Валдай

ул.Ломоносова д.80

8 (906) 204-69-62

Политика обработки персональных данных

Область применения

Настоящая Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц.

Нормативные ссылки

 

При разработке настоящего документа учитывались требования следующих действующих нормативных правовых актов:

  • Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

Термины и определения

 

№ п/п

Термин

Определение

1

2

3

1.

Автоматизированная обработка персональных данных

Обработка персональных данных с помощью средств вычислительной техники

 

2.

Безопасность персональных данных

Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных

3.

Информационная система персональных данных

Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4.

Конфиденциальность персональных данных

Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

5.

Криптосредство

Шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

 

6.

Обезличивание персональных данных

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

7.

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

8.

Объем одновременно обрабатываемых персональных данных

Количество субъектов ПДн, персональные данные которых по состоянию на определенный момент времени обрабатываются в информационной системе

9.

Оператор (персональных данных)

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

10.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

11.

Пользователь информационной системы персональных данных

Лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования

12.

Технические средства информационной системы персональных данных

Технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации)

 

Обозначения и сокращения

 

№ п/п

Сокращение

Расшифровка

1

2

3

1.

ИС

Информационная система

2.

ИСПДн

Информационная система персональных данных

3.

ООО

Общество с ограниченной ответственностью

4.

ПДн

Персональные данные

5.

СЗИ

Средство защиты информации

6.

СКЗИ

Средство криптографической защиты информации

 

Общие положения

    1. Целью настоящей Политики является обеспечение соответствия порядка обработки ПДн требованиям действующего законодательства Российской Федерации о ПДн, обеспечение безопасности ПДн, обрабатываемых ИП, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизации ущерба субъектам ПДн от возможной реализации угроз безопасности ПДн.
    2. Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
    3. При обработке ПДн ИП придерживается следующих принципов:
  • соблюдение законности получения, обработки, хранения, а также иных действий, совершаемых с ПДн;
  • обработка ПДн исключительно в законных целях, перечисленных в п. 7 настоящей Политики;
  • хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;
  • сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;
  • выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;
  • соблюдение прав субъекта ПДн на доступ к его ПДн;
  • соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
    1. В ИП принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится.

 

 

Обрабатываемые персональне данне

    1. В ИП осуществляется обработка ПДн следующих категорий субъектов ПДн:
  • работников ИП (в том числе бывших работников);
  • лиц, связанных с работниками, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы № Т-2 в соответствии с трудовым законодательством и т.д.);
  • соискателей на замещение вакантных должностей;
  • лиц, связанных с соискателями, предоставление информации о которых предусмотрено типовой формой анкеты кандидата;
  • контрагентов, с которыми заключены договоры гражданско-правового характера (представителей организаций, физических лиц, индивидуальных предпринимателей);
  • бенефициаров контрагентов (конечных собственников, выгодоприобретателей - физических лиц);
  • физических лиц – клиентов ИП.
    1. Под обработкой ПДн понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
    2. Не допускается обработка ПДн, касающихся:
  • национальной принадлежности;
  • расовой принадлежности;
  • политических взглядов;
  • религиозных и философских убеждений;
  • интимной жизни.
    1. Обработка ПДн о судимости допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами.
    2. Обработка ПДн о состоянии здоровья допускается только в случаях, установленных законодательством Российской Федерации, или с письменного согласия субъекта ПДн.
    3. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи может осуществляться только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн ИП обязуется немедленно прекратить обработку ПДн, осуществляемую в данных целях.

 

Цели сбора и обработки персональных данных

Цели обработки ПДн определены в соответствии с действующим законодательством. Обработка ПДн осуществляется для достижения следующих целей:

  • исполнение обязанностей перед работниками, как работодателя: содействие в трудоустройстве, обучении и продвижении по службе, ведение кадрового делопроизводства, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, обеспечение медицинского и социального страхования, охраны труда, организация командирования работников и т.д. Исполнение обязанностей перед работниками осуществляется в соответствии с трудовым, налоговым и семейным кодексами Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования» и другими нормативными правовыми актами, регулирующими отношения между ИП и работниками;
  • подбора кандидатов на вакантные должности и ведения кадрового резерва;
  • заключения и исполнения договоров гражданско-правого характера с контрагентами (физическими лицами, индивидуальными предпринимателями, юридическими лицами);
  • создания общедоступных источников для информационного обеспечения в процессе осуществления его деятельности;
  • организации пропускного и внутриобъектового режимов на объектах;
  • архивного хранения документов в соответствии с законодательством Российской Федерации.

Условия обработки персональных данных и их передачи третьим лицам

    1. Обработка персональных данных
      1. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
      2. Обработка ПДн происходит как неавтоматизированным, так и автоматизированным способом.
      3. К обработке ПДн допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
  • ознакомление сотрудника под роспись с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующими порядок и процедуры работы с ПДн;
  • взятие с сотрудника обязательства о конфиденциальности и неразглашении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;
  • получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим ПДн. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн.
      1. Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.
    1. Хранение персональных данных
      1. ПДн хранятся в электронном виде и на бумажных носителях. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных ИСПДн. В бумажном виде ПДн хранятся в составе документов и их копий, содержащих информацию о субъектах ПДн.
      2. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К указанным мерам относятся:
  • назначение сотрудников, ответственных за организацию обработки ПДн;
  • назначение должностных лиц (работника), ответственных за обеспечение безопасности ПДн в ИСПДн;
  • применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;
  • организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения носителей ПДн;
  • утверждение ИП документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
  • учет всех информационных систем, машинных носителей, а также архивных копий ПДн;
  • применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ).
      1. Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами, утверждаемыми единоличным исполнительным органом.
    1. Передача персональных данных
      1. Для целей обработки данных ИП может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
      2. Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у ИП наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае ИП ограничивает передачу ПДн запрошенным объемом.
      3. При передаче ПДн в электронном виде третьим лицам по открытым каналам связи ИП обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методических документов в области защиты ПДн.
      4. Трансграничная передача ПДн не производится.
    2. Поручение обработки персональных данных
      1. ИП вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ИП), если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом в поручении ИП определяет перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки ПДн, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
      2. Лицо, осуществляющее обработку ПДн по поручению, в соответствии с договором обязуется соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу ИП несет ответственность перед субъектом ПДн за действия указанного лица.
    3. Уничтожение персональных данных
      1. Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
      2. ИП обязуется прекратить обработку ПДн в сроки, установленные законодательством Российской Федерации, и уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:
  • по достижении целей обработки ПДн или при утрате необходимости в их достижении;
  • по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • при отзыве субъектом ПДн согласия на обработку своих ПД, если такое согласие требуется в соответствии с законодательством Российской Федерации;
  • при невозможности устранения допущенных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» нарушений при обработке ПДн.
      1. Уничтожение ПДн производится в соответствии с порядком, установленным внутренними документами.

 

Защита персональных данных

Обеспечение безопасности ПДн достигается следующими мерами:

  • реализацией системы защиты ПДн;
  • назначением сотрудников, ответственных за организацию обработки ПДн;
  • назначением должностных лиц (работников), ответственных за обеспечение безопасности ПДн в ИСПДн, а также ответственных пользователей криптосредств;
  • проведением аудита ИСПДн, содержащих ПДн, и определением требуемых уровней защищенности ПДн, обрабатываемых в ИСПДн;
  • определением угроз безопасности ПДн при их обработке в ИСПДн и принятие мер для нейтрализации актуальных угроз безопасности ПДн;
  • утверждением единоличным исполнительным органом перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
  • организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечением сохранности носителей ПДн, а также учетом машинных носителей ПДн;
  • определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • разработкой и утверждением локальных нормативных, регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;
  • проведением периодического обучения и повышением осведомленности сотрудников в области защиты ПДн, ознакомлением сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
  • реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;
  • проведением периодических проверок состояния защищенности ПДн.

 

Согласие субъекта на обработку его персональных данных

    1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
    2. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн ИП вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
    3. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
    4. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
    5. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
    6. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
    7. ПДн могут быть получены ИП от лица, не являющегося субъектом ПДн, при условии предоставления ИП подтверждения наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».

 

Права субъекта персональных данных

    1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами.
    2. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
  • подтверждение факта обработки ПДн;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые способы обработки ПДн;
  • сведения о лицах (за исключением сотрудников ИП), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн своих прав;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими нормативно-правовыми актами Российской Федерации.
    1. Получить данную информацию субъект ПДн может, обратившись с письменным запросом в ИП. Содержание запроса должно соответствовать требованиям п. 3 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.
    2. Порядок обработки запросов субъектов ПДн по выполнению их законных прав производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен сотруднику, ответственному за организацию обработки ПДн.

Обязанности ИП

    1. ИП обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». ИП обязан предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».
    2. При сборе ПДн ИП обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п. 11 настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с федеральным законом, ИП обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.
    3. Если ПДн получены не от субъекта ПДн, ИП до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». В случаях если ИП не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
    4. ИП при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
    5. ИП обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
    6. В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, ИП обязуется устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению ИП) в течение 7 рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
    7. В случае достижения целей обработки ПДн ИП обязуется прекратить обработку ПДн и уничтожить ПДн или обеспечить ее прекращение и уничтожение ПДн (если обработка ПДн осуществляется другим лицом, действующим по поручению ИП) в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением между ИП и субъектом ПДн либо если ИП не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
    8. В случае отзыва субъектом ПДн согласия на обработку его ПДн ИП обязуется прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ИП обеспечить ее прекращение и уничтожение ПДн) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ИП и субъектом ПДн либо если ИП не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
    9. В случае выявления неправомерной обработки ПДн, осуществляемой ИП или лицом, действующим по поручению ИП, ИП в срок, не превышающий 3 рабочих дней с даты этого выявления, обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ИП. В случае если обеспечить правомерность обработки ПДн невозможно, ИП в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязуется уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ИП обязуется уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
    10. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 12 настоящей Политики, ИП обязуется осуществить блокирование таких ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ИП) и обеспечить уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
    11. ИП обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07. 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений ИП обязуется предоставлять актуализированные сведения в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

Ответственность

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в ИП, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством.

Изменение политики

    1. 1.В целях обеспечения пригодности, адекватности и эффективности, настоящая Политика подлежит пересмотру не реже одного раза в год с момента ее опубликования.
    2. 2.Политика подлежит внеплановому пересмотру в случае существенных изменений деятельности ИП, изменений в законодательстве в области защиты ПДн и иных подобных случаях.