Политика обработки персональных данных
ПОЛИТИКА
ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
«ПРИМОРСКИЙ ТОРГОВЫЙ ПОРТ»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1 Область применения
Настоящий документ определяет основные направления деятельности ООО «ПТП» в области сбора, обработки и защиты персональных данных.
Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц.
Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 14.07.2022г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности", Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1 119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
Настоящая политика предназначена для применения ООО «ПТП».
2 Нормативные ссылки
В настоящем документе использованы нормативные ссылки на следующие документы:
Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Федеральный закон от 14.07.2022г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности.
Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
3 Термины и определения
В настоящем документе применены следующие термины с соответствующими определениями:
3.1 Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
3.2 Безопасность персональных данных: состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
3.3 Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.4 Конфиденциальность персональных данных: обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
3.5 Криптосредство: шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
3.6 Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.7 Оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3.8 Организации системы «Транснефть»: Организации, доля участия ПАО «Транснефть» (прямая и/или косвенная) в уставных капиталах которых составляет более 20 %.
3.9 Персональные данные: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.10 Пользователь информационной системы персональных данных: лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
3.11 Технические средства информационной системы персональных данных: технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
4 Обозначения и сокращения
В настоящем документе применены следующие обозначения и сокращения:
ИС — информационная система;
ИСПДн — информационная система персональных данных;
ООО — общество с ограниченной ответственностью;
ПДн — персональные данные;
СЗИ — средства защиты информации;
СКЗИ — средства криптографической защиты информации.
5 Основные положения
Целью настоящей Политики является обеспечение соответствия порядка сбора и обработки ПДн в ООО «ПТП» требованиям действующего законодательства
Российской Федерации о ПДн, обеспечение безопасности ПДн, обрабатываемых ООО «ПТП», от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизации ущерба субъектам ПДн от возможной реализации угроз безопасности ПДн.
Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
При обработке ПДн ООО «ПТП» придерживается следующих принципов:
· соблюдение законности получения, обработки, хранения, а также иных действий, совершаемых с ПДн;
· обработка ПДн исключительно в законных целях, перечисленных в п. 6
· настоящей Политики;
· хранение ПДн, обработка которых осуществляется с несвязанными
· между собой целями, в различных базах данных;
· сбор только тех ПДн, которые минимально необходимы для
· достижения заявленных целей обработки;
· выполнение мер по обеспечению безопасности ПДн, их точности,
· достаточности и других характеристик при обработке и хранении; соблюдение прав субъекта ПДн на доступ к его ПДн;
· соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
В ООО «ПТП» принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится.
6 Обрабатываемые персональные данные
В ООО «ПТП» осуществляется обработка ПДн следующих категорий субъектов ПДн:
· лиц, связанных с работниками, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы № Т-2 в соответствии с трудовым законодательством и т.д.);
· соискателей на замещение вакантных должностей;
· лиц, связанных с соискателями, предоставление информации о которых предусмотрено типовой формой анкеты кандидата;
· контрагентов, с которыми заключены договоры гражданско-правового характера (представителей организаций, физических лиц, индивидуальных предпринимателей);
· бенефициаров контрагентов (конечных собственников, выгодоприобретателей – физических лиц);
· посетителей сайта Общества;
· физических лиц, осуществляющих постоянный или разовый доступ на охраняемую территорию ООО «ПТП».
В ООО «ПТП» не допускается обработка ПДн, касающихся:
· национальной принадлежности;
· расовой принадлежности;
· политических взглядов;
· религиозных и философских убеждений;
· интимной жизни.
Обработка ПДн о судимости в ООО «ПТП» допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка ПДн о состоянии здоровья в ООО «ПТП» допускается только в случаях, установленных законодательством Российской Федерации, или с письменного согласия субъекта ПДн.
Обработка ПДн ООО «ПТП» в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальных потребителем с помощью средств связи может осуществляться только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн ООО «ПТП» обязуется немедленно прекратить обработку ПДн, осуществляемую в данных целях.
7 Цели сбора и обработки персональных данных
Цели сбора и обработки ПДн в ООО «ПТП» определены в соответствии с действующим законодательством и Уставом ООО «ПТП». Обработка ПДн осуществляется для достижения следующих целей:
· исполнение обязанностей перед работниками, как работодателя: содействие в
трудоустройстве, обучении и продвижении по службе, ведение кадрового делопроизводства и бухгалтерского учета, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, обеспечение медицинского и социального страхования, охраны труда, организация командирования работников и т.д. Исполнение обязанностей ООО «ПТП» перед работниками осуществляется в соответствии с трудовым, налоговым и семейным кодексами Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
· при выполнении мероприятий по антикоррупционной политике;
· подбора кандидатов на вакантные должности ООО «ПТП» и ведения кадрового резерва;
· заключения и исполнения договоров гражданско-правого характера с контрагентами (физическими лицами, индивидуальными предпринимателями, юридическими лицами);
· создания общедоступных источников для информационного обеспечения ООО «ПТП» в процессе осуществления его деятельности;
· организации пропускного и внутриобъектового режимов на объектах ООО «ПТП»;
· архивного хранения документов в соответствии с законодательством Российской Федерации.
8 Условия обработки персональных данных и их передачи третьим лицам
8.1 Обработка персональных данных
ООО «ПТП» обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение, (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Регистрация полученных Согласий на обработку ПДн осуществляется в Журнале регистрации обращений субъектов персональных данных по вопросам обработки их персональных данных, в соответствии с Приложением Б к настоящей политике.
ООО «ПТП» обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение, (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Обработка ПДн в ООО «ПТП» осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Обработка ПДн в ООО «ПТП» происходит как неавтоматизированным, так и автоматизированным способом.
К обработке ПДн в ООО «ПТП» допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
· ознакомление сотрудника под роспись с локальными нормативными актами ООО «ПТП» (положения, инструкции и т.д.), строго регламентирующими порядок и процедуры работы с ПДн;
· взятие с сотрудника обязательства о конфиденциальности и неразглашении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;
· получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим ПДн. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн.
Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.
8.2 Хранение персональных данных
ПДн в ООО «ПТП» хранятся в электронном виде и на бумажных носителях. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных ИСПДн. В бумажном виде ПДн хранятся в составе документов и их копий, содержащих информацию о субъектах ПДн.
При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К указанным мерам относятся:
· назначение сотрудников, ответственных за организацию обработки ПДн;
· назначение должностных лиц (работника), ответственных за обеспечение безопасности ПДн в ИСПДн;
· применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;
· организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения носителей ПДн;
· утверждение ООО «ПТП» документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
· учет всех информационных систем, машинных носителей, а также архивных копий ПДн;
· применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ).
Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами, утверждаемыми генеральным директором ООО «ПТП».
8.3 Передача персональных данных
Для целей обработки данных ООО «ПТП» может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у ООО «ПТП» наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае ООО «ПТП» ограничивает передачу ПДн запрошенным объемом.
При передаче ПДн в электронном виде третьим лицам по открытым каналам связи ООО «ПТП» обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методических документов в области защиты ПДн.
Трансграничная передача ПДн ООО «ПТП» не производится.
8.4 Поручение обработки персональных данных
ООО «ПТП» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «ПТП»), если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом в поручении ООО «ПТП» определяет перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки ПДн, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению, в соответствии с договором обязуется соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу ООО «ПТП» несет ответственность перед субъектом ПДн за действия указанного лица.
8.5 Уничтожение персональных данных
Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
ООО «ПТП» обязуется прекратить обработку ПДн в сроки, установленные законодательством Российской Федерации, и уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:
· по достижении целей обработки ПДн или при утрате необходимости в их достижении;
· по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
· при отзыве субъектом ПДн согласия на обработку своих ПД, если такое согласие требуется в соответствии с законодательством Российской Федерации;
· при невозможности устранения ООО «ПТП», допущенных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» нарушений при обработке ПДн.
Уничтожение ПДн производится ООО «ПТП» в соответствии с порядком, установленным внутренними документами.
Подтвердить уничтожение персональных данных нужно:
- актом, если данные обрабатываются без использования средств автоматизации;
- актом и выгрузкой из журнала регистрации событий в информсистеме персональных данных, если используются средства автоматизации.
Документы, подтверждающий уничтожение персональных данных нужно хранить 3 года с момента уничтожения персональных данных.
9 Защита персональных данных
Обеспечение безопасности ПДн в ООО «ПТП» достигается следующими мерами:
· реализацией в ООО «ПТП» системы защиты ПДн;
· назначением сотрудников, ответственных за организацию обработки ПДн;
· назначением должностных лиц (работников), ответственных за обеспечение безопасности ПДн в ИСПДн, а также ответственных пользователей криптосредств;
· проведением аудита ИСПДн ООО «ПТП», содержащих ПДн, и определением требуемых уровней защищенности ПДн, обрабатываемых в ИСПДн•,
· определением угроз безопасности ПДн при их обработке в ИСПДн и принятие мер для нейтрализации актуальных угроз безопасности ПДн; утверждением генеральным директором ООО «ПТП» перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
· организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
· обеспечением сохранности носителей ПДн, а также учетом машинных носителей ПДн;
· определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
· обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
· восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· разработкой и утверждением локальных нормативных актов ООО «ПТП», регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;
· контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;
· проведением периодического обучения и повышением осведомленности сотрудников в области защиты ПДн, ознакомлением сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику ООО «ПТП» в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
· реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;
· проведением периодических проверок состояния защищенности ПДн в ООО «ПТП».
10 Согласие субъекта персональных данных на обработку его персональных данных
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн ООО «ПТП» вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем по форме в соответствии с Приложением А к настоящей политике, если иное не установлено федеральным законом.
В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
ПДн могут быть получены ООО «ПТП» от лица, не являющегося субъектом ПДн, при условии предоставления ООО «ПТП» подтверждения наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
11 Права субъекта персональных данных
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами.
В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
· подтверждение факта обработки ПДн;
· правовые основания и цели обработки ПДн;
· цели и применяемые способы обработки ПДн;
· сведения о лицах (за исключением сотрудников ООО «ПТП»), которые
имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;
· обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
· сроки обработки ПДн, в том числе сроки их хранения;
· порядок осуществления субъектом ПДн своих прав;
· иные сведения, предусмотренные Федеральным законом от 27.07.2006 г № 152-ФЗ «О персональных данных» или другими нормативно-правовыми актами Российской Федерации.
Получить данную информацию субъект ПДн может, обратившись с письменным запросом в ООО «ПТП». Содержание запроса должно соответствовать требованиям п. 3 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.
Порядок обработки запросов субъектов ПДн по выполнению их законных прав в ООО «ПТП» производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен сотруднику, ответственному за организацию обработки ПДн.
12 Обязанности ООО «ПТП»
ООО ПТП» обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». ООО «ПТП» обязано предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
При сборе ПДн ООО «ПТП» обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п. 10 настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с федеральным законом, ООО «ПТП» обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.
Если ПДн получены не от субъекта ПДн, ООО «ПТП» до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». В случаях если ООО «ПТП» не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
ООО «ПТП» при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведено в п. 8 настоящей Политики.
ООО «ПТП» обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, ООО «ПТП» обязуется устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «ПТП») в течение 7 рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
В случае достижения целей обработки ПДн ООО «ПТП» обязуется прекратить обработку ПДн и уничтожить ПДн или обеспечить ее прекращение и уничтожение ПДн (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «ПТП») в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением между ООО «ПТП» и субъектом ПДн либо если ООО «ПТП» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
В случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «ПТП» обязуется прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «ПТП» обеспечить ее прекращение и уничтожение ПДн) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ООО «ПТП» и субъектом ПДн либо если ООО «ПТП» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
В случае выявления неправомерной обработки ПДн, осуществляемой
ООО «ПТП» или лицом, действующим по поручению ООО «ПТП», ООО «ПТП» в срок, не превышающий 3 рабочих дней с даты этого выявления, обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ООО «ПТП». В случае если обеспечить правомерность обработки ПДн невозможно, ООО «ПТП» в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязуется уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ООО «ПТП» обязуется уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 11 настоящей Политики, ООО «ПТП» обязуется осуществить блокирование таких ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «ПТП») и обеспечить уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
ООО «ПТП» обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07. 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений ООО «ПТП» обязуется предоставлять актуализированные сведения в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.
13 Ответственность
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в ООО «ПТП», привлекаются к дисциплинарной, материальной, гражданско- правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством.
14 Изменение политики
В целях обеспечения пригодности, адекватности и эффективности, настоящая Политика подлежит пересмотру в случае существенных изменений деятельности ООО «ПТП», изменений в законодательстве в области защиты ПДн и иных подобных случаях.