1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в области обработки и защиты персональных данных (далее – «Политика») является внутренним нормативным документом ООО «Клауд Ком» (далее – «Общество»), определяющим права и обязанности субъектов персональных данных и Общества, принципы и условия обработки персональных данных, способы обработки и перечень действий с персональными данными, перечень обрабатываемых персональных данных, цели и сроки их обработки, категории субъектов персональных данных, порядок обработки персональных данных, порядок уточнения, удаление и уничтожение персональных данных, порядок ответов на запросы субъектов на доступ к персональным данным.
1.2. Политика направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Целью разработки Политики является создание в Обществе единой системы взглядов и понимания целей, условий и порядка обработки персональных данных.
1.4. Политика разработана в соответствии со следующими нормативными документами:
- Конституция Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Трудовой кодекс Российской Федерации;
- Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5. Политика применяется Обществом к обработке персональных данных, в том числе в следующих случаях:
- любые обращения в Общество в любой форме, направление жалоб, комментариев или замечаний и предложений;
- посещение офисов и иных помещений Общества;
- проведение работ, оказание услуг;
- взаимодействие с контрагентами, бизнес-партнерами, иными компаниями при осуществлении хозяйственной деятельности Общества;
- трудовые отношения с сотрудниками Общества;
- взаимодействие с кандидатами на вакантные должности в Обществе;
- в иных случаях.
1.6. Политика является общедоступным документом и находится в открытом доступе для беспрепятственного ознакомления с ней неограниченного круга лиц.
1.7. В целях настоящей Политики используются следующие понятия:
1.7.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.7.2. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.7.3. Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных.
1.7.4. Информационная система персональных данных (далее – «ИСПДн»)
– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.7.5. Информация – сведения (сообщения, данные) независимо от формы их представления.
1.7.6. Конфиденциальность персональных данных – обязательное для выполнения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, и их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.7.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.7.8. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7.9. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.7.10. Ответственный за организацию обработки персональных данных – должностное лицо Общества, ответственное за организацию обработки персональных данных в Обществе.
1.7.11. Персональные данные (далее – «ПДн») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физического лицу (субъекту ПДн).
1.7.12. ПДн, разрешенные субъектом персональных данных для распространения – Пдн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку Пдн, разрешенных субъектом Пдн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
1.7.13. Предоставление персональных данных – действия, направленные на раскрытие Пдн определенному лицу или определенному кругу лиц.
1.7.14. Распространение персональных данных - действия, направленные на раскрытие Пдн неопределенному кругу лиц.
1.7.15. Субъект персональных данных (далее «субъект ПДн») – физическое лицо, определяемое или определенное ПДн.
1.7.16. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.7.17. Специальные категории персональных данных – ПДн субъектов ПДн, касающийся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.
1.7.18. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
1.7.19. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
1.7.20. Уровень защищенности персональных данных – комплексный показатель, характеризующих требования, использование которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
1.7.21. Cookies – небольшой фрагмент данных, отправленный веб-сервиром и хранимый на компьютере Пользователя Сайта, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в НТТР-запросе при попытке открыть страниц соответствующего сайта.
1.7.22. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
1.8. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн в Обществе;
- правовые основания и цели обработки ПДн;
- цели и применяемые в Обществе способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые могут иметь доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании законодательства Российской Федерации;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен законодательством Российской Федерации;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
1.9. Сведения по запросу должны быть предоставлены субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДН, за исключением случаев, если меняются законные основания для раскрытия таких ПДн.
1.10.Субъект ПДн имеет право на отзыв данного ранее согласия на обработку ПДн.
1.11.Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными ли не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.12.Для реализации своих прав и защиты законных интересов субъект ПДН имеет право обратиться к Обществу. Запрос должен содержать сведения, указанные в ч.3 ст.14 ФЗ «О персональных данных». Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных конфликтных ситуаций в досудебном порядке.
1.13.Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в органе по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.
1.14.Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, а также иные права, определенные главой 3 ФЗ «О персональных данных».
1.15.Общество, как оператор при обработке ПДн обязано:
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты ПДн;
- разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых ПДн;
- осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;
- уведомлять субъекта ПДн об устранении допущенных нарушений или уничтожения его ПДн;
- предоставлять по просьбе субъекта ПДн или его законного представителя информацию, касающуюся обработки его ПДн, в порядке, установленном законодательством Российской Федерации и внутренними нормативными документами Общества;
- обеспечить запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
1.16.В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и внутренними нормативными документами Общества, в Обществе назначается Ответственный за организацию обработки ПДн.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка ПДн в Обществе осуществляется на основе следующих принципов:
2.1.1. законности и справедливой основы;
2.1.2. ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
2.1.3. недопущения обработки ПДн, несовместимой с целями сбора ПДн;
2.1.4. недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
2.1.5. обработка только тех ПДн, которые отвечают целям их обработки;
2.1.6. соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
2.1.7. недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
2.1.8. обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
2.1.9. осуществление хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
2.1.10. уничтожения ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при возможности устранения Обществом допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.

3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка ПДн в Обществе должна осуществляться в соответствии с требованиями ФЗ «О персональных данных», настоящей Политикой и внутренними нормативными документами Общества, регламентирующими обработку и обеспечение безопасности ПДн.
3.2. Обработка ПДн производится в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка ПДн, осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве и арбитражных судах;
- обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья и иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Субъект ПДн принимает решение о предоставлении его ПДН и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

4. СПОСОБЫ ОБРАБОТКИ И ПЕРЕЧЕНЬ ДЕЙСТВИЙ

С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

4.1. Общество осуществляет обработку ПДн с использованием средств автоматизации, а также без использования таких средств.
4.2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, доступ, блокирование, удаление, уничтожение ПДн.
4.3. Общество не осуществляет распространение ПДн.

5. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ЦЕЛИ И СРОКИ ИХ ОБРАБОТКИ

5.1. Общество осуществляет обработку ПДн следующих категорий субъектов ПДн:
- работников Общества,
- родственников работников Общества,
- бывших работников Общества,
- кандидатов на вакантные должности в Обществе,
- контрагентов - физических лиц,
- представителей контрагентов – физических лиц,
- представителей контрагентов – юридических лиц,
- посетителей сайта Общества,
- участников Общества.

5.2. Перечень обрабатываемых в Обществе ПДн, цели сбора и обработки ПДн, правовые основаниях обработки ПДн, а также сроки обработки ПДн, устанавливаются приказом Генерального директора Общества.

6. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В Обществе не подлежат обработке ПДн, относящиеся к специальным категориям: расовая принадлежность; национальная принадлежность; политические взгляды; религиозные или философские убеждения; состояния здоровья (за исключением состояния здоровья работников Общества в случаях, установленных ст. 69, 73, 213, 324, 328 Трудового Кодекса Российской Федерации); интимная жизнь.
6.2. В случае принятия решения об обработке указанных категорий ПДн, должно быть обеспечено выполнение одного из условий:
6.2.1. субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
6.2.2. обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 ФЗ «О персональных данных»;
6.2.3. обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
6.2.4. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
6.2.5. обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
6.2.6. обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
6.2.7. обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
6.3. Обработка ПДн о судимости может осуществляться в соответствии со ст.65 Трудового Кодекса Российской Федерации, а также в случаях и порядке, которые определяются соответствующими федеральными законами.

7. БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

7.1. Обработка биометрических ПДн в Обществе осуществляется в случаях, если субъект дал согласие в письменной форме на обработку своих биометрических ПДн.
7.2. Обработка биометрических ПДн может осуществляться без согласия субъекта ПДн в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.

7.3. Общество может осуществлять обработку следующих видов биометрических ПДн:

- фотография;

- видеоизображение.

9. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

В ЦЕЛЯХ ПРОДВИЖЕНИЯ ПРОДУКТОВ И УСЛУГ НА РЫНКЕ

9.1. Обществом может производиться комплекс мероприятий по продвижению продуктов и услуг Общества путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, в рамках которого обрабатываются ПДн клиентов только при условии их предварительного письменного согласия.

9.2. В случае отказа клиента от обработки его ПДн в целях продвижения продуктов и услуг, Общество обязано немедленно прекратить его ПДн в указанных целях.

9. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

В ЦЕЛЯХ ПРОДВИЖЕНИЯ ПРОДУКТОВ И УСЛУГ НА РЫНКЕ

9.1. Обществом может производиться комплекс мероприятий по продвижению продуктов и услуг Общества путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, в рамках которого обрабатываются ПДн клиентов только при условии их предварительного письменного согласия.

9.2. В случае отказа клиента от обработки его ПДн в целях продвижения продуктов и услуг, Общество обязано немедленно прекратить его ПДн в указанных целях.

10. ПРИНЯТИЕ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. В Обществе запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных ч.2 ст.16 ФЗ «О защите персональных данных» (см.п.10.2).
10.2. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
Перед началом применения информационных систем для принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Общество обязано:
- разъяснить субъекту ПДн порядок и возможные юридические последствия такого решения;
- разъяснить порядок защиты субъектом ПДн своих прав и законных интересов;
- получить в письменной форме согласие субъекта ПДн на такой способ принятия решений при обработке его ПДн.
После принятия решения на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, Общество обязано:
- известить субъекта ПДн о принятом решении с целью предоставления возможности заявить возражение против такого решения;
- рассмотреть возражение, поступившее от субъекта ПДн, в течение 10 (десяти) дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.

10.3. В соответствии со ст.86 Трудового кодекса Российской Федерации, при принятии решений, затрагивающих интересы работников, Общество как работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

11. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Обработка ПДн субъектов ПДн производится Обществом строго в соответствии с принципами и на условиях, определенных законодательством Российской Федерации.
11.2. При предоставлении ПДн третьей стороне должны выполняться следующие условия:
- передача (предоставление, доступ) ПДн третьей стороне осуществляется на основании договора, в котором содержится поручение на обработку ПДн;
- передача (предоставление, доступ) ПДн третьей стороне осуществляется на основании действующего законодательства Российской Федерации;
- наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.
11.3. В поручении Общества на обработку ПДн в обязательном порядке определяются:
11.3.1. Перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, при этом перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с Обществом, согласии и т.п. документах;
11.3.2. Цели обработки, при этом цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с Обществом, согласии и т.п. документах;
11.3.3. Обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
11.3.4. Требования к защите ПДн (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть ниже требований, выполняемых самим Обществом).
11.4. Общество в праве передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
11.5. Информация, относящаяся к ПДн, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.
11.6. Работники общества и иные лица, получившие доступ к обрабатываемым ПДн, подписывают обязательство о неразглашении конфиденциальной информации, а также предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки ПДн.
11.7. В соответствии с ч.2 ст.19 ФЗ «О персональных данных» для обеспечения безопасности ПДн при их обработке Общество принимает правовые, организационные и технические меры защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
11.8. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.
11.9. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях обеспечивает сохранность носителей ПДн и средств защиты информации, а также исключает возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11.10.Работники Общества, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании утвержденного Генеральным директором Общества перечнем.
11.11.Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых в ИСПДн Общества, возложены на ответственное структурное подразделение и Ответственного за организацию обработки ПДн.
11.12. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.
11.13. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект ПДн.
11.14. ПДн, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
11.15. При осуществлении хранения ПДн Общество обязано использовать базы данных, находящиеся на территории Российской Федерации, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 ФЗ «О персональных данных».
11.16. При сохранении ПДн на материальных носителях не допускается сохранение на одном материальном носителе ПДн, цели и обработки которых заведомо несовместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
11.17. Общество не размещает ПДн субъекта ПДн в общедоступных источниках без его предварительного согласия.

13. РЕАЛИЗУЕМЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. В соответствии с требованиями ст.18.1 и ст.19 ФЗ «О персональных данных» в Обществе реализуются следующие меры направленные на обеспечение выполнения Обществом обязанностей, предусмотренных действующим законодательством Российской Федерации:
13.1.1. назначение ответственного за организацию обработки ПДн;
13.1.2. издание документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки Пдн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
13.1.3. осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям действующего законодательства и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политики, локальными актами Общества;
13.1.4. оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства в области персональных данных, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации;
13.1.5. ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
13.1.6. обеспечение неограниченного доступа к Политике, в том числе к сведениям о реализуемых требованиях к защите ПДн, путем размещения настоящей Политики по адресу нахождения Общества;
13.1.7. определение угроз безопасности ПДн при их обработке в ИСПДн;
13.1.8. применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
13.1.9. обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
13.1.10. оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
13.1.11. учет лиц, допущенных к работе с ПДн в ИСПДн;
13.1.12. установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;
13.1.13. недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
13.1.14. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

14. РЕАГИРОВАНИЕ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Субъект ПДн может обратиться в Общество по всем предусмотренным в законодательстве Российской Федерации вопросам, связанным с обработкой его ПДн (информация обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение), путем направления письменного запроса по адресу Общества. Согласие на обработку ПДн может быть отозвано субъектом путем направления письменного уведомления в адрес Общества заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под подпись уполномоченному представителю Общества.
14.2. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта персональных данных или его представителя, дату обращения.
14.3. В случае необходимости, Ответственный за организацию обработки ПДн запрашивает дополнительную информацию у субъекта ПДн (или его законного представителя).

14.4. Процедуру рассмотрения запросов субъектов персональных данных или их представителей, осуществляется в соответствии с Правилами рассмотрения запросов субъектов персональных данных или их представителей, утвержденными Приказом Генерального директора Общества.