Политика защиты и обработки персональных данных

1.Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных ИП Трофимовой Н. Н.  (далее – Политика) разработана в соответствии с целями реализации ИП Трофимовой Н. Н. (далее – Оператор) положений Законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных , которые Оператор (адрес местожительства: 654054, Россия, Кемеровская область-Кузбасс, г. Новокузнецк, пр-кт  Мира, д. 14, кв. 100 ИНН 421800537777 ОГРНИП 324420500064042) может получить от субъекта персональных данных, являющегося пользователем сайта (далее — Пользователь), находящегося по адресу в сети Интернет https://www.trotro.ru (далее — Сайт).

1.2. Политика является основой для организации обработки и защиты персональных данных у Оператора, в том числе для разработки локальных нормативных актов (ВНД/ОРД), регламентирующих порядок обработки и защиты персональных данных у Оператора, и определяет:

• принципы обработки персональных данных, которыми руководствуется Оператор при осуществлении деятельности;
• правовые основания обработки персональных данных;
• цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
• основных участников системы управления процессом обработки и защиты персональных данных;
• основы организации процесса управления обработкой персональных данных;
• основы порядка рассмотрения обращений Субъектов персональных данных по вопросам обработки персональных данных;
• меры обеспечения конфиденциальности и безопасности персональных данных;
• права и обязанности Оператора и Субъектов персональных данных.

1.3. Требования настоящей Политики являются обязательными для исполнения всеми Работникам Оператора.

1.4. Ознакомление Работников Оператора с условиями, в том числе с изменениями условий настоящей Политики, осуществляется под подпись с учетом требований, предусмотренных ВНД/ОРД Оператора.

1.5. Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Оператора, размещенном по интернет-адресу: https://www.trotro.ru

1.6. Настоящая Политика защиты и обработки персональных данных у Оператора разработано в целях:

• организации обработки персональных данных (далее – ПД) работников Оператора и иных субъектов ПД, осуществляемой в рамках полномочий Оператора как оператора ПД, а также в случаях, когда Обработка ПД поручена Оператору другим оператором ПД, в соответствии с требованиями законодательства Российской Федерации, стандартов и нормативных документов регуляторов в области обеспечения безопасности ПД;
• обеспечения защиты прав и свобод человека и гражданина при обработке его ПД Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.7. Источниками информации для разработки Политики являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Семейный кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Закона от 07.02.1992 № 2300-1 «О защите прав потребителей»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативные акты Российской Федерации и документы регуляторов, регламентирующие вопросы обработки и обеспечения безопасности ПД в организациях.

1.8. Политика определяет условия, требования, правила и процедуры организации правомерной и безопасной обработки ПД, при которой Оператор является оператором или лицом, которому поручена Обработка иным оператором.

2. Основные термины и сокращения

В настоящей Политике используются следующие термины, определения и сокращения:

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Аналитический сервис - инструмент веб-аналитики, позволяющий отслеживать и исследовать поведение пользователей на сайтах Оператора в информационно - телекоммуникационной сети Интернет.

2.3. Оператор – Индивидуальный предприниматель Трофимова Надежда Николаевна.

2.4. Информационная безопасность персональных данных (далее – ИБ ПД) – состояние защищенности персональных данных, обеспечивающее конфиденциальность, целостность, сохранность и доступность персональных данных при их обработке в информационных системах персональных данных.

2.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если Обработка необходима для уточнения персональных данных).

2.6. Единая система идентификации и аутентификации (далее – ЕСИА) – государственная информационная система, порядок использования которой устанавливается Правительством Российской Федерации, и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах.

2.7. Законный представитель – лицо, являющееся представителем в силу закона или акта уполномоченного органа.

2.8. Запрос – любое обращение субъекта ПД (или его Представителя) к Оператору в устной (при личном посещении офиса Оператора или по телефону), письменной форме или в форме электронного документа, касающееся обработки его ПД.

2.9. Заявители – субъекты ПД, обращающиеся к Оператору с Запросами, жалобами (при необходимости обработки их персональных данных для целей выполнения их запросов).

2.10. ИБ – информационная безопасность.

2.11. Информационная система персональных данных (далее – ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.12. Клиент – физическое лицо, использующее или намеревающееся воспользоваться продуктами и (или) услугами Оператора.

2.13. Код подтверждения - последовательность символов, используемых однократно, направленная Оператором в SMS/Push-сообщении/электронной почтой Посетителю сайта Оператора для подтверждения его действий (волеизъявлений) на сайте.

2.14. Контактные лица – физические лица, не являющиеся стороной договора (соглашения) и (или) заявителем по заявке на продукт (услугу) Оператора, персональные данные которых предоставляются в рамках договоров (соглашений) и (или) при формировании указанных заявок, либо обрабатываются в рамках требований законодательства Российской Федерации.

2.15. Контрагенты – юридическое лицо или индивидуальный предприниматель, с которыми у Оператора существуют договорные отношения, или с которыми он намерен вступить в договорные отношения, или которые намерены вступить в договорные отношения с Оператором.

2.16. Конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

2.17. Материальный носитель персональных данных (Материальный носитель) – изделие (материал), на котором записаны персональные данные и которое обеспечивает возможность сохранения этих данных и снятие их копий.

2.18. Машинные носители информации (МНИ) – устройства хранения информации средств вычислительной техники.

2.19. Модель угроз – описание источников угроз; методов реализации угроз; объектов, пригодных для реализации угроз; уязвимостей, используемых источниками угроз; типов возможных потерь; масштабов потенциального ущерба от реализации угроз.

2.20. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.21. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.22. Оператор – Индивидуальный предприниматель Трофимова Надежда Николаевна, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является – Индивидуальный предприниматель Трофимова Надежда Николаевна (адрес местожительства: 654054, Россия, Кемеровская область-Кузбасс, г. Новокузнецк, пр-кт  Мира, д. 14, кв. 100 ИНН 421800537777 ОГРНИП 324420500064042).

2.23. ОРД – организационно-распорядительный документ Оператора.

2.24. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.25. Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.

2.26. Персональный идентификационный номер (ПИН-код) – последовательность символов в виде цифрового кода, предоставленного Оператором Клиенту, используемая, в том числе как средство подтверждения совершения действий (волеизъявления).

2.27. Получатели рекламы – физические лица, не являющиеся Клиентами, но выразившие согласие на получение рекламы от Оператора путем прямых контактов с использованием средств связи.

2.28. Пользователи сайтов – авторизованные пользователи сайтов Оператора в сети Интернет, заполнившие регистрационные формы и предоставившие свои персональные данные.

2.29. Посетители сайтов – анонимные посетители сайтов Оператора, в отношении которых может формироваться профиль посетителя.

2.30. Потребители услуг – физические лица, которых Оператор информирует и консультирует по вопросам заключения договоров в пользу третьих лиц.

2.31. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.32. Представители – физические лица, действующие на основании доверенности, договора, в силу закона или акта уполномоченного органа.

2.33. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.34. Съёмный носитель информации (СНИ) – носитель информации, предназначенный для ее автономного хранения и независимого от места записи использования. К съемным носителям информации относятся: флеш-память, съемные жесткие диски, оптические диски (CD\DVD\BD), дискеты и т.п.

2.35. Тоггл – элемент (кнопка) графического пользовательского интерфейса, позволяющий пользователю интерфейса управлять параметром с двумя состояниями: «включено», «выключено» – согласие предоставлено и согласие не предоставлено.

2.36. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.37. Чек-бокс - элемент (кнопка с отметкой) графического пользовательского интерфейса, позволяющий пользователю интерфейса управлять параметром с двумя состояниями: «включено», «отключено» – согласие предоставлено и согласие не предоставлено. Чек-бокс также может использоваться на бумажном носителе.

3. Политика Оператора в отношении обработки персональных данных

3.1. Согласие на обработку персональных данных определяет политику Оператора как оператора, осуществляющего Обработку ПД, в отношении Обработки и защиты ПД.

3.2. Оператор размещает Согласие на обработку персональных данных на страницах сайтов в информационно-телекоммуникационной сети Интернет, принадлежащих Оператору, с использованием которых Оператор осуществляет сбор ПД.

3.3. Основными принципами Обработки ПД у Оператора являются:

• законность: любая деятельность в отношении ПД осуществляется в соответствии с требованиями законодательства Российской Федерации и требованиями уполномоченных органов (ФСТЭК России, ФСБ России, Роскомнадзор, иные государственные органы);
• целесообразность и целенаправленность: ПД у Оператора обрабатываются в том и только в том объеме, который необходим для достижения заранее определенных целей Обработки ПД. У Оператора обеспечивается соответствие порядка и способов Обработки ПД целям Обработки ПД. По достижении указанных целей Обработка соответствующих ПД прекращается;
• безопасность: все действия в отношении ПД у Оператора осуществляются таким образом, чтобы минимизировать возможность нанесения ущерба субъекту ПД. Для этого у Оператора реализуется комплекс мер, направленных на обеспечение безопасности конфиденциальной информации (включая ПД и иные виды защищаемой законом информации), а также специальных мер и средств обеспечения информационно безопасности ПД.

3.4. Общий порядок Обработки ПД

3.4.1 Обработка ПД у Оператора осуществляется на законной и справедливой основе.

3.4.2 ПД получаются и обрабатываются Оператором на основании федеральных законов и на иных правовых основаниях, а в необходимых случаях - при наличии согласия субъекта ПД (его Представителя после проверки его полномочий).

3.4.3 Оператор осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПД с целью обеспечения их достоверности и актуальности, в том числе по отношению к целям Обработки ПД. Соответствующие процедуры и инструкции устанавливаются нормативными документами Оператора, регламентирующими Обработку ПД у Оператора.

3.4.4 Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей Обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.4.5 Приказом Оператора назначается лицо, ответственное за организацию Обработки ПД у Оператора, и лицо, ответственное за обеспечение безопасности ПД в информационной системе Оператора.

3.5. Обработка персональных данных на сайтах Оператора в информационно-телекоммуникационной сети Интернет.

3.5.1. Оператор может осуществлять сбор и иные действия по Обработке ПД с использованием сайтов Оператора в информационно - телекоммуникационной сети Интернет.

3.5.2. Обработка ПД на сайтах Оператора в информационно - телекоммуникационной сети Интернет может осуществляться с использованием встроенных или сторонних Аналитических сервисов.

3.6. Права субъектов персональных данных

3.6.1 В целях обеспечения защиты ПД, обрабатываемых Оператором, субъект ПД или его Представитель имеет право:

• на получение сведений об Обработке его ПД, если иное не предусмотрено федеральными законами;
• требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• запрашивать (в том числе повторно, но не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального Запроса, кроме случая, когда запрашиваемые сведения не были предоставлены) свои ПД, обрабатываемые Оператором, и получать их в доступной форме;
• отозвать свое согласие на Обработку ПД.

3.6.2 Сведения, указанные в пункте 3.6.1 Положения, предоставляются субъекту ПД или его Представителю Оператора в течение 15 (Пятнадцати) рабочих дней с момента обращения либо получения Оператором Запроса субъекта ПД или его Представителя.

4. Защита обработки персональных данных

4.1. У Оператора определены угрозы информационной безопасности и реализован комплекс организационных и технических мер защиты конфиденциальной информации, к которой относятся ПД, а также специальных мер и средств обеспечения информационной безопасности ПД, направленных на предотвращение несанкционированного или случайного доступа к ПД, их уничтожения, искажения, блокирования, распространения и иных неправомерных действий.

4.2. К мерам защиты ПД у Оператора относятся в том числе:

• учет ПД и их носителей;
• учет и классификация ИСПД;
• назначение лица, ответственного за организацию Обработки ПД;
• назначение лица, ответственного за обеспечение безопасности ПД в информационной системе Оператора;
• формализация и контроль выполнения порядка Обработки ПД в ИСПД;
• установление правил доступа к ПД, обрабатываемым в ИСПД, обеспечение регистрации и учёта действий, совершаемых с ПД в ИСПД;
• формализация и контроль выполнения требований по уничтожению (обезличиванию) ПД и носителей ПД;
• применение организационных и технических мер по обеспечению безопасности ПД при Обработке их в ИСПД, необходимых для выполнения требований к защите ПД в соответствии с установленным уровнем защищённости;
• ознакомление работников Оператора, осуществляющих Обработку ПД с требованиями законодательства Российской Федерации и требованиями НА;
• контроль соблюдения работниками Оператора, осуществляющими Обработку ПД, правил, требований и процедур Обработки ПД;
• раздельное хранение ПД, Обработка которых осуществляется с различными целями;
• обеспечение процедур резервного копирования и восстановления ПД;
• контроль за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности ИСПД.

4.3. Обработка персональных данных в информационных системах персональных данных

4.3.1 К ИСПД у Оператора относятся автоматизированные информационные системы, целью создания которых является Обработка ПД.

4.3.2 Обеспечение безопасности ПД при их Обработке в ИСПД осуществляется на всех стадиях работы ИСПД и состоит из согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПД в ИСПД.

4.4.3 В целях защиты ПД от несанкционированного доступа и иных неправомерных действий при Обработке в ИСПД, у Оператора реализуются мероприятия по организации и техническому обеспечению безопасности ПД для ИСПД.

5. Правила и требования по корректной обработке персональных данных

5.1. Обработка ПД включает в себя следующие основные процессы:

• сбор ПД;
• использование ПД (запись, систематизация, накопление, извлечение);
• хранение ПД;
• передача ПД;
• уточнение ПД;
• блокирование ПД;
• обезличивание ПД;
• уничтожение ПД.

5.2. Сбор персональных данных

5.2.1 ПД могут быть получены:

• от субъекта ПД или Представителя субъекта ПД;
• на основании законодательства Российской Федерации;
• из публичных источников, в которых ПД подлежат опубликованию или обязательному раскрытию в соответствии с требованиями законодательства Российской Федерации (например, ЕГРЮЛ, ЕГРИП, ЕГРН, ФССП России, судебные акты, опубликование сведений об аффилированных лицах, Единый федеральный реестр сведений о банкротстве и другие);
• из иных источников (СМИ, торговые площадки, социальные сети и другие).

5.2.2 Оператор получает ПД при соблюдении следующих условий:

• если субъект ПД дал согласие на Обработку ПД, в конкретных, заранее определенных целях;
• если согласие на Обработку ПД субъекта ПД дал его Представитель;
• если Обработка ПД необходима для заключения/исполнения договора, стороной, выгодоприобретателем или поручителем, по которому является субъект ПД;
• если Обработка ПД необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• если Обработка ПД осуществляется в целях, соответствующих условиям придания ПД статуса общедоступности, или Обработка ПД, разрешенных субъектом ПД для распространения, осуществляется с соблюдением запретов и условий;
• если ПД опубликованы или раскрыты в соответствии с законодательством Российской Федерации.

5.2.3 При сборе ПД, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператором обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5.2.4 Согласие на Обработку ПД должно отвечать следующим требованиям:

• должно быть конкретным, предметным, информированным, сознательным и однозначным;
• может быть дано субъектом ПД или его Представителем в любой позволяющей подтвердить факт его получения форме, если законодательством Российской Федерации не установлена обязанность получать согласие в письменной форме;
• должно быть дано субъектом ПД свободно, своей волей и в своем интересе.

5.2.5 Если в соответствии с федеральным законом предоставление ПД и (или) получение Оператором согласия на Обработку ПД является обязательным, Оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить его ПД и (или) дать согласие на их Обработку.

5.2.6 Обработка ПД субъектов ПД в целях продвижения услуг на рынке путем прямых контактов с субъектом ПД с помощью средств связи может осуществляться только при условии предварительного согласия субъекта ПД. При этом обеспечивается наличие доказательства получения такого согласия.

5.2.7 Индивидуальный предприниматель Трофимова Н. Н., являясь Оператором, получает согласие субъекта ПД в письменной форме в следующих случаях:

• включение ПД субъекта ПД в общедоступные источники ПД;
• обработка биометрических ПД;
• обработка специальных категорий ПД, при отсутствии иных правовых оснований, предусмотренных Федеральным законом № 152-ФЗ;
• принятие решения на основании исключительно Автоматизированной обработки ПД, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающего его права и законные интересы;
• передачи ПД работника Оператора третьему лицу, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством Российской Федерации.

5.2.8 Согласие в письменной форме может быть получено в форме электронного документа, подписанного в соответствии с законодательством Российской Федерации электронной подписью субъекта ПД.

5.2.9 Формы письменного согласия на Обработку ПД устанавливаются НА или приказами Оператора, регламентирующими процессы, включающие Обработку ПД. Формы согласий на Обработку ПД, а также порядок реализации сбора согласий в бизнес-процессах Оператора согласовываются с лицом, ответственным за организацию Обработки ПД у Оператора.

5.2.10 В случаях, не требующих в соответствии с законодательством Российской Федерации оформлять согласие в письменной форме, Оператором может быть получено согласие в любой форме с использованием сервисов Оператора, позволяющей подтвердить факт его получения, например:

• нажатие субъектом ПД на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить», «Отправить» и т.п. в интерфейсе интернет-сайта Оператора после процедуры ознакомления с текстом согласия на Обработку ПД;
• проставление субъектом ПД отметки в Чек-боксе либо переключение Тоггла рядом с текстом согласия на Обработку ПД в графическом интерфейсе интернет-сайта Оператора;
• посредством предоставления ответа с адреса электронной почты, указанной при регистриации;
• путем направления соответствующего сообщения субъектом ПД в мессенджерах WhatsApp,Viber,Telegram и др.;
• иные способы, позволяющие Оператору подтвердить факт получения согласия субъекта ПД.

5.2.11 В случае, когда субъектом ПД является несовершеннолетний в возрасте до 14 лет, а также в случае недееспособности субъекта ПД, согласие на Обработку его ПД дает Законный представитель субъекта ПД.

5.2.12 В случае, когда субъектом ПД является несовершеннолетний в возрасте от 14 до 18 лет или субъект ограничен в дееспособности судом, согласие предоставляется субъектом с согласия Законного представителя.

5.4. Использование персональных данных

5.4.1 Использование ПД осуществляется работниками Оператора, допущенными к Обработке ПД, для выполнения ими трудовых обязанностей в соответствии с их должностными инструкциями и(или) ОРД.

5.4.2 Использование Оператором ПД осуществляется путем Обработки ПД с помощью средств вычислительной техники (Автоматизированная обработка ПД, в том числе в информационно-телекоммуникационных сетях) и без использования таких средств (неавтоматизированная обработка ПД), а также смешанная Обработка ПД (сочетающая автоматизированную и неавтоматизированную обработки).

5.4.3 Использование ПД осуществляется для достижения конкретных, заранее определенных Оператором целей. На основании определенных целей Обработки ПД и образующихся в процессе такой Обработки различных видов документов, устанавливаются сроки Обработки ПД.

5.4.4 Использование Оператором ПД, разрешенных субъектом ПД для распространения, осуществляется при соблюдении условий и запретов, установленных субъектом ПД.

5.5. Хранение персональных данных

5.5.1 Хранение ПД в форме, позволяющей идентифицировать субъекта ПД, осуществляется не дольше, чем этого требуют цели их Обработки, если иное не установлено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.

5.5.2 Оператор не допускает объединение баз данных, содержащих ПД, Обработка которых осуществляется в целях, несовместимых между собой.

5.5.3 Хранение ПД в ИСПД осуществляется при условии разграничения доступа к ПД.

5.5.4 При хранении Материальных носителей информации соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ.

5.6. Передача персональных данных

5.6.1 Оператор осуществляет передачу ПД государственным органам и уполномоченным юридическим и физическим лицам в рамках их полномочий и компетенции в соответствии с Федеральным законом № 152-ФЗ в следующих случаях:

• передача ПД осуществляется в рамках функций, обязанностей и полномочий, возложенных на Оператора законодательством Российской Федерации;
• передача ПД необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе при осуществлении деятельности по возврату просроченной задолженности, при условии, что при этом не нарушаются права и свободы субъекта ПД;
• передача ПД осуществляется в рамках исполнения или в целях заключения по инициативе субъекта ПД договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• передача ПД осуществляется с согласия субъекта ПД на передачу его ПД (в письменной или любой форме, в зависимости от категории передаваемых ПД);
• передача ПД осуществляется с согласия субъекта ПД при поручении Оператором Обработки ПД третьему лицу, если иное не предусмотрено федеральным законом;
• в иных случаях, предусмотренных Федеральным законом № 152-ФЗ, иными федеральными законами.

5.6.2 Договор, предусматривающий передачу ПД (за исключением случаев, когда Оператор поручает Обработку ПД), должен содержать следующие обязательства сторон:

• обрабатывать ПД исключительно в целях и способами, необходимыми для заключения и исполнения договора, предусматривающего передачу ПД;
• соблюдать принципы и правила Обработки ПД, предусмотренные законодательством Российской Федерации;
• обеспечивать конфиденциальность и безопасность ПД;
• принимать (обеспечивать принятие) необходимых мер для защиты ПД;
• обеспечивать законные основания для передачи принимающей стороне ПД и совершения принимающей стороной действий по Обработке ПД, необходимых для исполнения договора, в отношении полученных от передающей стороны ПД.

5.6.3 Оператор, являясь Оператором, вправе поручить Обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

5.7. Уточнение и блокирование персональных данных

5.7.1 В случае поступления Запроса субъекта ПД или его Представителя, либо по Запросу Роскомнадзора о недостоверности ПД или неправомерной Обработке необходимо осуществить блокирование ПД на период проверки и в случае:

• подтверждения факта неточности – в течение 7 (семи) рабочих дней провести уточнение ПД и снять блокирование ПД;
• неправомерной Обработки ПД Оператором – в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекратить неправомерную Обработку ПД; если обеспечить правомерность Обработки ПД невозможно - Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной Обработки ПД, обязана уничтожить такие ПД.

5.7.2 Ответственность за организацию и осуществление блокирования ПД возлагается на руководителя (или заместителя руководителя) структурного подразделения, в котором обрабатываются блокируемые ПД, или, при его отсутствии, на лицо, ответственное за организацию Обработки ПД у Оператора.

5.7.3 В случае уточнения (изменения) ПД необходимо выявить и известить всех лиц, которым ранее были сообщены или переданы неверные или неполные ПД, обо всех исключениях, исправлениях и дополнениях в них, тем способом, который был указан такими лицами как предпочтительный к применению, или определенным в соответствующем договоре/соглашении.

5.7.4 В случаях, когда осуществить блокирование ПД невозможно (по техническим или иным причинам) Оператор обеспечивает прекращение Обработки ПД путем уничтожения ПД.

5.7.5 В случаях, если отсутствует возможность уничтожения ПД, Оператор осуществляет блокирование таких ПД и обеспечивает уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

5.7.6 Об устранении допущенных нарушений или об уничтожении ПД необходимо уведомить субъекта ПД или его Представителя либо Роскомнадзор, в случае его Запроса.

5.8. Обезличивание персональных данных

5.8.1 Оператор может без согласия субъектов ПД обрабатывать ПД, полученные в результате обезличивания:

• в статистических или иных исследовательских целях, за исключением использования обезличенных данных в целях продвижения услуг на рынке.

5.8.2 Допускается Обработка ПД, полученных в результате обезличивания, в иных целях, предусмотренных в согласиях субъектов ПД.

5.8.3 Оператор может осуществлять обезличивание ПД по достижении целей Обработки ПД или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.9. Уничтожение персональных данных

5.9.1 Документы, содержащие ПД, и ПД в базах данных информационных систем подлежат уничтожению в случаях, предусмотренных законодательством Российской Федерации.

5.9.2 Оператор прекращает Обработку ПД или обеспечивает ее прекращение (если Обработка ПД осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПД или обеспечивает их уничтожение (если Обработка ПД осуществляется другим лицом, действующим по поручению Оператора), не относящиеся к категории обязательных к хранению в соответствии с законодательством об архивном деле, в случаях:

• достижения целей обработки ПД;
• утраты необходимости в достижении целей Обработки ПД;
• истечения срока действия либо отзыва субъектом ПД согласия на Обработку своих ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД либо если Оператор не вправе осуществлять Обработку ПД без согласия субъекта ПД на основаниях, предусмотренных федеральным законом;
• истечения сроков Обработки ПД, предусмотренных федеральными законами, иными нормативными правовыми актами Российской Федерации;
• установления факта, что обрабатываемые ПД являются неполными, неточными, устаревшими, и отсутствует возможность их актуализации;
• выявления неправомерной обработки ПД.

6. Процедура и правила взаимодействия с субъектами персональных данных

6.1. Запросы субъектов ПД

6.1.1. В соответствии с законодательством Российской Федерации от субъектов ПД или от их Представителей, могут поступать Запросы, которые делятся на следующие типы:

• заявление на получение информации об Обработке ПД, в том числе:
• подтверждение факта обработки ПД;
• правовые основания и цели Обработки ПД;
• цели и применяемые Оператором способы Обработки ПД;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
• сроки Обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществленной или о предполагаемой трансграничной передаче ПД;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПД по поручению Оператора, если Обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Оператором обязанностей, установленных Федеральным законом № 152-ФЗ.

6.1.2. Запросы могут поступать к Оператору при личном посещении субъекта ПД (его Представителя) Оператора или путем направления к Оператору Запроса в письменной форме.

6.1.3. Контроль за приемом и обработкой Запросов осуществляется в целях соблюдения следующих требований:

• соблюдение прав и законных интересов субъектов ПД;
• обеспечение качества и полноты принятия мер по законному требованию субъекта ПД и предоставление необходимой информации по его обращению;
• соблюдение сроков Обработки обращений, установленных законодательством Российской Федерации и предоставления ответов;
• своевременность выявления проблем в процессах Обработки ПД, послуживших причиной обращения субъекта ПД и реагирование на них.

6.1.4. Осуществление контроля за приемом и обработкой Запросов субъектов ПД (или их Представителей), возлагается на лицо, ответственное за организацию Обработки ПД у Оператора. В случае выявления несоответствий в соблюдении сроков Обработки Запросов или несоответствий в процессах, в которых осуществляется Обработка ПД, лицо, ответственное за организацию Обработки ПД у Оператора, формирует служебную записку посредством корпоративной электронной почты в адрес подразделений, осуществляющих обработку обращений, или владельцев процессов, в рамках которых допущены несоответствия в Обработке ПД.

6.2. Требования к содержанию Запросов субъектов ПД

6.2.1 В соответствии с требованиями Федерального закона № 152-ФЗ при Запросе субъект ПД или его Представитель (должен предоставить доверенность, составленную в соответствии с требованиями законодательства Российской Федерации или иной документ, подтверждающий полномочий Представителя согласно требованиям законодательства Российской Федерации) обязан предоставить следующую информацию:

• фамилия имя отчество (при наличии) субъекта ПД;
• сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт Обработки ПД у Оператора;
• реквизиты документа, удостоверяющего личность субъекта ПД (серия, номер, сведения о дате выдаче и выдавшем органе);
• собственноручная подпись Запроса;
• суть обращения.

6.2.2 В случае необходимости Оператор может запросить дополнительную информацию у субъекта ПД (или его Представителя).

6.2.3 Повторный Запрос на получение информации, касающейся Обработки его ПД, а также в целях ознакомления с обрабатываемыми ПД, субъект ПД вправе направить к Оператору не ранее чем через 30 (тридцать) дней после первоначального Запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.

6.2.4 Оператор вправе отказать субъекту ПД в выполнении повторного Запроса, в случае несоответствия перечисленным выше условиям. Такой отказ должен быть мотивированным. Оператор обязан предоставить субъекту ПД доказательства обоснованности отказа в выполнении повторного Запроса.

6.3. Порядок выполнения Запросов субъектов ПД

6.3.1 Сведения предоставляются субъекту ПД (или его Представителю) в доступной форме и в них не содержатся ПД, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких ПД.

6.3.2 Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе если:

• предоставление субъекту ПД сведений об Обработке его ПД нарушает права и законные интересы третьих лиц.

6.3.3 В случае отзыва субъектом ПД согласия на Обработку его ПД необходимо прекратить их Обработку или обеспечить прекращение такой Обработки (если Обработка ПД осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПД более не требуется для целей Обработки ПД, уничтожить ПД или обеспечить их уничтожение (если Обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД либо если Оператор не вправе осуществлять Обработку ПД без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

6.3.4 В случаях, если отсутствует возможность уничтожения ПД, Оператор осуществляет блокирование таких ПД и обеспечивает уничтожение в срок не более чем 6 месяцев.

6.4. Уведомление субъектов персональных данных

6.4.1 Оператор осуществляет предоставление субъектам ПД следующей информации:

• о юридических последствиях отказа от предоставления ПД и (или) согласия на обработку ПД, если предоставление ПД и (или) согласия на обработку ПД является обязательным в соответствии с федеральным законом;
• порядок принятия решения на основании исключительно Автоматизированной обработки ПД и возможные юридические последствия такого решения;
• порядок защиты субъектом ПД своих прав и законных интересов, в случае принятия решений на основании исключительно Автоматизированной обработки ПД;
• о внесенных изменениях в ПД по заявлению субъекта ПД, если ПД являются неполными, неточными или неактуальными;
• об устранении допущенных нарушений или уничтожении ПД, в случае выявления неправомерной Обработки ПД;

6.4.2 В случае, если ПД получены не от субъекта ПД, Оператор сообщает субъекту ПД до начала Обработки таких ПД следующую информацию:

• наименование и адрес Оператора;
• цель Обработки ПД и правовые основания Обработки ПД;
• перечень ПД;
• предполагаемые пользователи ПД;
• права субъекта ПД, установленные Федеральным законом № 152-ФЗ;
• источник получения ПД.