8. Защита персональных данных
8.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (далее — СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
8.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
8.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с работниками, партнерами и сторонними лицами.
8.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
8.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
8.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите персональных данных.
8.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПД) и разработка мер и мероприятий по защите персональных данных.
8.5.3. Разработка локальных актов в отношении обработки персональных данных.
8.5.4. Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение контроля всех действий, совершаемых с персональными данными в ИСПД.
8.5.5. Установление индивидуальных паролей доступа работников в ИСПД в соответствии с их производственными обязанностями.
8.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
8.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
8.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
8.5.9. Принятие мер в случае обнаружения фактов несанкционированного доступа к персональным данным.
8.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
8.5.12. Осуществление внутреннего контроля соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам Оператора.
9. Актуализация, исправление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.2. Запрос должен содержать:
1) номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
3) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
1) иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
2) Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
3) иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
10. Разрешение споров
10.1. До обращения в суд с иском по спорам, возникающим из отношений между Субъектом персональных данным и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
10.2. Получатель претензии в течение 7 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
10.3. При недостижении соглашения спор может быть передан на рассмотрение в суд в соответствии с действующим законодательством Российской Федерации.
11. Заключительные положения
11.1. Настоящая Политика является внутренним локальным актом Организации, является общедоступной и во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
11.2. Использование сервисов сайта Оператора означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.
11.3. Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных. Новая Политика вступает в силу с момента ее размещения в информационно-телекоммуникационной сети Интернет на сайте Оператора.
11.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.