Политика в отношении обработки персональных данных
Политика
ООО «Ивановоэнергосбыт» в отношении
обработки персональных данных
1. Общие положения
1.1. Настоящая Политика ООО «Ивановоэнергосбыт» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», устанавливает цели, порядок и условия обработки персональных данных, а также меры по обеспечению их безопасности, предпринимаемые ООО "Ивановоэнергосбыт" (далее - Оператор).
1.2. Настоящая Политика разработана для реализации Оператором требований действующего законодательства Российской Федерации в области обработки персональных данных, обеспечения защиты прав и свобод субъектов персональных данных.
1.3. Положения настоящей Политики являются основой для разработки и актуализации распорядительных и организационно-правовых документов (далее - нормативные правовые документы) Оператора, регламентирующих процессы обработки персональных данных различных категорий, а также порядок реализации мер для их защиты.
1.4. Положения настоящей Политики обязательны для исполнения работниками Оператора, имеющими доступ к персональным данным.
- Основные понятия
2.1. В настоящей Политике используются следующие понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- субъекты персональных данных - работники Оператора, лица, имеющие когда-либо с Оператором трудовые отношения, их близкие родственники, кандидаты для приема на работу (соискатели), физические лица, заключившие с Оператором договоры, пользователи online-сервисов Оператора, лица, однократно проходящие на территорию, на которой находится Оператор;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- защита персональных данных - комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации субъекту персональных данных;
- безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
- конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
- биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.
- Права и обязанности Оператора
3.1. Оператор имеет право:
- на получение от субъекта персональных данных актуальных и достаточных персональных данных для достижения поставленных целей обработки персональных данных;
- определять способы, порядок и условия обработки персональных данных;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
3.2. Оператор обязан:
- до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных действующим законодательством РФ;
- предоставлять информацию, касающуюся обработки персональных данных, при обращении к нему субъекта этих персональных данных либо его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, за исключением случаев, предусмотренных действующим законодательством РФ;
- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- в случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомить уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте, причинах, нанесенном вреде, а также о результатах внутреннего расследования выявленного инцидента и принятых мерах по устранению последствий;
- принимать меры по обеспечению безопасности персональных данных при их обработке;
- в случае выявления неправомерной обработки персональных данных осуществить их блокирование до момента устранения нарушений требований действующего законодательства РФ;
- в случае отзыва субъектом персональных данных согласия на обработку, распространение его персональных данных, а также обращения к Оператору с требованием о прекращении обработки его персональных данных завершить их обработку, распространение и в случае, если сохранение персональных данных более не требуется, уничтожить их;
- в случае изменения сведений или прекращения обработки персональных данных уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в установленные действующим законодательством РФ сроки.
4. Права и обязанности субъекта персональных данных
4.1. Субъект персональных данных имеет право:
- принимать решение о предоставлении своих персональных данных Оператору и давать согласие на их обработку и распространение свободно, своей волей и в своих интересах;
- получать полную информацию, касающуюся обработки своих персональных данных Оператором, за исключением случаев, предусмотренных действующим законодательством РФ;
- требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать у Оператора извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- отозвать согласие на обработку, распространение своих персональных данных, обратиться к Оператору с требованием прекратить их обработку;
- обжаловать действия или бездействие Оператора при обработке его персональных данных в соответствии с действующим законодательством РФ;
- на определение своих представителей для защиты своих персональных данных;
- реализовывать иные права, предусмотренные действующим законодательством РФ.
4.2. Субъект персональных данных обязан:
- предоставлять Оператору или его представителю точные, достаточные, актуальные персональные данные;
- своевременно сообщать Оператору об изменениях своих персональных данных.
- Цели обработки персональных данных
5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несоответствующая установленным целям.
5.2. Обработка персональных данных Оператором осуществляется в целях:
- осуществления функций, полномочий и обязанностей, возложенных действующим законодательством РФ на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, Пенсионный фонд РФ, Фонд социального страхования РФ и в иные государственные органы;
- оформления трудовых отношений, ведения кадрового и бухгалтерского делопроизводства;
- исполнения условий договоров, где одной из сторон является субъект персональных данных;
- повышения качества обслуживания субъектов персональных данных, обеспечения свободного доступа субъектов к их персональным данным;
- проведения статистических и иных исследовательских действий;
- проведения конкурсов;
- содействия работникам Оператора в обучении и продвижении по службе;
- исполнения требований действующего законодательства РФ по архивному хранению (хранение персональных данных субъектов, имеющих когда-либо с Оператором трудовые отношения);
- исполнения судебных актов, актов других государственных органов, подлежащих исполнению в соответствии с действующим законодательством РФ об исполнительном производстве;
- обеспечения безопасности Оператора в ходе однократного пропуска субъектов персональных данных на территорию, на которой находится Оператор.
- Правовые основания обработки персональных данных
6.1. Правовым основанием обработки персональных данных являются:
- Конституция РФ;
- Трудовой кодекс РФ № 197-ФЗ от 30.12.2001 г.;
- Жилищный кодекс РФ № 188-ФЗ от 29.12.2004 г.;
- Налоговый кодекс РФ;
- Федеральный закон № 35-ФЗ от 26.03.2003 г. «Об электроэнергетике»;
- Федеральный закон № 167-ФЗ от 15.12.2001 г. «Об обязательном пенсионном страховании в Российской Федерации»;
- «Правила предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», утвержденные Постановлением Правительства РФ от 06.05.2011 г. № 354;
- Федеральный закон № 402-ФЗ от 06.12.2011 г. «О бухгалтерском учете»;
- Федеральный закон № 53‑ФЗ от 28.03.1998 г. «О воинской обязанности и военной службе»;
- Приказ Минздрава России № 29н от 28.01.2021 г. «Об утверждении Порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
- Устав Оператора;
- договоры, заключенные между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку, распространение их персональных данных;
- заполненные субъектами персональных данных специальные формы, расположенные на online-сервисах Оператора. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, субъект персональных данных выражает свое согласие с Политикой Оператора. Оператор обрабатывает обезличенные данные в случае, если это разрешено в настройках (включено сохранение файлов «cookie» и использование технологии JavaScript).
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1. Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в разделе 5 настоящей Политики, и указываются субъектом персональных данных в согласии на обработку, распространение его персональных данных, за исключением случаев, когда обработка, распространение персональных данных может осуществляться без получения такого согласия.
7.2. Обработка персональных данных, избыточных по отношению к заявленной цели их обработки, не допускается.
7.3. Оператор производит обработку следующих категорий персональных данных:
- персональные данные, позволяющие идентифицировать субъект персональных данных (фамилия, имя, отчество, пол, дата рождения, место рождения, гражданство, паспортные данные, адрес регистрации, адрес проживания, адрес объекта энергоснабжения, семейное положение, наличие детей, сведения о близких родственниках, образование, профессия (специальность), степень знания иностранного языка, занимаемая должность, дата приема на работу, место работы, табельный номер, сведения о трудовой деятельности, трудовая книжка, сведения о воинском учете, сведения о доходах, номер контактного телефона, адрес электронной почты, страховое свидетельство государственного пенсионного страхования, индивидуальный номер налогоплательщика, номер медицинского страхового полиса обязательного и (или) добровольного медицинского страхования, сведения о состоянии здоровья, относящиеся к вопросу выполнения работником трудовой функции, причина нетрудоспособности, сведения о компенсационных выплатах социального характера, сведения о наличии права собственности (найма) на объект энергоснабжения);
- биометрические персональные данные (фотографическое изображение лица).
7.4. Биометрические персональные данные субъектов обрабатываются Оператором в следующих случаях:
- организация кадрового делопроизводства Оператором;
- обеспечение пропускного режима на территорию Оператора;
- стимулирование работников Оператора с высокими показателями труда (размещение фотографического изображения лица работника на доске почета);
- в случаях, предусмотренных действующим законодательством РФ.
7.5. Предоставление биометрических персональных данных субъектом не обязательно, за исключением случаев, предусмотренных действующим законодательством РФ. Оператор не вправе отказать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с действующим законодательством РФ получение Оператором согласия на обработку персональных данных не является обязательным.
7.6. Специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не обрабатываются.
7.7. Оператором производится обработка персональных данных следующих категорий субъектов персональных данных:
- работники Оператора, а также лица, имеющие когда-либо с Оператором трудовые отношения (фамилия, имя, отчество, пол, дата рождения, место рождения, гражданство, паспортные данные, адрес регистрации, адрес проживания, фотографическое изображение лица, семейное положение, наличие детей, сведения о близких родственниках, образование, профессия (специальность), степень знания иностранного языка, занимаемая должность, дата приема на работу, место работы, табельный номер, сведения о трудовой деятельности, трудовая книжка, сведения о воинском учете, сведения о доходах, номер контактного телефона, адрес электронной почты, страховое свидетельство государственного пенсионного страхования, индивидуальный номер налогоплательщика, сведения о состоянии здоровья, относящиеся к вопросу выполнения работником трудовой функции, причина нетрудоспособности, сведения о компенсационных выплатах социального характера, иные персональные данные, предоставляемые работниками в соответствии с требованиями действующего трудового законодательства РФ);
- близкие родственники работников Оператора (фамилия, имя, отчество, дата рождения, степень родства, иные персональные данные, предоставляемые работниками в соответствии с требованиями действующего трудового законодательства РФ);
- физические лица, заключившие с Оператором договоры (фамилия, имя, отчество, дата рождения, место рождения, паспортные данные, индивидуальный номер налогоплательщика, адрес регистрации, адрес проживания, номер контактного телефона, адрес электронной почты, адрес объекта энергоснабжения, сведения о наличии права собственности (найма) на объект энергоснабжения, иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров);
- представители (работники) клиентов и контрагентов (юридических лиц) Оператора (фамилия, имя, отчество, паспортные данные, занимаемая должность, номер контактного телефона, адрес электронной почты, иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов (юридических лиц), необходимые для заключения и исполнения договоров);
- пользователи online-сервисов Оператора (фамилия, имя, отчество, адрес объекта энергоснабжения, номер контактного телефона, адрес электронной почты);
- кандидаты для приема на работу к Оператору (фамилия, имя, отчество, пол, дата рождения, номер медицинского страхового полиса обязательного и (или) добровольного медицинского страхования);
- лица, однократно проходящие на территорию, на которой находится Оператор (фамилия, имя, отчество, паспортные данные).
- Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных действующим законодательством РФ в области обработки персональных данных
8.1. В целях исполнения возложенных действующим законодательством РФ на Оператора обязанностей в области обработки персональных данных принимаются следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных у Оператора;
- разработаны локальные нормативные документы, регулирующие вопросы обработки и защиты персональных данных Оператором;
- обеспечен неограниченный доступ к настоящей Политике Оператора в отношении обработки персональных данных;
- работники Оператора ознакомлены с положениями действующего законодательства РФ, локальными нормативными документами, определяющими политику и требования в области обработки персональных данных;
- приняты правовые, организационные и технические меры для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- установлен контроль за соблюдением работниками Оператора требований действующего законодательства РФ, локальных нормативных документов Оператора в области обработки персональных данных, в том числе требований по защите персональных данных.
8.2. Оператор реализовывает следующие требования к защите обрабатываемых персональных данных:
- определяет угрозы безопасности персональных данных при их обработке;
- создает необходимые условия для безопасной обработки персональных данных;
- утверждает список работников, имеющих доступ к персональным данным;
- устанавливает правила доступа работников к персональным данным;
- организует учет носителей информации, содержащей персональные данные;
- организует хранение персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный или случайный доступ к ним;
- контролирует соблюдение работниками Оператора требований действующего законодательства РФ, локальных нормативных документов Оператора по обеспечению безопасности обрабатываемых персональных данных.
- Порядок и условия обработки персональных данных
9.1. Обработка персональных данных Оператором осуществляется только с согласия субъекта персональных данных на обработку его персональных данных, за исключением следующих случаев:
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
- в связи с участием субъекта персональных данных в исполнительном производстве;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- в иных случаях, установленных действующим законодательством РФ.
9.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В предусмотренных действующим законодательством РФ случаях обработка персональных данных осуществляется только с согласия субъекта персональных данных в письменной форме.
9.3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
9.4. Заполняя и направляя в адрес Оператора специальные формы, расположенные на online-сервисах Оператора, субъект персональных данных выражает свое согласие на обработку его персональных данных Оператором.
9.5. Получив доступ к персональным данным, Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных на обработку его персональных данных, разрешенных субъектом для распространения, за исключением случаев, предусмотренных действующим законодательством РФ.
9.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
9.7. В случаях, предусмотренных действующим законодательством РФ, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не требуется при получении Оператором запроса о предоставлении персональных данных от:
- судебных органов;
- органов федеральной службы безопасности;
- органов прокуратуры;
- органов полиции;
- иных уполномоченных органов и организаций по основаниям, предусмотренным действующим законодательством РФ.
9.8. Обработка персональных данных Оператором включает в себя следующий перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
9.9. Оператор осуществляет обработку персональных данных следующими способами:
- с помощью средств вычислительной техники без участия человека (автоматизированная обработка);
- при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка);
- с помощью средств вычислительной техники при непосредственном участии человека (смешанная обработка).
9.10. При обработке персональных данных Оператором используются следующие информационные системы (базы данных):
- официальный сайт ООО «Ивановоэнергосбыт: esk-ivanovo.ru;
- АСР «Зевс»;
- 1С: Зарплата и управление персоналом,
расположенные на территории Российской Федерации по адресу: Ивановская область, г. Иваново, ул. Жиделева, д. 31.
9.11. Хранение персональных данных осуществляется на бумажных и электронных носителях в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством РФ, нормативными документами Оператора, договором, одной из сторон которого является субъект персональных данных.
9.12. Бумажные и электронные съемные носители хранятся в запирающихся шкафах, сейфах, а также в помещениях, доступ в которые ограничен и регламентирован внутренними нормативными документами Оператора.
9.13. Доступ к персональным данным в рамках своих компетенций имеют только те работники Оператора, которым эти данные необходимы для выполнения своих должностных обязанностей. Перечень работников, имеющих доступ к персональным данным субъектов, утверждается Оператором, путем подписания приказа.
9.14. Работники Оператора, получившие доступ к персональным данным субъектов, подписывают соглашение о неразглашении персональных данных, а также предупреждаются о возможной административной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки персональных данных.
9.15. Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъекта персональных данных на обработку его персональных данных, разрешенных субъектом для распространения, за исключением случаев, предусмотренных действующим законодательством РФ, на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке. В договоре также указывается перечень персональных данных, перечень действий (операций) с ними, цели их обработки третьей стороной, устанавливается обязанность третьей стороны соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных», обязанность в течение срока действия договора, в том числе до обработки персональных данных, по запросу Оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных действующим законодательством РФ в области обработки персональных данных, в том числе требований об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ от 27.07.2006 г.
9.16. Передача персональных данных Оператором может осуществляться:
- через уполномоченных сотрудников;
- по внутренней сети Оператора;
- по сети Интернет;
- по электронной почте;
- посредством почтового отправления на бумажном носителе;
- посредством факсимильной связи.
9.17. Трансграничная передача персональных данных Оператором не осуществляется.
9.18. Субъект персональных данных может получить любые разъяснения по интересующим его вопросам, касающимся обработки его персональных данных, обратившись к Оператору путем направления обращения на бумажном носителе либо с помощью электронной почты. Оператор предоставляет субъекту сведения, касающиеся обработки его персональных данных, в той форме, в которой было получено соответствующее обращение либо запрос, если иное не указано в обращении или запросе.
9.19. Запрос субъекта персональных данных или его представителя на предоставление сведений, касающихся обработки его персональных данных, должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора и т.д.), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя (при направлении запроса в форме электронного документа используется электронная подпись).
9.20. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, установленных действующим законодательством РФ.
9.21. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.22. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
- В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):
- в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), по вопросам, связанным с выявленным инцидентом;
- в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.24. Субъект персональных данных может в любой момент отозвать свое согласие на обработку его персональных данных, направив Оператору уведомление на бумажном носителе заказным письмом. При получении отзыва от субъекта персональных данных Оператор прекращает обработку персональных данных, относящихся к этому субъекту персональных данных, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено действующим законодательством РФ, договором, стороной которого является субъект персональных данных.
В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки его персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется третьей стороной), за исключением случаев, предусмотренных действующим законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.26. В случае отсутствия возможности уничтожения персональных данных в указанные в пунктах 9.22, 9.24 и 9.25 сроки Оператор осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев.
9.27. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а также Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в случае получения от данной службы официального запроса.
9.28. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства РФ в области обработки персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.
9.29. Обработка персональных данных завершается в случае:
- ликвидации, реорганизации Оператора;
- изменения законодательства РФ или деятельности Оператора;
- достижения цели обработки;
- истечения срока действия согласия на обработку, распространение персональных данных;
- получения от субъекта персональных данных отзыва согласия на обработку, распространение персональных данных, требования о прекращении обработки персональных данных субъекта в соответствии с требованиями действующего законодательства РФ;
- выявления неправомерной обработки персональных данных.
10. Заключительные положения
10.1. Ответственность за нарушение требований действующего законодательства РФ и нормативных документов Оператора в области обработки персональных данных определяется в соответствии с действующим законодательством РФ.
10.2. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора: www.esk-ivanovo.ru/normativnye-dokumenty.