ОСТАВИТЬ ЗАЯВКУ!
На обслуживание вашего ЖК
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Группы компаний «ВЫСОТА-СЕРВИС» (далее – ГК «ВЫСОТА-СЕРВИС»*)
1. Общие положения
1.1. Настоящая Политика ГК «ВЫСОТА-СЕРВИС» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывают лица ГК «ВЫСОТА-СЕРВИС» (далее - Оператор).
* ГК «ВЫСОТА-СЕРВИС» для целей настоящей Политики включает лиц: ООО «Высота» (ОГРН 1047796427700), АО «ВЫСОТА 5642.СЕРВИС» (ОГРН 1175024030224), ООО УК "ВЫСОТА 4884. СЕРВИС" (ОГРН 1165047060353), ООО «УК «ИНВЕСТ ВЕКТОР» (ОГРН 5137746102940), ООО «УК МЕДИАН» (ОГРН 1187746440980), ООО «ВЫСОТА-СЕРВИС ПЛЮС» (ОГРН 1107746165636), ООО «ВЫСОТА - СЕРВИС» (ОГРН 1075017004545), ООО УК «Метрополия» (ОГРН: 1207700499929), ООО «РПМ» (ОГРН 1187746708005), ООО УК «АНФИЛАЛА» (ОГРН 1197746002850), ООО «ВСЕ РАБОТАЕТ» (ОГРН 1117746250522), ООО «УК «ГЖС» (ОГРН 1205000086785), ООО «УК «ВДОХНОВЕНИЕ» (ОГРН 1247700356166), ООО УК "СИДНЕЙ" (ОГРН 1247700434002), ООО «УК «ВС 5085» (ОГРН 1237700668831). Список лиц лица ГК «ВЫСОТА-СЕРВИС» может быть изменен путем издания совместного приказа организаций о внесении изменений в настоящую Политику.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://vysota-service.ru (далее «Сайт»).
1.5. Все персональные данные, обрабатываемые Оператором, за исключением данных, включенных в общедоступныеисточники, признаются информацией ограниченного доступа.
1.6. Оператор направляет в Роскомнадзор уведомление об обработке Персональных данных. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки Персональных данных Оператор также уведомляет об этом Роскомнадзор.
1.1. Настоящая Политика ГК «ВЫСОТА-СЕРВИС» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывают лица ГК «ВЫСОТА-СЕРВИС» (далее - Оператор).
* ГК «ВЫСОТА-СЕРВИС» для целей настоящей Политики включает лиц: ООО «Высота» (ОГРН 1047796427700), АО «ВЫСОТА 5642.СЕРВИС» (ОГРН 1175024030224), ООО УК "ВЫСОТА 4884. СЕРВИС" (ОГРН 1165047060353), ООО «УК «ИНВЕСТ ВЕКТОР» (ОГРН 5137746102940), ООО «УК МЕДИАН» (ОГРН 1187746440980), ООО «ВЫСОТА-СЕРВИС ПЛЮС» (ОГРН 1107746165636), ООО «ВЫСОТА - СЕРВИС» (ОГРН 1075017004545), ООО УК «Метрополия» (ОГРН: 1207700499929), ООО «РПМ» (ОГРН 1187746708005), ООО УК «АНФИЛАЛА» (ОГРН 1197746002850), ООО «ВСЕ РАБОТАЕТ» (ОГРН 1117746250522), ООО «УК «ГЖС» (ОГРН 1205000086785), ООО «УК «ВДОХНОВЕНИЕ» (ОГРН 1247700356166), ООО УК "СИДНЕЙ" (ОГРН 1247700434002), ООО «УК «ВС 5085» (ОГРН 1237700668831). Список лиц лица ГК «ВЫСОТА-СЕРВИС» может быть изменен путем издания совместного приказа организаций о внесении изменений в настоящую Политику.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://vysota-service.ru (далее «Сайт»).
1.5. Все персональные данные, обрабатываемые Оператором, за исключением данных, включенных в общедоступныеисточники, признаются информацией ограниченного доступа.
1.6. Оператор направляет в Роскомнадзор уведомление об обработке Персональных данных. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения обработки Персональных данных Оператор также уведомляет об этом Роскомнадзор.
2. Термины и принятые сокращения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Оператор не производит обработку персональный данных способом их распространения.
Оператор персональных данных (оператор) – юридическое и/или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Оператор не производит обработку персональный данных способом их распространения.
Оператор персональных данных (оператор) – юридическое и/или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок и условия обработки и хранение персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: непосредственно, с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.7. Обработка персональных данных осуществляется путем:
· получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
· внесения персональных данных в журналы, реестры и информационные системы Оператора;
· использования иных способов обработки персональных данных.
3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной и судебной власти и организации всех форм собственности осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных
· выполнение требований законодательства РФ в области организации обработки Персональных данных контролируется лицом, ответственным за организацию обработки Персональных данных, либо комиссией, формируемой в установленном Оператором порядке, посредством проведения внутреннего контроля.
3.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
Оператор установил следующие условия прекращения обработки Персональных данных: достижение целей обработки Персональных данных и максимальных сроков хранения Персональных данных, утрата необходимости в достижении целей обработки Персональных данных, предоставление субъектом Персональных данных или его законным представителем сведений, подтверждающих, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, невозможность обеспечения правомерности обработки Персональных данных, отзыв субъектом Персональных данных согласия на обработку Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, истечение сроков исковой давности для правоотношениям, в рамках которых осуществляется либо осуществлялась обработка Персональных данных, получение требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем Персональных данных, ликвидация или реорганизация Оператора.
3.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.13. Цели обработки персональных данных:
3.13.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.13.2. Обработка Оператором персональных данных осуществляется в следующих Целях:
3.13.2.1. Ведение кадрового и бухгалтерского учета.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображение лица, а также Специальные категории персональных данных сведения о состоянии здоровья, сведения о судимости.
Категории субъектов, персональные данные которых обрабатываются: Работники, Соискатели, Родственники работников, Уволенные работники, Законные представители.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с Персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.13.2.2. Обеспечение соблюдения Жилищного законодательства РФ в процессе осуществления Оператором предпринимательской деятельности по управлению многоквартирными домами.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, номер расчетного счета, номер лицевого счета, фото-видео изображение лица, иные данные: данные о праве собственности на объект недвижимого имущества, номер транспортного средства, право Субъекта Персональных данных на получение льгот, установленных действующим законодательством РФ.
Категории субъектов, персональные данные которых обрабатываются: Контрагенты, Представители контрагентов, Клиенты, Посетители сайта, Пользователи мобильного приложения Оператора, Выгодоприобретатели по договорам, Законные представители.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.13.2.3. Подготовка, заключение и исполнение гражданско-правовых договоров.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, имущественное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), фото-видео изображение лица.
Категории субъектов, персональные данные которых обрабатываются: Контрагенты, Представители контрагентов.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.13.3. Обработка Персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ.
3.14. Улучшение порядка обработки Персональных данных
Оператор на регулярной основе улучшает порядок обработки Персональных данных с учетом регулярных изменений требований действующего законодательства РФ и характеристик процессов организации обработки Персональных данных, а также по причине выработки новых подходов и практик обработки Персональных данных
3.14.1. Улучшение достигается посредством уточнения (пересмотра) настоящей Политики, использования результатов внутреннего контроля и проверок (государственного надзора), корректирующих и предупреждающих действий. Порядок проведения внутреннего контроля и порядок участия в проверках (государственном надзоре) определены в локальных нормативных актах Оператора, регулирующих организацию защиты Персональных данных.
3.14.2. Политика пересматриваются по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра. В случае внесения изменений Политику процессов обработки персональных данных она подлежит утверждению в новой редакции.
3.14.3. Оператор проводит мероприятия по устранению причин несоответствий требованиям действующего законодательства РФ в области Персональных данных и локальных нормативных актов с целью предупредить их повторное возникновение.
3.14.4. Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям действующего законодательства РФ в области Персональных данных и локальных нормативных актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать размеру вреда, который может быть причинен Оператору.
3.14.5. Критически важным для улучшения порядка управления и обеспечения обработки Персональных данных являются состав, квалификация и опыт лиц, привлекаемых к данным мероприятиям.
3.14.6. Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки Персональных данных, может включать в себя: лицо, ответственное за организацию обработки Персональных данных, лицо, ответственное за обеспечение безопасности Персональных данных в информационных системах Персональных данных, или представителя структурного подразделения Оператора, ответственного за обеспечение безопасности Персональных данных в Информационных системах Персональных данных, представителей структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, представителей структурного подразделения Оператора, ответственного за ведение кадрового учета, представителей иных заинтересованных структурных подразделения Оператора, которые вовлечены в обработку и (или) защиту Персональных данных, иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц (сторонних организаций), обладающих соответствующими компетенциями.
3.14.7. Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения обработки Персональных данных, должны соответствовать поставленной перед ними задаче. Указанные лица в своей совокупности должны: знать требования действующего законодательства РФ о Персональных данных, обладать как минимум базовыми знаниями в сфере управления и обеспечения информационной безопасности, иметь компетенцию по исследованию бизнес-процессов Оператора.
3.14.8. Контроль несоответствий и рекомендации по устранению несоответствий отражается в локальных нормативных актах Оператора об организации защиты Персональных данных.
3.15. Основные правила обработки Персональных данных.
3.15.1. Оператором ведется перечень Информационных систем Персональных данных Оператора.
3.15.2. Оператором не допускается обработка Персональных данных, несовместимая с целями сбора Персональных данных.
3.15.3. Содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки.
3.15.4. Оператором не допускается объединение баз данных, содержащих Персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
3.16. Порядок предоставления доступа работников к Персональным данным.
3.16.1. Доступ к Персональным данным имеют лица и подразделения Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих обязанностей.
3.16.2. Перечень лиц и подразделений, допущенных к обработке Персональных данных, определяется лицом, ответственным за организацию обработки Персональных данных, и утверждается приказом Оператора.
3.16.3. Процедура предоставления доступа работника Оператора к Персональным данным предусматривает:
· согласование заявки на доступ с лицом, ответственным за организацию обработки Персональных данных, с указанием в заявке фамилии, имени, отчества, должности и подразделения работника, действия (действий) по обработке Персональных данных, в котором будет участвовать работник, описания выполняемых работником функций по обработке Персональных данных (процедура согласования заявки может быть заменена на процедуру оформления Оператором и работником должностной инструкции работника Оператора, предусматривающей урегулирование указанных вопросов);
· ознакомление лицом, ответственным за организацию обработки Персональных данных, работника под роспись с Политикой, другими локальными нормативными актами Оператора по вопросам обработки Персональных данных, а также локальными нормативными актами, устанавливающими процедуры, направленные на выявление нарушений законодательства РФ в области обработки и защиты Персональных данных и устранение последствий таких нарушений;
· фиксацию в соответствии с требованиями ч.1 ст.15 и ч.4 ст. 57 TK РФ в соглашении о конфиденциальности с работником соответствующих положений о конфиденциальности Персональных данных и безопасности Персональных данных при обработке;
· ознакомление работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.16.4. В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего Персональные данные, а также изменении организационно-штатной структуры, руководитель работника, обрабатывающего Персональные данные, уведомляет об этом лицо, ответственное за организацию обработки Персональные данные. Лицо, ответственное за обработку Персональных данных, пересматривает права доступа работника к Персональным данным и при необходимости вносятся соответствующие изменения в Перечень лиц, допущенных к обработке Персональных данных.
При увольнении работника, имеющего доступ к Персональным данным, документы и иные носители, содержащие Персональным данным, передаются другому работнику, имеющему доступ к Персональным данным по указанию руководителя увольняющегося работника Оператора.
Лицо, ответственное за организацию обработки Персональных данных, по мере необходимости осуществляет проверку/актуализацию работников допущенных к обработке Персональных данных, а также списка пользователей информационных систем Персональных данных, электронного журнала обращений пользователей информационных систем Персональных данных на получение Персональных данных. В случае выявления работников, допущенных к обработке Персональных данных, которым такой доступ больше не требуется, права доступа такого работника к Персональным данным незамедлительно отзываются.
Допуск работников к обработке Персональных данных до прохождения процедуры предоставления доступа запрещается.
Доступ работников к своим Персональным данным осуществляется в соответствии с положениями 152-ФЗ и трудового законодательства РФ.
3.17. Порядок обработки Персональных данных, включая сбор, запись и хранение Персональных данных
3.17.1. Обработка Персональных данных может осуществляться Оператором в случаях, предусмотренных действующим законодательством РФ.
3.17.2. Оператором применяются следующие способы сбора (получения) Персональных данных субъектов:
· заполнение субъектом Персональных данных соответствующим форм;
· предоставление субъектом Персональных данных соответствующих документов;
· получение Персональных данных от третьих лиц;
· получение от третьих лиц Персональных данных на основании запроса Оператора;
· сбор Персональных данных из общедоступных источников;
· осуществление записи видеоизображения субъекта Персональных данных и (или) его речи.
3.17.3. При сборе Персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, а также обеспечивает соблюдение следующих принципов:
· сбор Оператором Персональных данных граждан РФ, должен вестись только в базах данных, находящиеся на территории РФ;
· передача Оператором Персональных данных граждан РФ, после их сбора, в зарубежные базы данных не осуществляется.
3.17.4. Оператор сообщает субъекту о целях, способах и источниках получения его Персональных данных, а также о характере подлежащих получению Персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.17.5. Оператор может осуществлять запись (ввод) Персональных данных в информационную систему Персональных данных — это процедура, связанная с кодированием Персональных данных в компьютерно-читаемую форму и их записью в базу данных информационной системы Персональных данных.
3.17.6. Существуют следующие способы записи Персональных данных в информационную систему Персональных данных Оператора:
· ввод информации при помощи клавиатуры;
· сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;
· ввод существующих цифровых файлов;
· получение информации из других информационных систем.
3.17.7. Персональные данные субъектов могут храниться Оператором на материальных носителях информации, содержащих сведения, в том числе, в форме документов зафиксированной на материальном носителе информации (содержащей Персональные данные) с реквизитами, позволяющими ее идентифицировать и определить субъекта Персональных данных.
3.17.8. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.17.9. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках).
3.18. Порядок уничтожения Персональных данных
3.18.1. Персональные данные подлежат уничтожению в следующие сроки:
· при отзыве субъектом Персональных данных согласия на обработку его Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных - в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва. При этом согласие на обработку Персональных данных при его отзыве не уничтожается, передается на хранение в соответствии с пунктом 44 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Росархива от 20.12.2019 № 236. По истечении установленного срока хранения согласие на обработку Персональных данных уничтожается в порядке, предусмотренном Политикой;
· при достижении цели обработки Персональных данных или утраты необходимости в достижении этих целей - в срок, непревышающий 30 календарных дней с даты достижения цели обработки Персональных данных;
· при истечении сроков хранения Персональных данных, установленных нормативными правовыми актами РФ - в сроки, установленные локальными нормативными актами Оператора для уничтожения архивных документов;
· при получении требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путемПерсональных данных — в срок, не превышающий 10 рабочих дней, если иной срок не установлен в требовании;
· при выявлении неправомерной обработки Персональных данных в случае, если обеспечить правомерность обработки Персональных данных невозможно — в срок, не превышающий 10 рабочих дней с даты выявления неправомернойобработки Персональных данных;
· при получении требования субъекта Персональных данных или его представителя, если субъект Персональных данных является несовершеннолетним, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки - в срок, не превышающий 7 рабочих дней со дня представления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.18.2. При невозможности уничтожения Персональных данных в сроки, определенные Федеральным законом для случаев,когда невозможно обеспечить правомерность обработки Персональных данных при достижении целей обработки Персональных данных, а также при отзыве субъектом согласия на обработку Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, Оператор осуществляетблокирование Персональных данных и уничтожает Персональные данные в течение 6 месяцев, если иной срок не установлен законодательством РФ.
3.18.3. Уничтожение Персональных данных должно производиться под контролем комиссии, формируемой в установленном Оператором порядке. В случае возникновения необходимости по уничтожению Персональных данных в обособленных подразделениях Оператора или удаленных местах нахождения работников Оператора лицо, ответственное за организацию обработки Персональных данных, путем издания соответствующего распоряжения формирует на временной или постоянной основе локальную комиссию в составе не менее двух человек по уничтожению Персональных данных.
3.18.4. Факт уничтожения Персональных данных, обработка которых осуществляется Оператором без использованиясредств автоматизации, подтверждается Актом об уничтожении Персональных данных
Факт уничтожения Персональных данных, обработка которых осуществляется Оператором с использованием средств автоматизации, подтверждается Актом об уничтожении Персональных данных и выгрузкой из журнала регистрации событий в информационной системе Персональных данных.
Акт об уничтожении Персональных данных и выгрузка из журнала регистрации событий в информационной системе Персональных данных подлежат хранению в течение 3 лет с момента уничтожения Персональных данных.
В случае составления Акта об уничтожении в электронной форме, такой акт подписывается электронной подписью в соответствии с требованиями законодательства РФ об электронной подписи, локальными нормативными актами Оператора, регламентирующими использование электронных подписей в организации.
3.18.5. Уничтожение Персональных данных должно производиться способом, исключающим возможность восстановления этих Персональных данных. Если Персональных данных невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат иПерсональные данные, и их материальный носитель.
3.18.6. Уничтожение Персональных данных в информационной системе Персональных данных, на ЭВМ и на отчуждаемых машинных носителях информации осуществляется с помощью штатных средств, а также, при необходимости, сприменением специализированных программных или аппаратных средств. Для уничтожения (стирания) Персональных данных на машинных носителях информации применяются средства и механизмы средств защиты информации, обеспечивающие невозможность восстановления и повторного использования Персональных данных
3.18.7. Уничтожение Персональных данных на бумажных носителях информации осуществляется в установленном Оператором порядке после передачи в архив и (или) истечения сроков хранения.
Как правило, уничтожение Персональных данных на бумажном носителе производится путем измельчения, сжигания или преобразования в целлюлозную массу указанного бумажного носителя таким образом, чтобы гарантировать невозможность их восстановления.
3.18.8. Уничтожение Персональных данных третьим лицом, обрабатывающим Персональные данные по поручениюОператора, осуществляется в порядке, установленном договором между Оператором и третьим лицом, а также с учетом требований раздела 3 Политики.
Как правило, третьему лицу направляется уведомление о необходимости удаления Персональных данных субъектаперсональных данных с предоставлением Оператору, подтверждающих факт удаления документов, если договором с третьим лицом не предусмотрено иное.
3.18.9. Дополнительные требования к порядку уничтожения Персональных данных на материальных носителях могут бытьустановлены локальными нормативными актами Оператора.
3.19. Порядок обмена Оператором Персональными данными с третьим лицами
3.19.1. Персональные данные могут быть получены Оператором от лица, не являющегося субъектом Персональных данных,при условии предоставления Оператору подтверждения выполнения условий, указанных в n.3.2. Политики.
3.19.2. Передача является способом обработки Персональных данных и должна основываться на принципах, установленных законодательством РФ в области Персональных данных, а также на положениях локальных нормативных актов Оператора.
3.19.2.1. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только списьменного разрешения самого субъекта, за исключением случаев, когда передача Персональных данных н субъекта без его согласия допускается действующим законодательством РФ либо договором, регламентирующим правоотношения Оператора с субъектом Персональных данных.
3.19.2.2. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме, который позволяет предоставлятьминимальный необходимый объем Персональных данных о субъектах Персональных данных.
3.19.2.3. Работники Оператора, передающие Персональные данные субъектов третьим лицам, могут передавать их с составлением двустороннего акта приема-передачи документов (иных материальных носителей информации), содержащих Персональные данные субъектов, либо иным способом, позволяющим подтвердить факт и дату передачи Персональные данные. При использовании любого из указанных способов должны выполняться следующие условия:
- уведомление получающего Персональные данные лица об его обязанности использовать полученные Персональные данные лишь в целях, для которых они сообщены;
- предупреждение получающего Персональные данные лица об его ответственности за противоправную обработку Персональных данных в соответствии с действующим законодательством РФ.
3.19.2.4. Передача документов (иных материальных носителей информации), содержащих Персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение, одного из наборов документов:
первый набор документов:
- действующий договор с запрашивающим Персональных данных лицом, стороной которого либо выгодоприобретателем или поручителем, по которому является Оператор;
- действующее соглашение Оператора с запрашивающим Персональные данные лицом, регулирующие порядок организации обработки и обеспечения безопасности Персональных данных, либо наличие в действующем договореОператора с запрашивающим Персональные данные лицом пунктов о соблюдении конфиденциальности Персональных данных;
второй набор документов:
- письмо-запрос Оператору от запрашивающего Персональные данные лица, которое должно включать в себя указание на правовые основания получения доступа к запрашиваемой информации, содержащей Персональные данные субъекта, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию;
- действующее соглашение Оператора с запрашивающим Персональные данные лицом, регулирующие порядок организации обработки и обеспечения безопасности Персональных данных (при наличии).
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: непосредственно, с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.7. Обработка персональных данных осуществляется путем:
· получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
· внесения персональных данных в журналы, реестры и информационные системы Оператора;
· использования иных способов обработки персональных данных.
3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной и судебной власти и организации всех форм собственности осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных
· выполнение требований законодательства РФ в области организации обработки Персональных данных контролируется лицом, ответственным за организацию обработки Персональных данных, либо комиссией, формируемой в установленном Оператором порядке, посредством проведения внутреннего контроля.
3.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
Оператор установил следующие условия прекращения обработки Персональных данных: достижение целей обработки Персональных данных и максимальных сроков хранения Персональных данных, утрата необходимости в достижении целей обработки Персональных данных, предоставление субъектом Персональных данных или его законным представителем сведений, подтверждающих, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, невозможность обеспечения правомерности обработки Персональных данных, отзыв субъектом Персональных данных согласия на обработку Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, истечение сроков исковой давности для правоотношениям, в рамках которых осуществляется либо осуществлялась обработка Персональных данных, получение требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путем Персональных данных, ликвидация или реорганизация Оператора.
3.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.13. Цели обработки персональных данных:
3.13.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.13.2. Обработка Оператором персональных данных осуществляется в следующих Целях:
3.13.2.1. Ведение кадрового и бухгалтерского учета.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображение лица, а также Специальные категории персональных данных сведения о состоянии здоровья, сведения о судимости.
Категории субъектов, персональные данные которых обрабатываются: Работники, Соискатели, Родственники работников, Уволенные работники, Законные представители.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с Персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
3.13.2.2. Обеспечение соблюдения Жилищного законодательства РФ в процессе осуществления Оператором предпринимательской деятельности по управлению многоквартирными домами.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, номер расчетного счета, номер лицевого счета, фото-видео изображение лица, иные данные: данные о праве собственности на объект недвижимого имущества, номер транспортного средства, право Субъекта Персональных данных на получение льгот, установленных действующим законодательством РФ.
Категории субъектов, персональные данные которых обрабатываются: Контрагенты, Представители контрагентов, Клиенты, Посетители сайта, Пользователи мобильного приложения Оператора, Выгодоприобретатели по договорам, Законные представители.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.13.2.3. Подготовка, заключение и исполнение гражданско-правовых договоров.
Для указанной в настоящем пункте цели обработки Оператором обрабатываются Персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, имущественное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), фото-видео изображение лица.
Категории субъектов, персональные данные которых обрабатываются: Контрагенты, Представители контрагентов.
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
3.13.3. Обработка Персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ.
3.14. Улучшение порядка обработки Персональных данных
Оператор на регулярной основе улучшает порядок обработки Персональных данных с учетом регулярных изменений требований действующего законодательства РФ и характеристик процессов организации обработки Персональных данных, а также по причине выработки новых подходов и практик обработки Персональных данных
3.14.1. Улучшение достигается посредством уточнения (пересмотра) настоящей Политики, использования результатов внутреннего контроля и проверок (государственного надзора), корректирующих и предупреждающих действий. Порядок проведения внутреннего контроля и порядок участия в проверках (государственном надзоре) определены в локальных нормативных актах Оператора, регулирующих организацию защиты Персональных данных.
3.14.2. Политика пересматриваются по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра. В случае внесения изменений Политику процессов обработки персональных данных она подлежит утверждению в новой редакции.
3.14.3. Оператор проводит мероприятия по устранению причин несоответствий требованиям действующего законодательства РФ в области Персональных данных и локальных нормативных актов с целью предупредить их повторное возникновение.
3.14.4. Оператор определяет действия, необходимые для устранения причин потенциальных несоответствий требованиям действующего законодательства РФ в области Персональных данных и локальных нормативных актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать размеру вреда, который может быть причинен Оператору.
3.14.5. Критически важным для улучшения порядка управления и обеспечения обработки Персональных данных являются состав, квалификация и опыт лиц, привлекаемых к данным мероприятиям.
3.14.6. Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки Персональных данных, может включать в себя: лицо, ответственное за организацию обработки Персональных данных, лицо, ответственное за обеспечение безопасности Персональных данных в информационных системах Персональных данных, или представителя структурного подразделения Оператора, ответственного за обеспечение безопасности Персональных данных в Информационных системах Персональных данных, представителей структурного подразделения Оператора, ответственного за обеспечение соблюдения законности и юридическую защиту интересов Оператора, представителей структурного подразделения Оператора, ответственного за ведение кадрового учета, представителей иных заинтересованных структурных подразделения Оператора, которые вовлечены в обработку и (или) защиту Персональных данных, иные лица, в некоторых ситуациях, когда необходимо привлечение третьих лиц (сторонних организаций), обладающих соответствующими компетенциями.
3.14.7. Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения обработки Персональных данных, должны соответствовать поставленной перед ними задаче. Указанные лица в своей совокупности должны: знать требования действующего законодательства РФ о Персональных данных, обладать как минимум базовыми знаниями в сфере управления и обеспечения информационной безопасности, иметь компетенцию по исследованию бизнес-процессов Оператора.
3.14.8. Контроль несоответствий и рекомендации по устранению несоответствий отражается в локальных нормативных актах Оператора об организации защиты Персональных данных.
3.15. Основные правила обработки Персональных данных.
3.15.1. Оператором ведется перечень Информационных систем Персональных данных Оператора.
3.15.2. Оператором не допускается обработка Персональных данных, несовместимая с целями сбора Персональных данных.
3.15.3. Содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки.
3.15.4. Оператором не допускается объединение баз данных, содержащих Персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
3.16. Порядок предоставления доступа работников к Персональным данным.
3.16.1. Доступ к Персональным данным имеют лица и подразделения Оператора, которые обязаны осуществлять их обработку в связи с исполнением своих обязанностей.
3.16.2. Перечень лиц и подразделений, допущенных к обработке Персональных данных, определяется лицом, ответственным за организацию обработки Персональных данных, и утверждается приказом Оператора.
3.16.3. Процедура предоставления доступа работника Оператора к Персональным данным предусматривает:
· согласование заявки на доступ с лицом, ответственным за организацию обработки Персональных данных, с указанием в заявке фамилии, имени, отчества, должности и подразделения работника, действия (действий) по обработке Персональных данных, в котором будет участвовать работник, описания выполняемых работником функций по обработке Персональных данных (процедура согласования заявки может быть заменена на процедуру оформления Оператором и работником должностной инструкции работника Оператора, предусматривающей урегулирование указанных вопросов);
· ознакомление лицом, ответственным за организацию обработки Персональных данных, работника под роспись с Политикой, другими локальными нормативными актами Оператора по вопросам обработки Персональных данных, а также локальными нормативными актами, устанавливающими процедуры, направленные на выявление нарушений законодательства РФ в области обработки и защиты Персональных данных и устранение последствий таких нарушений;
· фиксацию в соответствии с требованиями ч.1 ст.15 и ч.4 ст. 57 TK РФ в соглашении о конфиденциальности с работником соответствующих положений о конфиденциальности Персональных данных и безопасности Персональных данных при обработке;
· ознакомление работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.16.4. В случае увольнения, перевода на другую должность или изменения должностных обязанностей работника, обрабатывающего Персональные данные, а также изменении организационно-штатной структуры, руководитель работника, обрабатывающего Персональные данные, уведомляет об этом лицо, ответственное за организацию обработки Персональные данные. Лицо, ответственное за обработку Персональных данных, пересматривает права доступа работника к Персональным данным и при необходимости вносятся соответствующие изменения в Перечень лиц, допущенных к обработке Персональных данных.
При увольнении работника, имеющего доступ к Персональным данным, документы и иные носители, содержащие Персональным данным, передаются другому работнику, имеющему доступ к Персональным данным по указанию руководителя увольняющегося работника Оператора.
Лицо, ответственное за организацию обработки Персональных данных, по мере необходимости осуществляет проверку/актуализацию работников допущенных к обработке Персональных данных, а также списка пользователей информационных систем Персональных данных, электронного журнала обращений пользователей информационных систем Персональных данных на получение Персональных данных. В случае выявления работников, допущенных к обработке Персональных данных, которым такой доступ больше не требуется, права доступа такого работника к Персональным данным незамедлительно отзываются.
Допуск работников к обработке Персональных данных до прохождения процедуры предоставления доступа запрещается.
Доступ работников к своим Персональным данным осуществляется в соответствии с положениями 152-ФЗ и трудового законодательства РФ.
3.17. Порядок обработки Персональных данных, включая сбор, запись и хранение Персональных данных
3.17.1. Обработка Персональных данных может осуществляться Оператором в случаях, предусмотренных действующим законодательством РФ.
3.17.2. Оператором применяются следующие способы сбора (получения) Персональных данных субъектов:
· заполнение субъектом Персональных данных соответствующим форм;
· предоставление субъектом Персональных данных соответствующих документов;
· получение Персональных данных от третьих лиц;
· получение от третьих лиц Персональных данных на основании запроса Оператора;
· сбор Персональных данных из общедоступных источников;
· осуществление записи видеоизображения субъекта Персональных данных и (или) его речи.
3.17.3. При сборе Персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, а также обеспечивает соблюдение следующих принципов:
· сбор Оператором Персональных данных граждан РФ, должен вестись только в базах данных, находящиеся на территории РФ;
· передача Оператором Персональных данных граждан РФ, после их сбора, в зарубежные базы данных не осуществляется.
3.17.4. Оператор сообщает субъекту о целях, способах и источниках получения его Персональных данных, а также о характере подлежащих получению Персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.17.5. Оператор может осуществлять запись (ввод) Персональных данных в информационную систему Персональных данных — это процедура, связанная с кодированием Персональных данных в компьютерно-читаемую форму и их записью в базу данных информационной системы Персональных данных.
3.17.6. Существуют следующие способы записи Персональных данных в информационную систему Персональных данных Оператора:
· ввод информации при помощи клавиатуры;
· сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;
· ввод существующих цифровых файлов;
· получение информации из других информационных систем.
3.17.7. Персональные данные субъектов могут храниться Оператором на материальных носителях информации, содержащих сведения, в том числе, в форме документов зафиксированной на материальном носителе информации (содержащей Персональные данные) с реквизитами, позволяющими ее идентифицировать и определить субъекта Персональных данных.
3.17.8. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.17.9. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках).
3.18. Порядок уничтожения Персональных данных
3.18.1. Персональные данные подлежат уничтожению в следующие сроки:
· при отзыве субъектом Персональных данных согласия на обработку его Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных - в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва. При этом согласие на обработку Персональных данных при его отзыве не уничтожается, передается на хранение в соответствии с пунктом 44 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Росархива от 20.12.2019 № 236. По истечении установленного срока хранения согласие на обработку Персональных данных уничтожается в порядке, предусмотренном Политикой;
· при достижении цели обработки Персональных данных или утраты необходимости в достижении этих целей - в срок, непревышающий 30 календарных дней с даты достижения цели обработки Персональных данных;
· при истечении сроков хранения Персональных данных, установленных нормативными правовыми актами РФ - в сроки, установленные локальными нормативными актами Оператора для уничтожения архивных документов;
· при получении требования Роскомнадзора об уничтожении недостоверных или полученных незаконным путемПерсональных данных — в срок, не превышающий 10 рабочих дней, если иной срок не установлен в требовании;
· при выявлении неправомерной обработки Персональных данных в случае, если обеспечить правомерность обработки Персональных данных невозможно — в срок, не превышающий 10 рабочих дней с даты выявления неправомернойобработки Персональных данных;
· при получении требования субъекта Персональных данных или его представителя, если субъект Персональных данных является несовершеннолетним, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки - в срок, не превышающий 7 рабочих дней со дня представления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.18.2. При невозможности уничтожения Персональных данных в сроки, определенные Федеральным законом для случаев,когда невозможно обеспечить правомерность обработки Персональных данных при достижении целей обработки Персональных данных, а также при отзыве субъектом согласия на обработку Персональных данных, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, Оператор осуществляетблокирование Персональных данных и уничтожает Персональные данные в течение 6 месяцев, если иной срок не установлен законодательством РФ.
3.18.3. Уничтожение Персональных данных должно производиться под контролем комиссии, формируемой в установленном Оператором порядке. В случае возникновения необходимости по уничтожению Персональных данных в обособленных подразделениях Оператора или удаленных местах нахождения работников Оператора лицо, ответственное за организацию обработки Персональных данных, путем издания соответствующего распоряжения формирует на временной или постоянной основе локальную комиссию в составе не менее двух человек по уничтожению Персональных данных.
3.18.4. Факт уничтожения Персональных данных, обработка которых осуществляется Оператором без использованиясредств автоматизации, подтверждается Актом об уничтожении Персональных данных
Факт уничтожения Персональных данных, обработка которых осуществляется Оператором с использованием средств автоматизации, подтверждается Актом об уничтожении Персональных данных и выгрузкой из журнала регистрации событий в информационной системе Персональных данных.
Акт об уничтожении Персональных данных и выгрузка из журнала регистрации событий в информационной системе Персональных данных подлежат хранению в течение 3 лет с момента уничтожения Персональных данных.
В случае составления Акта об уничтожении в электронной форме, такой акт подписывается электронной подписью в соответствии с требованиями законодательства РФ об электронной подписи, локальными нормативными актами Оператора, регламентирующими использование электронных подписей в организации.
3.18.5. Уничтожение Персональных данных должно производиться способом, исключающим возможность восстановления этих Персональных данных. Если Персональных данных невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат иПерсональные данные, и их материальный носитель.
3.18.6. Уничтожение Персональных данных в информационной системе Персональных данных, на ЭВМ и на отчуждаемых машинных носителях информации осуществляется с помощью штатных средств, а также, при необходимости, сприменением специализированных программных или аппаратных средств. Для уничтожения (стирания) Персональных данных на машинных носителях информации применяются средства и механизмы средств защиты информации, обеспечивающие невозможность восстановления и повторного использования Персональных данных
3.18.7. Уничтожение Персональных данных на бумажных носителях информации осуществляется в установленном Оператором порядке после передачи в архив и (или) истечения сроков хранения.
Как правило, уничтожение Персональных данных на бумажном носителе производится путем измельчения, сжигания или преобразования в целлюлозную массу указанного бумажного носителя таким образом, чтобы гарантировать невозможность их восстановления.
3.18.8. Уничтожение Персональных данных третьим лицом, обрабатывающим Персональные данные по поручениюОператора, осуществляется в порядке, установленном договором между Оператором и третьим лицом, а также с учетом требований раздела 3 Политики.
Как правило, третьему лицу направляется уведомление о необходимости удаления Персональных данных субъектаперсональных данных с предоставлением Оператору, подтверждающих факт удаления документов, если договором с третьим лицом не предусмотрено иное.
3.18.9. Дополнительные требования к порядку уничтожения Персональных данных на материальных носителях могут бытьустановлены локальными нормативными актами Оператора.
3.19. Порядок обмена Оператором Персональными данными с третьим лицами
3.19.1. Персональные данные могут быть получены Оператором от лица, не являющегося субъектом Персональных данных,при условии предоставления Оператору подтверждения выполнения условий, указанных в n.3.2. Политики.
3.19.2. Передача является способом обработки Персональных данных и должна основываться на принципах, установленных законодательством РФ в области Персональных данных, а также на положениях локальных нормативных актов Оператора.
3.19.2.1. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только списьменного разрешения самого субъекта, за исключением случаев, когда передача Персональных данных н субъекта без его согласия допускается действующим законодательством РФ либо договором, регламентирующим правоотношения Оператора с субъектом Персональных данных.
3.19.2.2. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке организации и в том объеме, который позволяет предоставлятьминимальный необходимый объем Персональных данных о субъектах Персональных данных.
3.19.2.3. Работники Оператора, передающие Персональные данные субъектов третьим лицам, могут передавать их с составлением двустороннего акта приема-передачи документов (иных материальных носителей информации), содержащих Персональные данные субъектов, либо иным способом, позволяющим подтвердить факт и дату передачи Персональные данные. При использовании любого из указанных способов должны выполняться следующие условия:
- уведомление получающего Персональные данные лица об его обязанности использовать полученные Персональные данные лишь в целях, для которых они сообщены;
- предупреждение получающего Персональные данные лица об его ответственности за противоправную обработку Персональных данных в соответствии с действующим законодательством РФ.
3.19.2.4. Передача документов (иных материальных носителей информации), содержащих Персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение, одного из наборов документов:
первый набор документов:
- действующий договор с запрашивающим Персональных данных лицом, стороной которого либо выгодоприобретателем или поручителем, по которому является Оператор;
- действующее соглашение Оператора с запрашивающим Персональные данные лицом, регулирующие порядок организации обработки и обеспечения безопасности Персональных данных, либо наличие в действующем договореОператора с запрашивающим Персональные данные лицом пунктов о соблюдении конфиденциальности Персональных данных;
второй набор документов:
- письмо-запрос Оператору от запрашивающего Персональные данные лица, которое должно включать в себя указание на правовые основания получения доступа к запрашиваемой информации, содержащей Персональные данные субъекта, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию;
- действующее соглашение Оператора с запрашивающим Персональные данные лицом, регулирующие порядок организации обработки и обеспечения безопасности Персональных данных (при наличии).
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором создана Система защиты Персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование Системы защиты Персональных данных.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления Системы защиты Персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
4.5. Основными мерами защиты Персональных данных, используемыми Оператором, являются:
4.5.1. Назначение лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите Персональных данных.
4.5.2. Определение актуальных угроз безопасности Персональных данных при их обработке и разработка мер и мероприятий по защите Персональных данных.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к Персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в информационных системах.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.
4.5.9. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер.
4.5.10. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.12. Осуществление внутреннего контроля и аудита.
4.5.13. своевременное формирование и направление в Роскомнадзор уведомления о намерении Оператора осуществлять обработку (об обработке Оператором) Персональных данных; своевременное формирование и направление в Роскомнадзор уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку Персональных данных. Формирование и направление в Роскомнадзор информационного письма об изменениях в обработке производится не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
4.5.14. осуществление регулярного мониторинга фактов включения Оператора в Единый реестр контрольных (надзорных) мероприятий, Единый реестр проверок на предмет соблюдения обязательных требований в сфере обработки Персональных данных;
4.5.15. организация работы по получению согласия субъектов Персональных данных на обработку их Персональных данных в случаях, предусмотренных законодательством РФ о Персональных данных;
4.5.16. ведение учета мест, предназначенных для хранения материальных носителей Персональных данных, и учета лиц, осуществляющих обработку Персональных данных либо имеющих к ним доступ;
4.5.17. организация режима безопасности помещений, в которых хранятся материальные носители Персональные данные.
4.1. В соответствии с требованиями нормативных документов Оператором создана Система защиты Персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование Системы защиты Персональных данных.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления Системы защиты Персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
4.5. Основными мерами защиты Персональных данных, используемыми Оператором, являются:
4.5.1. Назначение лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите Персональных данных.
4.5.2. Определение актуальных угроз безопасности Персональных данных при их обработке и разработка мер и мероприятий по защите Персональных данных.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к Персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в информационных системах.
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.
4.5.9. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер.
4.5.10. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.12. Осуществление внутреннего контроля и аудита.
4.5.13. своевременное формирование и направление в Роскомнадзор уведомления о намерении Оператора осуществлять обработку (об обработке Оператором) Персональных данных; своевременное формирование и направление в Роскомнадзор уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку Персональных данных. Формирование и направление в Роскомнадзор информационного письма об изменениях в обработке производится не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
4.5.14. осуществление регулярного мониторинга фактов включения Оператора в Единый реестр контрольных (надзорных) мероприятий, Единый реестр проверок на предмет соблюдения обязательных требований в сфере обработки Персональных данных;
4.5.15. организация работы по получению согласия субъектов Персональных данных на обработку их Персональных данных в случаях, предусмотренных законодательством РФ о Персональных данных;
4.5.16. ведение учета мест, предназначенных для хранения материальных носителей Персональных данных, и учета лиц, осуществляющих обработку Персональных данных либо имеющих к ним доступ;
4.5.17. организация режима безопасности помещений, в которых хранятся материальные носители Персональные данные.
5. Основные права субъекта Персональных данных и обязанности Оператора
5.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:
· подтверждение факта обработки Персональных данных Оператором;
· правовые основания и цели обработки Персональных данных;
· цели и применяемые Оператором способы обработки Персональных данных;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональных данных или которым могут быть раскрыты Персональных данных на основании договора с Оператором или на основании федерального закона;
· сроки обработки Персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом Персональных данных прав, предусмотренных настоящим Федеральным законом;
· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· обращение к Оператору и направление ему запросов;
· обжалование действий или бездействия Оператора.
5.2. Оператор обязан:
· при сборе Персональных данных предоставить информацию об обработке Персональных данных;
· в случаях если Персональные данные были получены не от субъекта Персональных данных, уведомить субъекта;
· при отказе в предоставлении Персональных данных субъекту разъясняются последствия такого отказа;
· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;
· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении Персональных данных;
· давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.
5.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:
· подтверждение факта обработки Персональных данных Оператором;
· правовые основания и цели обработки Персональных данных;
· цели и применяемые Оператором способы обработки Персональных данных;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональных данных или которым могут быть раскрыты Персональных данных на основании договора с Оператором или на основании федерального закона;
· сроки обработки Персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом Персональных данных прав, предусмотренных настоящим Федеральным законом;
· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· обращение к Оператору и направление ему запросов;
· обжалование действий или бездействия Оператора.
5.2. Оператор обязан:
· при сборе Персональных данных предоставить информацию об обработке Персональных данных;
· в случаях если Персональные данные были получены не от субъекта Персональных данных, уведомить субъекта;
· при отказе в предоставлении Персональных данных субъекту разъясняются последствия такого отказа;
· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;
· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении Персональных данных;
· давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.