ПРАВИЛА
обработки персональных данных
в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН».
обработки персональных данных
в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН».
Утверждены
приказом директором
Общества с ограниченной ответственностью
«ФТ Солюшен»
№ 2/ПД от «15» июля 2022 г.
приказом директором
Общества с ограниченной ответственностью
«ФТ Солюшен»
№ 2/ПД от «15» июля 2022 г.
I. Общие положения.
1. Правила обработки персональных данных в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН» (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки и порядок их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН» (далее – Оператор).
2. Обработка персональных данных Оператором выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются Оператором.
3. На основании Правил определяется политика Оператора в отношении обработки персональных данных.
4. Субъектами персональных данных являются лица, участвующие в уставной деятельности Оператора, выступающие в качестве участников Оператора, лица, вступающие в гражданско-правовые отношения по видам деятельности Оператора, включая физических лиц и физических лиц-представителей юридических лиц (далее - клиенты и (или) контрагенты Оператора), потенциальные контрагенты, работники оператора и члены их семей.
Контрагентом считается субъект персональных данных, заключивший с оператором гражданско-правовой договор независимо от предмета договора и являющийся стороной, выгодоприобретателем такого договора по такому договору.
5. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и Правилами.
II. Цели обработки персональных данных, перечень
персональных данных, а также условия и порядок их обработки Оператором.
6. Персональные данные субъектов персональных данных обрабатываются в целях –
- осуществления уставной деятельности Оператора;
- распространения и (или) предоставления информации (в том числе посредством рассылок на указанные субъектом персональных данных адрес электронной почты и (или) номер телефона) о реализуемых оператором продуктах (товарах, работах, услугах) в сфере продажи товаров косметических средств и иных товаров, иных сферах деятельности оператора (далее - сфера деятельности оператора), а также персонализированных предложениях субъектам персональных данных, продажа товаров Оператором;
- проведения переговоров на заключение договоров с контрагентами на оказание услуг, приобретение товаров, выполнение работ в сфере деятельности оператора, а также в связи с исполнением договорных обязательств в отношении субъекта персональных данных либо лиц, являющихся выгодоприобретателями, включая доставку товаров;
- проведения статистических и иных исследований, контроль качества услуг оператора, проведение маркетинговых акций, обеспечения безопасности сотрудников и клиентов Оператора, их имущества;
- поиска и подбора потенциальных работников, заключение трудовых договоров, исполнение обязанностей, вытекающих из требований трудового законодательства, обеспечения кадровой работы.
1. Правила обработки персональных данных в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН» (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки и порядок их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Обществе с ограниченной ответственностью «ФТ СОЛЮШЕН» (далее – Оператор).
2. Обработка персональных данных Оператором выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются Оператором.
3. На основании Правил определяется политика Оператора в отношении обработки персональных данных.
4. Субъектами персональных данных являются лица, участвующие в уставной деятельности Оператора, выступающие в качестве участников Оператора, лица, вступающие в гражданско-правовые отношения по видам деятельности Оператора, включая физических лиц и физических лиц-представителей юридических лиц (далее - клиенты и (или) контрагенты Оператора), потенциальные контрагенты, работники оператора и члены их семей.
Контрагентом считается субъект персональных данных, заключивший с оператором гражданско-правовой договор независимо от предмета договора и являющийся стороной, выгодоприобретателем такого договора по такому договору.
5. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и Правилами.
II. Цели обработки персональных данных, перечень
персональных данных, а также условия и порядок их обработки Оператором.
6. Персональные данные субъектов персональных данных обрабатываются в целях –
- осуществления уставной деятельности Оператора;
- распространения и (или) предоставления информации (в том числе посредством рассылок на указанные субъектом персональных данных адрес электронной почты и (или) номер телефона) о реализуемых оператором продуктах (товарах, работах, услугах) в сфере продажи товаров косметических средств и иных товаров, иных сферах деятельности оператора (далее - сфера деятельности оператора), а также персонализированных предложениях субъектам персональных данных, продажа товаров Оператором;
- проведения переговоров на заключение договоров с контрагентами на оказание услуг, приобретение товаров, выполнение работ в сфере деятельности оператора, а также в связи с исполнением договорных обязательств в отношении субъекта персональных данных либо лиц, являющихся выгодоприобретателями, включая доставку товаров;
- проведения статистических и иных исследований, контроль качества услуг оператора, проведение маркетинговых акций, обеспечения безопасности сотрудников и клиентов Оператора, их имущества;
- поиска и подбора потенциальных работников, заключение трудовых договоров, исполнение обязанностей, вытекающих из требований трудового законодательства, обеспечения кадровой работы.
Оператором с согласия субъекта персональных данных могут быть получены иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6 Правил.
8. Обработка персональных данных субъектов персональных данных осуществляется при условии получения их согласия в письменной форме, в форме проставления отметки о согласии с Политикой Оператора в отношении обработки персональных данных и с обработкой персональных данных оператором при передаче оператору персональных данных посредством сайта оператора, если иное не установлено Федеральным законом «О персональных данных».
9. Обработка персональных данных субъектов персональных данных осуществляется работниками Оператора, включенными в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. Обработка персональных данных может осуществляться иными лицами, действующими на основании поручения Оператора или в силу договорных отношений с Оператором.
10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесение персональных данных в информационные системы, используемые Оператором.
11. Запрещается получать, обрабатывать и хранить персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
12. При сборе персональных данных работник Оператора, осуществляющий сбор (получение) персональных данных непосредственно субъектов персональных данных, обязан разъяснить указанным субъектам юридические последствия отказа предоставить их персональные данные.
13. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации для достижения цели обработки персональных данных.
III. Порядок обработки персональных данных
в автоматизированных информационных системах.
14. Обработка персональных данных Оператором может осуществляться с использованием автоматизированных информационных систем в том числе посредством сайта оператора.
15. Автоматизированные информационные системы содержат персональные данные субъектов персональных данных лиц, предоставивших свои персональные данные в том числе посредством сайтов Оператора в сети Интернет.
16. Работникам Оператора, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной информационной системе.
Информация может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
17. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется ответственным за организацию обработки персональных данных, назначенным Оператором.
IV. Сроки обработки и хранения персональных данных.
18. Сроки обработки и хранения персональных данных Оператором определяются в соответствии с законодательством Российской Федерации.
19. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
20. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах форм (бланков).
21. Хранение персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами, обеспечивается раздельно на разных материальных носителях.
22. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
23. Персональные данные хранятся в подразделениях Оператора, к функциональным обязанностям которых относится обработка соответствующих персональных данных.
24. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляет лицо, ответственное за организацию обработки персональных данных.
V. Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований.
25. Оператором осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
26. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VI. Рассмотрение запросов субъектов персональных данных
или их представителей.
27. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о гражданах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации;
6) сроки обработки персональных данных, в том числе сроки их хранения Оператором;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
11) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
28. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
29. Информация, предусмотренная п. 27 настоящих Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Срок на предоставление сведений десять рабочих дней, с возможностью продления на пять рабочих дней с уведомлением о причинах продления заявителя запроса.
30. Информация, предусмотренная п. 27 настоящих Правил, предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя;
3) подпись субъекта персональных данных, его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Полномочия представителя на получение сведений должны быть основаны на нотариально удостоверенной доверенности физического лица, предоставляемой в оригинале или в виде нотариально заверенной копии документа (удостоверенной электронной подпись нотариуса в порядке, установленном законодательством о нотариате).
31. В случае если информация, предусмотренная п. 27 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
32. Субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения информации, предусмотренной п. 27 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 31 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 30 настоящих Правил, должен содержать обоснование направления повторного запроса.
33. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не
соответствующего условиям, предусмотренным пунктами 30 и 31 настоящих Правил. Такой отказ должен быть мотивированным.
34. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных».
VII. Порядок доступа в хранилище и помещение, в котором ведется
обработка персональных данных
35. Обработка персональных данных, лиц, не уполномоченных на обработку персональных данных, возможно только в присутствии лица, уполномоченного на обработку персональных данных Оператором, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных.
36. Ответственность за соблюдение порядка доступа в хранилище и помещения, в которых ведется обработка персональных данных, возлагается на ответственного за организацию обработки персональных данных Оператора.
VIII. Ответственный за организацию обработки
персональных данных
37. Ответственный за организацию обработки и обеспечение безопасности обработки персональных данных в информационных системах персональных данных Оператора (далее - ответственный за обработку персональных данных) назначается директором.
38. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации и настоящими Правилами.
39. Ответственный за обработку персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения сотрудников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов Оператором;
5) в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
40. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных
и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых Оператором, работников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
41. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных
в соответствии с законодательством Российской Федерации.
8. Обработка персональных данных субъектов персональных данных осуществляется при условии получения их согласия в письменной форме, в форме проставления отметки о согласии с Политикой Оператора в отношении обработки персональных данных и с обработкой персональных данных оператором при передаче оператору персональных данных посредством сайта оператора, если иное не установлено Федеральным законом «О персональных данных».
9. Обработка персональных данных субъектов персональных данных осуществляется работниками Оператора, включенными в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. Обработка персональных данных может осуществляться иными лицами, действующими на основании поручения Оператора или в силу договорных отношений с Оператором.
10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесение персональных данных в информационные системы, используемые Оператором.
11. Запрещается получать, обрабатывать и хранить персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
12. При сборе персональных данных работник Оператора, осуществляющий сбор (получение) персональных данных непосредственно субъектов персональных данных, обязан разъяснить указанным субъектам юридические последствия отказа предоставить их персональные данные.
13. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации для достижения цели обработки персональных данных.
III. Порядок обработки персональных данных
в автоматизированных информационных системах.
14. Обработка персональных данных Оператором может осуществляться с использованием автоматизированных информационных систем в том числе посредством сайта оператора.
15. Автоматизированные информационные системы содержат персональные данные субъектов персональных данных лиц, предоставивших свои персональные данные в том числе посредством сайтов Оператора в сети Интернет.
16. Работникам Оператора, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной информационной системе.
Информация может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
17. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется ответственным за организацию обработки персональных данных, назначенным Оператором.
IV. Сроки обработки и хранения персональных данных.
18. Сроки обработки и хранения персональных данных Оператором определяются в соответствии с законодательством Российской Федерации.
19. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
20. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах форм (бланков).
21. Хранение персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами, обеспечивается раздельно на разных материальных носителях.
22. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
23. Персональные данные хранятся в подразделениях Оператора, к функциональным обязанностям которых относится обработка соответствующих персональных данных.
24. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляет лицо, ответственное за организацию обработки персональных данных.
V. Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований.
25. Оператором осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
26. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VI. Рассмотрение запросов субъектов персональных данных
или их представителей.
27. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о гражданах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации;
6) сроки обработки персональных данных, в том числе сроки их хранения Оператором;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
11) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
28. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
29. Информация, предусмотренная п. 27 настоящих Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Срок на предоставление сведений десять рабочих дней, с возможностью продления на пять рабочих дней с уведомлением о причинах продления заявителя запроса.
30. Информация, предусмотренная п. 27 настоящих Правил, предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя;
3) подпись субъекта персональных данных, его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Полномочия представителя на получение сведений должны быть основаны на нотариально удостоверенной доверенности физического лица, предоставляемой в оригинале или в виде нотариально заверенной копии документа (удостоверенной электронной подпись нотариуса в порядке, установленном законодательством о нотариате).
31. В случае если информация, предусмотренная п. 27 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
32. Субъект персональных данных вправе повторно обратиться к Оператору лично или направить повторный запрос в целях получения информации, предусмотренной п. 27 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 31 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 30 настоящих Правил, должен содержать обоснование направления повторного запроса.
33. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не
соответствующего условиям, предусмотренным пунктами 30 и 31 настоящих Правил. Такой отказ должен быть мотивированным.
34. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных».
VII. Порядок доступа в хранилище и помещение, в котором ведется
обработка персональных данных
35. Обработка персональных данных, лиц, не уполномоченных на обработку персональных данных, возможно только в присутствии лица, уполномоченного на обработку персональных данных Оператором, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных.
36. Ответственность за соблюдение порядка доступа в хранилище и помещения, в которых ведется обработка персональных данных, возлагается на ответственного за организацию обработки персональных данных Оператора.
VIII. Ответственный за организацию обработки
персональных данных
37. Ответственный за организацию обработки и обеспечение безопасности обработки персональных данных в информационных системах персональных данных Оператора (далее - ответственный за обработку персональных данных) назначается директором.
38. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации и настоящими Правилами.
39. Ответственный за обработку персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения сотрудников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов Оператором;
5) в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
40. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных
и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых Оператором, работников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
41. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных
в соответствии с законодательством Российской Федерации.