Политика в области обеспечения безопасности
персональных данных ООО «КСА»
(редакция от 01.03.2021 г.)
1. Общие положения
1.1. Настоящая Политика в области обеспечения безопасности персональных данных ООО «КСА» (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Комплексные системы автоматизации» (далее - Оператор, ООО «КСА»).
1.3. Политика характеризуется следующими признаками:
разработана в целях обеспечения реализации требований законодательства Российской Федерации в области защиты ПДн субъектов ПДн;
раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке;
является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.6. Руководство ООО «КСА» уделяет первостепенное внимание вопросам обеспечения защиты информации и обеспечения безопасности персональных данных пользователей информационных систем, клиентов и работников ООО «КСА».
1.7.Стратегической задачей Оператора является развитие и совершенствование системы защиты персональных данных пользователей информационных систем, клиентов и работников ООО «КСА» в соответствии с требованиями законодательства РФ.
2. Термины и определения
Для целей настоящей Политики используются следующие понятия:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств.
Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (предоставление, доступ);
распространение;
обезличивание;
блокирование;
удаление;
уничтожение.
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Информация об операторе
Наименование: Общество с ограниченной ответственностью «Комплексные системы автоматизации».
ИНН: 5902038509
Юридический адрес: 614015, г. Пермь, ул. Монастырская, д. 14, офис 380
Фактический адрес: 614015, г. Пермь, ул. Монастырская, д. 14, офис 380
Телефон/факс: 8-800-333-98-60.
Реестр операторов персональных данных:
http://rkn.gov.ru/personal-data/register/?id=59-17-003605, Приказ № 31 от 26.02.2017 г.
4. Правовые основания обработки ПДн
Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Гражданским кодексом Российской Федерации;
федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
федеральным законом от 29.12.2012 № 273-ФЗ (ред. от 02.03.2016) «Об образовании в Российской Федерации»;
другими федеральными законами и принятыми на их основе нормативными правовыми документами, регулирующими отношения, связанные с деятельностью Оператора.
Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные акты, являющиеся правовым основанием обработки Оператором ПДн:
положения и инструкции, регламентирующие порядок обработки и защиты персональных данных в ООО "Комплексные системы автоматизации";
перечень обрабатываемых персональных данных;
перечень информационных систем персональных данных;
перечень подразделений и работников, допущенных к работе с персональными данными;
модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
акты классификации (определения уровня защищенности) информационных систем персональных данных.
Правовым основанием обработки ПДн Оператором также являются:
договоры, заключаемые Оператором с суъектом ПДн;
согласие на обработку ПДн, а также согласие на обработку ПДн, разрешенных субъектом ПДн для распространения.
5. Цели обработки ПДн
Оператор обрабатывает ПДн исключительно в следующих целях:
соблюдения законов и иных нормативно-правовых актов;
осуществления своей деятельности в соответствии с уставом ООО «КСА», в том числе с целью заключения и исполнения трудовых и гражданско-правовых договоров;
консультаций, информационной поддержки, оказания комплекса услуг по предоставлению информации и иных услуг пользователям информационных систем ООО «КСА» (обучающимся; их законным представителям; классным руководителям, руководителям групп, работникам образовательных учреждений (далее - учреждений) и организаций, директорам учреждений и других организаций, директорам организаций (индивидуальных предпринимателей), организующих питание в учреждении, организации - комбинаты питания), работникам столовых в учреждении, организации) и иным лицам;
обеспечения процесса безналичных расчетов за школьное питание, дополнительные образовательные услуги;
рекламирования (продвижения) своих товаров и услуг на рынке;
обеспечения соблюдения законов и иных нормативных правовых актов, регулирующих выполнение работниками трудовых функций, организации кадрового учета ООО «КСА»; ведения кадрового делопроизводства; содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также других налогов, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы; выдачи доверенностей от ООО «КСА»;
привлечения и отбора кандидатов на работу у Оператора;
исполнения требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами;
ведения бухгалтерского учета.
Не допускается обработка ПДн, несовместимая с целями сбора персональных данных.
6. Категории обрабатываемых ПДн, источники их получения
В зависимости от Субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов ПДн:
Персональные данные работников Оператора, необходимые в связи с трудовыми отношениями и касающиеся конкретного работника;
Персональные данные кандидатов на работу в ООО «КСА»;
Персональные данные лиц, имевших ранее трудовые отношения с ООО «КСА»;
Персональные данные лиц, имеющих гражданско-правовые отношения с Оператором:
- персональные данные контрагентов Оператора, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Оператором, либо желающие заключить договоры с Оператором;
- персональные данные посетителей Оператора;
- персональные данные лиц, направивших письмо на официальную почту Оператора;
- персональные данные пользователей информационных систем персональных данных ООО "КСА", а именно:
- учащиеся (обучающиеся) учреждений (организаций) всех видов и типов (государственных и частных, дошкольного, общего, среднего, дополнительного образования и пр.) в сфере образования (далее по тексту – учащиеся);
- законные представители учащихся;
- директора учреждений (организаций) всех видов и типов (государственных и частных, дошкольного, общего, среднего, дополнительного образования и пр.) в сфере образования (далее по тексту – учреждения);
- классные руководители, руководители групп учреждений, работники учреждений, ответственные за организацию питания, оказание услуг учащимся и другие работники учреждений,
- директора организаций всех типов и видов, внедрившие системы учета питания, услуг, библиотеки ООО «КСА» (далее по тексту – предприятия), руководители структурных подразделений, групп предприятий, другие работники предприятий;
- директора организаций, индивидуальные предприниматели (далее по тексту – ИП), организующие питание в учреждении (далее по тексту – комбинаты питания), работники комбинатов питания.
В ООО «КСА» обрабатываются следующие категории персональных данных:
- персональные данные общей категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным.
Конкретный перечень ПДн и субъектов ПДн ООО «КСА» определяется в локальном акте Оператора - Перечень персональных данных, обрабатываемых в ООО «Комплексные системы автоматизации», утверждаемом приказом директора ООО «КСА».
Источники поступления ПДн:
из первичной документации, предоставляемой самими субъектами персональных данных,
предоставление самими субъектами своих персональных данных на сайте Оператора,
от третьих лиц по запросу Оператора при наличии согласия субъекта ПДн на передачу своих ПДн Оператору.
В число первичной документации, содержащей ПДн субъектов персональных данных могут включаться:
анкета (анкетная информация), заполняемая субъектом ПДн;
регистрационная форма/заявка от субъекта ПДн;
договор;
документы субъекта ПДн, подтверждающие его личность (в копиях), прочая документация, предоставляемая субъектом ПДн, в которых указаны его ПДн;
сведения об уплате предоставленных товаров, услуг с реквизитами, принадлежащими субъекту ПДн;
адресная информация в соответствии с договором;
переписка в электронном виде, запись ведения переговоров по телефону.
ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
непосредственно;
с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
Если ПДн Субъекта можно получить через третью сторону, Оператор заранее уведомляет его об этом. Субъект должен предоставить свое письменное согласие. Третьи лица должны иметь согласие Субъекта на передачу его ПДн Оператору.
Оператор может собирать обезличенные ПДн для статистики и в других случаях, предусмотренных в части 2 ст. 22 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7. Порядок и условия обработки, хранения и уничтожения ПДн
Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. При этом Оператор обязывает лицо, осуществляющее обработку персональных данных по поручению, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом.
В случае если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.
Оператор обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
Обработка персональных данных осуществляется путем:
получения персональных данных в письменной или электронной форме непосредственно с согласия субъекта персональных данных на обработку или на распространение его персональных данных;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных, указанных в настоящей Политике, способов обработки персональных данных.
Обработка ПДн (в том числе хранение ПДн) осуществляется в течение срока действия соответствующего согласия субъекта ПДн и до окончания обучения в учреждении, увольнения работника Оператора, окончания срока действия договора, но не позднее истечения сроков хранения соответствующей информации или документов, содержащих указанную информацию, определяемых в соответствии с законом РФ. Так, ПДн уволенных сотрудников Оператора обрабатываются в течение 3-х лет после увольнения работника, а после архивирования – в течение 50 лет.
Обработка персональных данных также прекращается в случаях:
- достижения целей обработки ПДн,
- истечения срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его персональных данных;
- при отзыве субъектом ПДн его согласия на обработку ПДн, в случаях, не противоречащих требованиям федерального законодательства;
- в случае подтверждения факта неточности ПДн или неправомерности их обработки.
ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся на серверах в ИСПД.
Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
Хранение ПДн, собранных для разных целей обработки, осуществляется раздельно.
Хранение ПДн Субъекта производится не дольше, чем это нужно для цели их обработки. После достижения цели обработки Пдн, они подлежат уничтожению или обезличиванию.
Согласия на обработку ПДн пользователей ИСПД Оператора хранятся в течение срока их действия, а после архивирования – еще три года.
После обработки ПДн они подлежат уничтожению или обезличиванию.
Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей.
Уничтожение ПДн производится в сроки, установленные федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», заключенным между Оператором и Субъектом договором и Согласием Субъекта на обработку ПДн.
8. Основные принципы обработки, передачи ПДн
Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод клиентов и работников Оператора, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Оператор осуществляет обработку иных категорий ПДн.
Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.
9. Передача персональных данных
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности осуществляет информационный обмен ПДн со следующими организациями:
страховыми медицинскими организациям;
Федеральной налоговой службой;
Пенсионным Фондом Российской Федерации;
Сбербанком России;
лицензирующими и/или контролирующими органами государственной власти и местного самоуправления;
органами управления образования;
с учебными заведениями, организациями и комбинатами питания в рамках заключенных договоров по использованию информационных систем ООО «КСА».
Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов ПДн третьим лицам без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья, а также в случаях, установленных федеральным законом.
Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
10. Меры по обеспечению безопасности ПДн при их обработке
Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
Основными мерами защиты ПД, используемыми Оператором, являются:
назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД;
разработка политики в отношении обработки персональных данных;
осуществление внутреннего контроля и аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
принятие локальных нормативных актов и иных документов, регулирующих отношения в сфере обработки и защиты персональных данных;
ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и обучением указанных работников;
создание необходимых условий для работы с персональными данными;
обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
определение угроз безопасности ПДн при их обработке в ИСПДн и разработка мер и мероприятий по защите ПД;
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
учет машинных носителей ПДн;
выявление фактов несанкционированного доступа к ПДн и принятие соответствующих мер;
восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
11. Права субъектов персональных данных
В соответствии с № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:
1. получить сведения, касающиеся обработки ПДн Оператором, а именно:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
обращение к Оператору и направление ему запросов;
иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами;
2. потребовать от Оператора в установленной форме уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными; устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных;
4. отозвать любое согласие на обработку персональных данных в предусмотренных законом случаях;
5. обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
6. право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
12. Актуализация, исправление, удаление и уничтожение персональных данных
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
13. Контроль н надзор за обработкой персональных данных
Ответственным за организацию обработки и обеспечения безопасности персональных данных в ООО «Комплексные системы автоматизации» является лицо, назначенное приказом директора ООО «Комплексные системы автоматизации».
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
14. Нарушение политики и ответственность
Оператор несет ответственность за соответствие обработки и обеспечения безопасности персональных данных законодательству РФ. Все работники Оператора, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности персональных данных.
Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности ПДн будут расследоваться в соответствии с действующими в ООО «КСА» процедурами.
Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.
Заключительные положения
Настоящая Политика утверждается директором ООО «Комплексные системы автоматизации».
Настоящая Политика является общедоступным документом и подлежит размещению на сайте Оператора.
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.