн;

Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Конфиденциальность персональных данных - обязательное для Оператора и иных лиц, получивших доступ к ПДн, требование не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Пользователь - любой посетитель веб-сайта https://akulann.ru/

2. Основные права и обязанности Оператора персональных данных

Оператор обязан:

• опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите ПДн;
• при сборе ПДн предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
• если предоставление ПДн является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его персональные данные;
• при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обязан обеспечить обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе;
• принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами;
• при обработке ПДн принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн;
• исполнять иные обязанности, предусмотренные Законом.

Оператор имеет право:

• поручить обработку ПДн другому лицу с согласия субъекта ПДн, на основании заключаемого с этим лицом договора, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом. В поручении Оператора должны быть определены перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии с Законом;
• продолжить обработку ПДн без согласия субъекта ПДн, при наличии оснований, согласно ст.6 Закона;
• изменить в одностороннем порядке условия Политики. Новая редакция Политики вступает в силу после её утверждения и публикации.

3. Основные права и обязанности субъекта персональных данных

Субъект ПДн имеет право:

• получать от Оператора подтверждение факта обработки его ПДн;
• получать от Оператора правовые основания и цели обработки ПДн;
• получать от Оператора сведения о применяемых способах обработки ПДн;
• получать от Оператора сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
• получать от Оператора сведения о сроках обработки ПДн, в том числе о сроках их хранения;
• получать от Оператора наименование и адрес лица, осуществляющего обработку ПДн по поручению Оператора;
• получать от Оператора иные сведения, предусмотренные Законом или другими федеральными законами;
• требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать свое согласие на обработку персональных данных;
• требовать устранения неправомерных действий Оператором в отношении его ПДн;
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке в случае, если гражданин считает, что Оператор осуществляет обработку его ПДн с нарушением требований Закона или иным образом нарушает его права и свободы;
• отказаться от предоставления ПДн, если это допускается действующим законодательством РФ.

Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (ч.8 ст.14 Закона)

Субъект ПДн обязан:

• предоставлять Оператору достоверные данные о себе;
• сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

4. Цели сбора персональных данных

4.1. Оператор обрабатывает персональные данные в целях:

• оформления трудовых отношений, ведения кадрового делопроизводства;
• ведения документооборота с государственными и муниципальными учреждениями;
• пользования работниками различными льготами и гарантиями;
• обеспечения личной безопасности работников;
• подготовки, заключения, исполнения и прекращения договоров возмездного оказания услуг, а также договоров гражданско-правового характера;
• судебного делопроизводства;
• выполнения требований действующего законодательства РФ;
• для осуществления прав и законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• в иных случаях, установленных в Законе, уставе Оператора.

4.2. Обработка ПДн должна осуществляться на законной и справедливой основе.

4.3. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.5. Обработке подлежат только ПДн, которые отвечают целям их обработки.

4.6. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

4.7. Техническая информация, используемая Оператором, когда пользователь посещает веб-сайт Оператора, применяется в целях обеспечения работоспособности веб-сайта, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом Оператор не преследует цели идентифицировать конкретного пользователя веб-сайта Оператора.

5. Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные на основании:

• Трудового кодекса Российской Федерации;
• Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• иных федеральных законов и прочих нормативных правовых актов;
• устава Оператора;
• договоров, заключаемых между Оператором и субъектами ПДн;
• согласий на обработку персональных данных.

6. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

6.1. Категории субъектов персональных данных, чьи данные обрабатываются:

• работники Оператора, бывшие работники, кандидаты на вакансии;
• родственники работников Оператора;
• клиенты и контрагенты Оператора (физические лица).

6.2. Объем и категория ПДн работников, обрабатываемых в целях оформления трудовых отношений, ведения кадрового делопроизводства и документооборота с государственными учреждениями, пользования работниками льготами и гарантиями, обеспечения личной безопасности работников:

• фамилия, имя, отчество;
• дата и место рождения;
• адреса места жительства и регистрации;
• контактный телефон;
• адреса электронной почты;
• гражданство;
• образование;
• профессия, должность;
• стаж работы;
• семейное положение, наличие детей;
• серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
• данные страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• сведения о доходах;
• сведения о воинском учете;
• сведения о судимостях;
• сведения о социальных гарантиях;
• сведения о состоянии здоровья, влияющие на выполнение трудовой функции.

6.3. Объем и категория обрабатываемых ПДн родственников работников обрабатываемых в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

• фамилия, имя, отчество;
• дата и место рождения;
• серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
• серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;
• серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.

6.4. Объем и категория ПДн клиентов и контрагентов Оператора (физических лиц), обрабатываемых в целях подготовки, заключения, исполнения и прекращения договоров возмездного оказания услуг, а также договоров ГПХ, выполнения требований действующего законодательства РФ, судебного делопроизводства, осуществления прав и законных интересов Оператора:

• фамилия, имя, отчество;
• дата и место рождения;
• адреса места жительства и регистрации;
• контактный телефон;
• адреса электронной почты;
• гражданство;
• образование;
• профессия, должность;
• стаж работы;
• семейное положение, наличие детей;
• серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
• данные страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• сведения о доходах;
• сведения о воинском учете;
• сведения о судимостях;
• сведения об обременениях и наличии/отсутствии различной задолженности.

6.5. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить личность)

6.6. Оператор не выполняет обработку специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.7. Оператор может собирать и использовать техническую информацию при посещении веб-сайта Оператора: IP-адрес, файлы cookie, веб-маяки, идентификаторы мобильных устройств и прочее. Файлы cookie позволяют Оператору предоставлять пользователям соответствующую информацию по мере использования ими веб-сайта Оператора (например, открывать и загружать соответствующие страницы). Веб-маяки позволяют узнавать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на веб-сайте Оператора.

6.8. При выполнении Оператором своих обязательств перед субъектом ПДн и в процессе обработки, его ПДн могут стать доступны третьим лицам, в том числе в автоматическом режиме (интернет-провайдер, сотрудники банков и т. д.) Об этом Оператор предупреждает субъекта ПДн.

6.9. ПДн субъекта, полученные у третьих лиц, обрабатываются Оператором после получения от субъекта ПДн согласия на обработку его ПДн, полученных от третьих лиц.

7. Порядок и условия обработки персональных данных

7.1. Оператор обрабатывает ПДн субъекта только в случае, если субъект самостоятельно предоставил/отправил посредством электронной почты свои ПДн Оператору, либо через своего представителя, обладающего соответствующими полномочиями. Заполняя соответствующие формы, проставляя отметку о согласии, отправляя свои ПДн Оператору, субъект подтверждает, что он согласен со всеми условиями данной Политики.

7.2. Оператор не вправе обрабатывать персональные данные субъекта без его письменного согласия, за исключением случаев, предусмотренных ст.6 Закона.

7.3. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе, признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.4. Письменное согласие субъекта персональных данных должно включать:

• фамилию, имя, отчество;
• адрес субъекта персональных данных;
• номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Оператора;
• цель обработки персональных данных;
• перечень ПДн, на обработку которых дается согласие субъекта;
• перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
• срок, в течение которого действует согласие;
• способ его отзыва;
• подпись субъекта персональных данных.

7.5. При обработке ПДн Оператор выполняет, в частности, сбор, запись, систематизацию, хранение, накопление, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение персональных данных.

7.6. Оператором осуществляется смешанная обработка персональных данных с передачей полученной информации по сети общего доступа Интернет или без таковой.

7.7. Оператор организует обработку персональных данных в следующем порядке:

7.7.1. Принимает меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных ст.18 Закона: 

• назначает ответственного за организацию обработки персональных данных;
• издает настоящую Политику и обеспечивает к ней неограниченный доступ, издает локальные акты в области обработки ПДн;
• осуществляет внутренний контроль и (или) аудит соответствия обработки ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Оператора;
• осуществляет оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, определяет соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
• знакомит работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите ПДн, настоящей Политики, локальными актами в области обработки ПДн.

7.7.2. Принимает правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке (требования ст.19 Закона):

• принимает локальные нормативные акты по обработке и безопасности ПДн;
• устанавливает перечень лиц, имеющих доступ к ПДн;
• определяет угрозы безопасности ПДн при их обработке в ИСПДн;
• оценивает эффективность принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• устанавливает правила доступа к ПДн, обрабатываемым в ИСПДн;
• учитывает электронные носители ПДн;
• применяет защиту паролями компьютеров с ПДн, помещает ПДн в отдельные директории с запретом несанкционированного доступа;
• применяет антивирусную защиту компьютеров;
• обнаруживает факты несанкционированного доступа к ПДн и незамедлительно принимает меры;
• восстанавливает ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
• размещает технические средства обработки ПДн в пределах охраняемой территории, оборудованной сигнализацией.
• обеспечивает взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн. 

7.8. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

7.9. В электронном виде документы, содержащие ПДн, разрешается хранить в специализированных базах данных, расположенных на территории РФ, с ограничением и разграничением доступа и защищенных паролями. Копирование таких данных запрещено.

7.10. Хранение бумажных носителей ПДн осуществляется в металлических шкафах, запираемых на ключ, и находящихся в запираемом охраняемом помещении.

7.11. Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.

7.12. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

7.13. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

7.14. Уполномоченному работнику, имеющему право осуществлять обработку ПДн в информационных системах, предоставляется своя учетная запись с уникальным логином и паролем для доступа к соответствующей ИСПДн. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работника.

7.15. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.

7.16. При увольнении работника, имеющего доступ к ПДн, прекращении доступа к ПДн, документы и иные носители, содержащие ПДн, сдаются работником своему непосредственному руководителю.

7.17. Оператор прекращает обработку персональных данных в случаях:

• достижения целей обработки персональных данных;
• истечения срока действия согласия на обработку ПДн;
• отзыва согласия субъекта ПДн на обработку;
• выявления неправомерной обработки ПДн;
• ликвидации Оператора.

8. Актуализация, исправление, удаление и уничтожение

персональных данных, ответы на запросы субъектов на доступ

к персональным данным

8.1. Оператор обязан сообщить в порядке, предусмотренном ст.14 Закона, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.2. В случае, если сведения касающиеся обработки его ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, касающихся обработки его ПДн, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

8.3. Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, касающихся обработки его ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 8.2, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки его ПДн, должен содержать обоснование направления повторного запроса.

8.4. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту или его представителю при их обращении либо при получении запроса, Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 Закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.5. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн этого субъекта. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

8.6. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.7. В случае выявления неправомерной обработки ПДн [неточных ПДн] при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн [неточных ПДн], относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

8.8. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

8.9. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя, либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

8.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.11. В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом или другими федеральными законами.

8.12. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом или другими федеральными законами.

8.13. В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн, Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пп.2 - 11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 

8.14. В случае отсутствия возможности уничтожения ПДн в течение указанных сроков Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9. Заключительные положения

9.1. Политика является общедоступным документом.

9.2. Ответственность лиц, имеющих доступ к персональным данным,

определяется действующим законодательством Российской Федерации.