Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет позицию Индивидуального предпринимателя Бородич Евгения Владимировича (далее – Оператор) в отношении обработки и защиты персональных данных.
1.2. Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее – Федеральный закон) и направлена на обеспечение защиты прав и свобод субъектов предоставления персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Политика вступает в силу с момента ее утверждения руководителем ИП.
1.4. Политика подлежит пересмотру в случаях изменения законодательства Российской Федерации в области персональных данных.
1.5. Политика подлежит опубликованию на официальном сайте Библиотеки по адресу https://www.beventfamily.ru/.
1.6. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Оператором.
1.7. В рамках настоящей Политики используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
оператор персональных данных – Оператор, самостоятельно или совместно с другими лицами, организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
персональные данные – любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных).
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
сайт в сети "Интернет" – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее – сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет".
сервисы – веб-сайт Оператор в сети "Интернет", расположенные по адресу https://www.beventfamily.ru/.
субъект персональных данных– физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
угрозы безопасности персональных данных –совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
1.8. Оператор обязан соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.9. Основные права и обязанности субъекта персональных данных.
1.9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных, не предусмотренных федеральным законом;
иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
1.9.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.9.3. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы.
1.9.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.10. Основные права и обязанности Оператора.
1.10.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, перечисленную в п. 1.9.1.
1.10.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
1.10.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных федеральным законодательством.
1.10.4. Оператор персональных данных вправе:
отстаивать свои интересы в суде;
предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
2. Цели сбора персональных данных
2.1. Обработка персональных данных может осуществляться в следующих целях.
2.1.1. В отношении лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с Оператором, а также их законных представителей:
заключение, исполнение и прекращение трудовых и гражданско-правовых договоров;
организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.
2.1.2. В отношении потребителей услуг и их законных представителей:
удовлетворение универсальных информационных потребностей Оператора, предоставления сервисных услуг;
в иных целях, предусмотренных законодательством Российской Федерации.
2.2. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
2.3. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
3. Правовые основания обработки персональных данных
Правовыми основаниями обработки персональных данных являются:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27 июля 2007 г. №152-ФЗ "О персональных данных";
Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации".
Постановление Правительства Российской Федерации от 01 ноября 2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации № 21 от 18.02.2013 г. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
иные нормативные акты, регулирующие отношения в области обработки персональных данных;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласие субъекта персональных данных на обработку персональных данных;
иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Категориями субъектов персональных данных, в отношении которых Оператор осуществляет обработку персональных данных, являются:
лица, состоящие в трудовых, договорных и иных гражданско-правовых отношениях с Оператором, а также их законные представители;
кандидаты для приема на работу, их законные представители, а также родственники работников Оператора;
потребители услуг Оператора, а также их законные представители.
4.2. Оператор может осуществлять обработку следующих персональных данных (в зависимости от категорий субъектов персональных данных).
4.2.1. В отношении лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с Оператором, а также их законных представителей:
общие сведения (фамилия, имя, отчество; дата и место рождения; пол; гражданство);
реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
адрес регистрации места жительства и (или) фактического проживания;
сведения об образовании, о повышении квалификации, переподготовке работников, их аттестации, учёной степени (учёном звании);
страховой номер индивидуального лицевого счета (СНИЛС), сведения о страховом полисе, сведения о страховых выплатах;
идентификационный номер налогоплательщика (ИНН);
сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах работы;
сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
сведения о семейном положении, о составе семьи, необходимые для предоставления законодательно установленных льгот;
фотографическое изображение;
подпись;
контактные данные (номер домашнего, мобильного телефона и (или) служебного телефона);
биографические данные работника;
содержание трудового договора, трудовых соглашений и приложений к нему;
сведения о заработной плате, о выплате налогов, пенсионном обеспечении;
о социальных льготах;
сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции и возможности предоставления дополнительных гарантий отдельным категориям работников (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе);
банковские реквизиты (название банка или филиала, корреспондентский счёт, расчётный счёт, БИК, ИНН, личный счёт банковской карты или сберкнижки).
4.2.2. В отношении потребителей услуг Оператора, а также их законных представителей:
общие сведения (фамилия, имя, отчество; дата и место рождения; пол; гражданство);
адрес регистрации места жительства и (или) фактического проживания;
реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
контактные данные (номер телефона, адрес электронной почты);
копия документа, являющегося основанием для предоставления льгот;
фотографическое изображение;
подпись;
иные дополнительные сведения, указываемые субъектом персональных данных по собственному усмотрению.
4.2.3. Для пользователей электронных услуг и сервисов Оператор а также дополнительно могут обрабатываться следующие персональные данные, в том числе – в целях повышения качества и персонализации обслуживания:
логин и пароль для доступа к сервисам Оператора;
статистическая информация, собираемая специализированными программными средствами, в том числе – счётчиками;
банковские реквизиты (название банка или филиала, корреспондентский счёт, расчётный счёт, БИК, ИНН, личный счёт банковской карты или сберкнижки);
иные сведения, сообщаемые субъектом персональных данных по собственному усмотрению.
При этом статистическая информация обрабатываются с обязательным обезличиванием персональных данных.
4.3. Перечень и срок хранения обрабатываемых персональных данных утверждается локальным актом Оператора.
5. Порядок и условия обработки персональных данных
5.1. Оператор осуществляет обработку персональных данных – операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом, а именно:
5.2.1. обработка персональных данных осуществляется на законной и справедливой основе;
5.2.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
5.2.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.2.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
5.2.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5.2.6. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
5.2.7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5.2.8. обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.3. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.
5.4. Трансграничная передача персональных данных Оператором не осуществляется.
5.5. Обработка общих категорий персональных данных осуществляется Оператором с соблюдением следующих условий:
5.5.1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
5.5.2. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
5.5.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5.5.4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. №210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
5.6. Обработка специальных категорий персональных данных (информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных) Оператором не допускается за исключением случаев, предусмотренных Федеральным законом.
5.7. Обработка биометрических категорий персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется Оператором с согласия субъекта персональных данных на обработку его персональных данных в письменной форме.
5.8. Без согласия субъекта персональных данных обработка его биометрических персональных данных может осуществляться лишь в случаях, предусмотренных Законом о персональных данных (в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате).
5.9. Порядок обработки персональных данных отдельных категорий субъектов персональных данных регулируется локальными актами Оператора.
5.10. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, либо путем принятия соответствующего акта.
5.11. Лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Оператора определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
5.12. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
5.13. Оператор может передавать персональные данные субъекта персональных данных третьим лицам, если это необходимо в целях предупреждения угрозы его жизни и здоровья, а также в случаях, установленных Федеральным законом.
5.14. Работники Оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
5.15. Согласие субъекта персональных данных на обработку его персональных данных.
5.15.1. При необходимости обеспечения условий обработки персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.
5.15.2. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерации случаях согласие оформляется в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.15.3. Согласие субъекта персональных данных на обработку его персональных данных в письменной форме должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование и адрес Оператора;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных.
5.15.4. Порядок получения согласия субъекта персональных данных на обработку его персональных данных в форме электронного документа в целях предоставления услуг устанавливается Правительством Российской Федерации.
5.15.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
5.15.6. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Оператора.
5.15.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только в случаях, предусмотренных Законом о персональных данных.
5.16. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами. К таким мерам, в частности, относятся:
5.16.1. Назначение ответственного за организацию обработки персональных данных, установление перечня лиц, уполномоченных на обработку персональных данных;
5.16.2. издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5.16.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
5.16.4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;
5.16.5. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
5.16.6. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.17. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.18. Обеспечение безопасности персональных данных достигается, в частности:
5.18.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5.18.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
5.18.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
5.18.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5.18.5. Учетом машинных носителей персональных данных;
5.18.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
5.18.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.18.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.18.9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Оператор сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти дней с даты получения запроса субъекта персональных данных или его представителя.
6.2. Запрос должен содержать:
Ф.И.О., реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.
6.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения, или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.5. Оператор предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.6. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.7. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:
6.7.1. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
6.7.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором между Оператором и субъектом персональных данных в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
6.8. В случае достижения цели обработки персональных данных Оператор уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.9. В случае выявления неправомерных действий с персональными данными, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, осуществляется уничтожение соответствующих персональных данных. Об устранении допущенных нарушений или уничтожении персональных данных Оператор уведомляет пользователя или его законного представителя в письменной или электронной форме.
7. Обработка персональных данных, осуществляемая без использования средств автоматизации
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм.
7.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
7.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными нормативными актами Оператора.
7.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются следующие условия:
7.5.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
7.5.2. Типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
7.5.3. Типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
7.5.4. Типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
7.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
7.6.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
7.6.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.7. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.10. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.11. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором.
8. Заключительные положения
8.1. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.
8.2. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу www.beventfamily.ru/privacy
__________________________________________
