1.ОБЩИЕ ПОЛОЖЕНИЯ
В процессе осуществления уставной деятельности Общество с ограниченной ответственностью ООО «СКАТТ» (далее – Оператор, Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных , Общество руководствуется Федеральным Законом № 152-ФЗ от 27.07.2006 г. «О персональных данных», и обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями названного закона.
Настоящая Политика в отношении обработки и защиты персональных данных в ООО «СКАТТ» (далее – Политика) устанавливает общие правила и процедуры в отношении соблюдения конфиденциальности и защиты персональных данных , составлена в соответствии с п.2 статьи 18.1 Федерального закона №152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее – Закона), а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных ( далее – Данные), которые Общество может получить от субъекта персональных данных (туриста или иного заказчика), являющегося стороной договорных отношений, связанных с реализацией туристского продукта и оказанием туристских услуг, как входящих в состав туристского продукта, так и оказываемых отдельно, а также от субъекта персональных данных, состоящего с Обществом в отношениях, регулируемых трудовым законодательством (далее – Работник), и в иных гражданско-правовых отношениях.
Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.
Настоящая Политика является внутренним локальным нормативным актом Общества и является обязательной для исполнения всеми работниками Общества.
Общество , во исполнение требований Закона и для обеспечения неограниченного доступа к сведениям о реализуемых в Обществе мероприятиях по защите персональных данных, и к документам, определяющим политику Общества в отношении обработки и защиты персональных данных, размещает текст настоящей Политики на своем общедоступном официальном сайте: https://скатт.ru/.
Каждый работник, вновь принимаемый на работу в Общество, во время первого вводного инструктажа должен быть ознакомлен с настоящей Политикой. Политика служит основой для разработки комплекса организационных и технических мер по обеспечению защиты персональных данных в Обществе, а также нормативных и методических документов, регламентирующих защиту и порядок обработки персональных данных. Такие документы являются неотъемлемой частью настоящей Политики.
Настоящая Политика утверждается директором Общества.
Настоящая Политика подлежит пересмотру не реже одного раза в три года.
2. ОСНОВНЫЕ ПОНЯТИЯ
Политика – утвержденный директором Общества внутренний локальный нормативный документ «Политика в отношении обработки и защиты персональных данных в ООО «СКАТТ».
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.
Работник Общества – физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор.
Клиент Общества :
а) физическое лицо – заказчик туристского продукта (субъект персональных данных), заключивший с Обществом или иным юридическим лицом договор с целью получения туристских услуг;
б) физическое лицо – турист (субъект персональных данных), от имени которого и в интересах которого заказчик заключил с Обществом или иным юридическим лицом договор с целью получения туристских услуг.
Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо работник стороннего юридического лица, имеющего договорные отношения с Обществом.
Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе :
– сбор;
– запись;
– систематизацию;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передачу (распространение, предоставление, доступ);
– обезличивание;
– блокирование;
– удаление;
– уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные – персональные данные, размещённые субъектом персональных данных в общедоступных источниках персональных данных (в том числе справочниках, адресных книгах), доступ к которым предоставлен неограниченному кругу лиц, либо персональные данные, размещённые в общедоступных источниках персональных данных на основании письменного согласия субъекта персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уполномоченный сотрудник – работник Общества, допущенный к обработке персональных данных и ответственный за обработку персональных данных, а также за их защиту.
3. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Общество проводит обработку персональных данных в целях :
а) осуществления возложенных на Общество Уставом и законодательством Российской Федерации функций в соответствии, в частности, с Трудовым кодексом Российской Федерации и с Налоговым кодексом Российской Федерации;
б) организации учета работников Общества в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;
в) исполнения обязательств Общества и осуществление прав Общества по заключенным с субъектами персональных данных договорам о реализации туристского продукта или отдельных туристских услуг в соответствии с нормами Федерального закона № 132-ФЗ от 24.11.1996 г. «Об основах туристской деятельности в Российской Федерации» ;
г) исполнения договоров , стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
д) исполнения обязательств Общества и осуществление прав Общества по заключенным с юридическими лицами договорам о реализации туристского продукта или отдельных туристских услуг в соответствии с нормами Гражданского кодекса Российской Федерации и Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
е) исполнения обязательств Общества и осуществление прав Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
ж) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с клиентами.
3.2. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:
– законодательные акты, указанные в пп. а)-е) п. 3.1. Политики, регулирующие отношения, связанные с деятельностью Общества;
– Устав Общества;
– договоры, заключаемые между Обществом и субъектом персональных данных;
– согласие на обработку персональных данных.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество осуществляет обработку персональных данных только на законной и справедливой основе.
Обработка персональных данных не может быть использована Обществом или его работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
Обработка персональных данных в Обществе ограничивается достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.
В Обществе обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».
Обработка указанных в части 1 статьи 10 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» специальных категорий персональных данных допускается в случае, в частности, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальной категорий персональных данных.
Также Общество не осуществляет сбор, обработку и хранение биометрических персональных данных граждан.
В случаях, когда сканирование (копирование) документа, удостоверяющего личность, осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (заключение договора) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и статьей 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не регулируются. И, соответственно, обработка сведений, в данных случаях, осуществляется согласно общих требований, установленных названным законом.
Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, и подпись лица, наличие которой в различных договорных отношениях является обязательным требованием. Указанные данные не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Фотографическое изображение, не удовлетворяющее требованиям ГОСТ РИСО/МЭК 19794-5-2006 и относящееся к «Изображению гражданина», обрабатывается в соответствии с требованиями норм статьи 152.1 ГК РФ.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Получение персональных данных.
5.1.1. Получение персональных данных, за исключением общедоступных персональных данных, осуществляется Обществом непосредственно у субъектов персональных данных, либо лиц, имеющих надлежащим образом оформленные полномочия представлять интересы субъектов персональных данных для передачи персональных данных Обществу. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено письменное согласие.
5.1.2. При получении персональных данных , Общество обязано сообщить субъекту персональных данных:
– о целях получения персональных данных;
– о перечне персональных данных, запрашиваемых Обществом;
– о перечне действий, которые Общество намерено совершать с персональными данными;
– о сроке, в течение которого действует согласие субъекта персональных данных на обработку персональных данных;
– о порядке отзыва согласия на обработку персональных данных;
– о последствиях отказа субъекта персональных данных предоставить Обществу согласие на получение и обработку персональных данных.
5.1.3. Документы , содержащие персональные данные, создаются путем:
– сканирования (копирования) оригиналов документов (паспорта гражданина РФ, документа об образовании, свидетельства ИНН, пенсионного свидетельства, СНИЛС и др.);
– внесения сведений в учетные формы;
– получения оригиналов необходимых документов (справки о доходах, трудовой книжки, характеристики и др.).
5.2. Обработка персональных данных.
5.2.1. Обработка персональных данных осуществляется Обществом с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» в следующих случаях:
– с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для исполнения договора о реализации туристского продукта или отдельных туристских услуг стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
– в случаях, когда обработка персональных данных необходима Оператору для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5.2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются Обществом:
– заказчики туристского продукта – турист или иное лицо, заказывающее туристский продукт от имени туриста, в том числе законный представитель несовершеннолетнего туриста;
– турист – физическое лицо , посещающее страну (место) временного пребывания в лечебно-оздоровительных, рекреационных, познавательных, физкультурно-спортивных, профессионально-деловых, религиозных и иных целях без занятия деятельностью, связанной с получением дохода от источников в стране (месте) временного пребывания, на период от 24 часов до 6 месяцев подряд или осуществляющее не менее одной ночевки в стране (месте) временного пребывания;
– пассажир – физическое лицо, которому перевозчик, на основании документов, оформленных Оператором, обязался оказать услуги перевозки;
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на замещение вакантных должностей;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях.
5.2.3. Персональные данные, обрабатываемые Оператором:
– персональные данные заказчиков и туристов, в объёме необходимом для бронирования туристских услуг, как входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта, так и оказываемых отдельно;
– персональные данные туристов, в объёме необходимом для оформления документов, подтверждающих право туристов на получение туристских услуг, как входящих в состав туристского продукта, реализуемого по договорам о реализации туристского продукта, так и оказываемых отдельно;
– данные, полученные в рамках исполнения обязательств по трудовым договорам;
– данные, полученные в целях отбора кандидатов на работу;
– данные, полученные при заключении гражданско-правовых договоров и использованные в рамках исполнения обязательств по заключённым договорам.
5.2.4. Обработка персональных данных ведется:
– с использованием средств автоматизации;
– без использования средств автоматизации.
5.3. Хранение персональных данных.
5.3.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
5.3.2. Персональные данные субъектов персональных данных, зафиксированные на бумажных носителях, хранятся в специально отведенных железных шкафах (сейфах) либо в запираемых помещениях с ограниченным правом доступа.
5.3.3. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации, обрабатываются и хранятся с соблюдением требований, установленных Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
5.3.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах персональных данных.
5.3.5. Хранение персональных данных в форме, позволяющей определить субъект персональных данных, осуществляется не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении , персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, законом.
5.4. Уничтожение персональных данных.
5.4.1. Материальные (бумажные) носители персональных данных (сканированные копии документов, хранимые в бумажном виде), уничтожаются при помощи технических средств (уничтожителя бумаги) или путём разрезания (измельчения на мелкие части) вручную. Уничтожение материальных (бумажных) носителей указанными способами должно исключать возможность последующего восстановления информации, содержащей персональные данные, из остатков носителя.
5.4.2. Подлежащие уничтожению файлы (папки, электронные архивы) с персональными данными клиентов (туристов), расположенные на жестком диске компьютера (информационной системы персональных данных), удаляются средствами операционной системы компьютера с последующим «очищением корзины», что исключает возможность последующего восстановления информации, содержащей персональные данные.
Машиночитаемые носители (компакт- диски CD-R/RW или DVD-R/RW, дискеты 3,5, флеш-носители) физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
В случае допустимости повторного использования машиночитаемого носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.
5.4.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
5.5. Передача персональных данных.
5.5.1. Передача персональных данных осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных.
5.5.2. Общество передает персональные данные третьим лицам в следующих случаях:
– от субъекта персональных данных получено письменное субъект согласие на такие действия;
– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
5.5.3. Перечень лиц, которым передаются персональные данные.
5.5.3.1. Третьи лица, которым передаются персональные данные в рамках исполнения обязательств, связанных с реализацией и исполнением туристских услуг, как входящих в состав туристского продукта, так и оказываемых отдельно:
– туроператоры, формирующие туристский продукт;
– непосредственные исполнители туристских услуг, входящих в состав туристского продукта, или предоставляющие отдельные туристские услуги (объекты размещения, перевозчики, страховые компании, консульства и посольства иностранных государств, осуществляющие оформление виз, экскурсионные бюро и т.п.).
Трансграничная передача персональных данных осуществляется с учётом требований, установленных статьей 12 Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных».
Общество осуществляет трансграничную передачу персональных данных на территории иностранных государств с учетом перечня государств, утвержденного уполномоченным органом по защите прав субъектов персональных данных.
Общество осуществляет трансграничную передачу персональных данных на территории иностранных государств, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только по ниже следующим основаниям:
– наличие письменного согласия субъекта персональных данных на трансграничную передачу персональных данных ;
– исполнение договора, стороной которого или выгодоприобретателем, или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
5.5.3.2. Третьи лица, которым передаются персональные данные в рамках исполнения обязательств, связанных с трудовыми отношениями:
– Пенсионный фонд РФ для учета (на законных основаниях);
– налоговые органы РФ (на законных основаниях);
– Фонд социального страхования РФ (на законных основаниях);
– территориальный фонд обязательного медицинского страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– правоохранительные органы в случаях, установленных законодательством.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИЕ РЕЖИМА ИХ КОНФИДЕНЦИАЛЬНОСТИ
6.1. В соответствии с требованиями нормативных документов Обществом создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование систем защиты персональных данных.
6.3. Подсистема организационной защиты включает в себя организацию структуры управления систем защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
6.5. Основными мерами защиты персональных данных, используемыми Обществом, являются:
6.5.1. Назначение лиц, ответственных за организацию обработки персональных данных и за организацию мер по защите персональных данных в Обществе, которые осуществляют организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
6.5.2. Определение актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.
6.5.3. Разработка политики в отношении обработки персональных данных.
6.5.4. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
6.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
6.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
6.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
6.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.5.11. Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Общества в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
6.5.12. Осуществление внутреннего контроля и аудита.
7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.
8. ДОПУСК К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываться только уполномоченными в установленном порядке работниками Общества.
Работники, осуществляющие обработку персональных данных, действуют в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдают требования Общества по соблюдению режима конфиденциальности.
Безопасность персональных данных при их обработке обеспечивают лица, ответственные за организацию обработки персональных данных и за организацию мер по защите персональных данных в Обществе.
Работникам, осуществляющим обработку персональных данных , запрещается несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.
9. ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество обязано в отношении обработки персональных данных, необходимых в целях осуществления уставной деятельности, выполнять требования и обязанности, установленные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», в том числе:
1) при обращении субъекта персональных данных, предоставить информацию об обработке персональных данных;
2) в случаях , если персональные данные были получены не от субъекта персональных данных, уведомить субъект персональных данных о факте получения персональных данных;
3) при отказе в предоставлении персональных данных, разъяснить субъекту персональных данных последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Общества в отношении обработки персональных данных;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6) давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
10. ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки его персональных данных Обществом;
– правовые основания и цели обработки персональных данных;
– цели и применяемые оператором способы обработки персональных данных;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных , в том числе сроки их хранения;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование третьего лица, осуществляющего обработку персональных данных по договору с Обществом;
– иные сведения, предусмотренные федеральными законами.
10.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
10.4. В случае нарушения Обществом требований Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных» или нарушения иным образом прав и свобод субъекта персональных данных, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсации морального вреда в судебном порядке.
11. ОТВЕТСВЕННОСТЬ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность работников за соблюдение установленного в Обществе режима конфиденциальности.
Каждый работник общества, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
12. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Общество сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных , а также обязано предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Если после рассмотрения настоящей Политики у Вас остались вопросы, Вы можете получить разъяснения по всем интересующим Вас вопросам, направив официальный запрос по электронной почте ckatt@ckatt.ru либо по адресу:
630091, г. Новосибирск, ул. Красный проспект , 47 ООО «СКАТТ»
656015, г. Барнаул, ул. Молодежная 34 ООО «СКАТТ»