1 Назначение
Данная Политика обработки персональных данных ООО «Э-моушен» (далее - Политика) разработана с целью обеспечения защиты персональных данных пользователей и иных категорий граждан в соответствии с требованиями действующего законодательства Российской Федерации.
Политика разработана в соответствии со ст. 23 и 24 Конституции Российской Федерации, главы 14 Трудового кодекса РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами РФ.
Политика регламентирует порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, уничтожения, удаления, учета документов, содержащих сведения, отнесенные к персональным данным субъектов (пользователей и иных категорий граждан) ООО «Э-моушен» с использованием средств автоматизации или без использования таких средств, а также определяет права, обязанности и ответственность руководства и должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих порядок обработки и защиты персональных данных.
Оператором в соответствии со ст. 3 Федерального закона «О персональных данных» является ООО «Э-моушен» осуществляет обработку персональных данных, цели и содержание которой определяет ООО «Э-моушен»
Политика вводится в действие впервые с даты ее утверждения.
2 Общие положения
2.1 Область применения Применение данного документа - «Для руководства».
2.2 Нормативные ссылки В настоящей Политике использованы ссылки на следующие нормативные документы:
- Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
- Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 06.07.2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Пользовательское соглашение ООО «Э-моушен»;
- Положение об обработке и защите персональных данных ООО «Э-моушен»
2.3 Термины, определения и сокращенияДля целей настоящей Политики в ней определены следующие термины и сокращения:
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Пользователь (Абонент) - пользователь услугами проката, с которым заключен договор об оказании таких услуг, а также иные категории граждан.
ПДн - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).
Блокирование - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Доступ к информации - возможность получения информации и ее использования.
Использование ПДн - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Пользователя или других лиц либо иным образом затрагивающих права и свободы Пользователя или других лиц.
КИСПДн – Корпоративная информационная система ПДн, в которой производится сбор и хранение информации о Субъектах персональных данных и истории взаимоотношений с ними, об использовании услуг проката и их тарификации и об обработке платежей.
Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия пользователя или наличия иного законного основания.
Несанкционированный доступ к информационным активам - доступ к информации, нарушающий установленные правила разграничения доступа.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператор – ООО «Э-моушен».
Ответственное лицо Оператора – сотрудник Оператора в функциональные обязанности которого входит обработка ПДн.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Пользователь КИСПДн - лицо, участвующее в функционировании КИСПДн или использующее результаты ее функционирования.
Потенциальный пользователь - физическое лицо, имеющее намерения стать пользователем.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (ИС).
ИБ
- информационная безопасность.
ИС
- информационная система.
ИСПДн
- информационная система персональных данных.
ПДн
- персональные данные.
РФ - Российская Федерация.
ТС
- техническое средство.
ФСБ России
- Федеральная служба безопасности России.
ФСТЭК России - Федеральная служба по техническому и экспортному контрою России.
Защищенная электронная почта - дополнительный сервис, позволяющий защищать почтовые сообщения посредством шифрования и электронной подписи сертифицированными средствами криптографической защиты информации.
Уполномоченное оператором лицо – ООО «Э-моушен», которому на основании договора оператор поручает обработку ПДн пользователей и потенциальных пользователей.
3 Понятие и состав обрабатываемых персональных данных
3.1 Общие положения
Под ПДн субъектов ПДн понимается информация, необходимая Оператору в связи с договорными отношениями по оказанию услуг проката. ПДн Субъекта ПДн являются конфиденциальной информацией. Режим конфиденциальности ПДн снимается в случае обезличивания, по истечении срока исковой давности либо 75 лет установленных сроков хранения, если иное не определено нормативными актами РФ.
3.2 Объем и содержание обрабатываемых ПДн
Объем и содержание обрабатываемых Оператором ПДн определяется в соответствии с Гражданским кодексом РФ, Трудовым кодексом РФ, Законом РФ от 07.02.1992 N 2300-1 "О защите прав потребителей", Федеральным законом «О персональных данных» № 152-ФЗ от 21 июля 2014 г. и другими нормативными актами.
3.3 Категории субъектов ПДн
Оператором осуществляется обработка ПДн субъектов, ПДн которых обрабатываются при обеспечении основной деятельности Оператора:
- лиц, которые обратились к Оператору с целью получения услуг проката;
- лиц, которым оказываются услуги проката;
- лиц по договору гражданско-правового характера;
- лиц по ученическому договору.
3.4 Сведения, относящиеся к обрабатываемым ПдН
К ПДн субъекта, обрабатываемым Оператором, в частности, относятся следующие сведения:
- данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства);
- дата и место рождения;
- адрес местожительства (регистрации) или адрес установки оконечного оборудования;
- сведения о расчетах за оказанные услуги, в том числе сведения о маршруте проката;
- уникальный номер учетной записи пользователя;
- контактный номер телефона;
- адрес электронной почты.
3.5 Документы ПДн ПДн Оператором могут содержаться в документах, связанных с основной деятельностью (документах, оформляемых в связи с заключением и исполнением договоров проката, копия документа, удостоверяющего личность, и др.);
Документы, содержащие ПДн, создаются путём:
- копирования оригиналов;
- внесения сведений в бумажные и электронные носители.
4 Принципы обработки персональных данных
4.1 Общие требования и принципы В целях обеспечения прав Субъектов ПДн Оператор, при обработке ПДн Субъектов ПДн обязано соблюдать следующие общие требования и принципы:
- Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПДн, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
- при Обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
4.2 Хранение ПДн Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
4.3 Передача обработки ПДн другому лицу
Оператор поручает Обработку ПДн Уполномоченному оператором лицу с согласия Субъекта ПДн, на основании заключаемого с этим лицом договора. Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой. Уполномоченное оператором лицо по поручению, от имени и за счет Оператора совершает действия по Обработке ПДн, которые включают следующее: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
Уполномоченное оператором лицо обязуется соблюдать режим конфиденциальности в отношении данных, ставших ему известными при исполнении поручения Оператора.
При Обработке ПДн Уполномоченное оператором лицо обеспечивает безопасность ПДн комплексом организационных и технических мер в необходимых для достижения указанной цели объемах. В частности безопасность достигается применением по мере необходимости следующих мер:
1) определением угроз безопасности ПДн при их обработке в ИС ПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИС ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИС ПДн;
5) учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к ПДн, обрабатываемым в ИС ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИС ПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИС ПДн.
Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие Субъекта ПДн на Обработку его ПДн.
Ответственность перед Субъектом ПДн за действия Уполномоченное оператором лицо несет Оператор. Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.
4.4 Конфиденциальность ПДн
Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
4.5 Общедоступные источники ПДн
В целях информационного обеспечения деятельности Оператора могут создаваться общедоступные источники ПДн (в том числе справочники и др.).
5 Порядок обработки ПДн Оператором
5.1 Сбор, систематизация и накопление ПДн
Получение, хранение, обработка, в том числе передача, распространение, использование, блокирование и уничтожение ПДн субъектов ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров.
Сбор и запись ПДн субъектов ПДн осуществляет по поручению Оператора – Уполномоченное оператором лицо при подаче заявления (оферты) на заключение договора.
На основании заявления (оферты) Пользователя Оператор осуществляет обработку ПДн субъектов ПДн.
Субъект ПДн представляет свои ПДн при оформлении заявления (оферты) и/или оформлении договора об оказании услуг в объеме, требующемся для заключения договора в соответствии с утвержденными формами.
Систематизацию, накопление и изменение ПДн выполняет Уполномоченное оператором лицо.
На основании заявления (оферты) субъекта ПДн Уполномоченное оператором лицо по требованию субъекта ПДн формирует записи о ПДн в КИС ПДн. Уточнение (обновление, изменение) ПДн производит Уполномоченное оператором лицо по заявлению субъекта ПДн с предъявлением оригиналов необходимых документов. Внесение изменений в ПДн выполняют с помощью пользовательского интерфейса управления КИСПДн. При обработке ПДн в бумажном виде - изменение выполняют с заменой данных на бумажном носителе в присутствии субъекта ПДн.
Все ПДн субъекта ПДн получаются у него самого.
Уполномоченное оператором лицо принимает от субъекта ПДн документы, проверяет их полноту и соответствие предоставляемых сведений действительности.
Уполномоченное оператором лицо при получении ПДн проверяет их достоверность, сверяя предоставленные данные с имеющимися у субъекта документами.
Оператор имеет право обрабатывать ПДн Субъектов только с их письменного согласия в следующих случаях, предусмотренных Федеральным законом «О персональных данных»:
- при передаче обработки ПДн третьему лицу;
- при обработке специальных категорий ПДн;
- при включении ПДн Субъекта в общедоступные источники ПДн (в том числе справочники, адресные книги и т.п.);
- при необходимости трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;
- в случае принятия решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки его ПДн;
- в случае недееспособности Субъекта ПДн, когда за него согласие на обработку ПДн Субъекта даёт законный представитель субъекта ПДн.
Согласие Субъекта ПДн на обработку его ПДн не требуется в следующих случаях:
- Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем;
- Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения Операторенно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
- Обработка ПДн необходима для осуществления Операторм расчетов с пользователями проката за оказанные услуги проката, а также для рассмотрения претензий пользователей;
- осуществляется Обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами;
- Обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн, за исключением случаев обработки ПДн в маркетинговых целях;
- Обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
В случае получения согласия на Обработку ПДн от представителя Субъекта ПДн полномочия данного представителя на дачу согласия от имени Субъекта ПДн проверяются Уполномоченным лицом оператора.
В случае отзыва Субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если Обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Оператор обеспечивает их блокирование и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5.2 Использование и передача ПДн
5.2.1 Общие требованияВ соответствии с Федеральным законом «О персональных данных» в целях обеспечения прав и свобод человека и гражданина Оператор и его уполномоченное лицо при обработке ПДн субъекта ПДн должны соблюдать следующие общие требования.
Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров проката, одной из сторон которых является пользователь.
При определении объема и содержания обрабатываемых ПДн Оператор должен руководствоваться Конституцией РФ и иными федеральными законами.
При принятии решений, затрагивающих интересы субъекта, Оператор и его уполномоченное лицо не имеют права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Оператором за счет своих средств в порядке, установленном федеральным законом.
5.2.2 Обработка ПДн, получаемых в связи с исполнением гражданско-правовых договоровОбработка ПДн, получаемых в связи с исполнением гражданско-правовых договоров, заключаемых в рамках основной деятельности Оператора, осуществляется в соответствии с условиями, включаемыми в соответствующие договоры, а также в соответствии с внутренними организационно-распорядительными документами.
5.2.3 Требования при передаче ПДнПри передаче ПДн Субъекта Оператор должен соблюдать следующие требования:
- не сообщать ПДн Субъекта в коммерческих целях без его письменного согласия. Обработка ПДн Субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их предварительного согласия;
- предупредить лиц, получивших ПДн Субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн субъекта, обязаны соблюдать режим конфиденциальности.
- осуществлять передачу ПДн Субъектов в пределах Оператора в соответствии с Политикой:
В случае передачи ПДн внешнему потребителю:
- передача ПДн от Оператора внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
- не допускается передача ПДн по устным обращениям и незащищенным каналам связи.
5.2.4 Запросы субъектов ПДн на предоставление информацииСубъекты ПДн (представители Субъектов ПДн), Уполномоченные органы по защите прав Субъектов ПДн имеют право запрашивать у Оператора необходимую информацию (ПДн), используя письменное обращение (запрос).
Письменное обращение (запрос) должно содержать следующие обязательные реквизиты:
- наименование органа, в который обращается субъект ПДн, и почтовый адрес;
- фамилию, имя и отчество лица, подписавшего обращение;
- номер и серию основного документа, удостоверяющего личность Субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись Субъекта ПДн или его законного представителя;
- цель обращения (заполнение данного реквизита не обязательно для Уполномоченных органов по защите прав Субъектов ПДн);
- ссылку на норму федерального законодательства РФ, в соответствии с которой возникает право запрашивать ПДн Субъекта ПДн, полные данные (фамилия, имя, отчество в именительном падеже, год рождения).
Субъект ПДн имеет право запросить следующие сведения:
- подтверждение факта обработки Оператором ПДн;
- правовые основания и цели обработки ПДн;
- цели и применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Подготовка запрашиваемой информации и формирование содержательной части ответа должны выполняться Уполномоченным лицом оператора, с четким определением целей и сроков обработки ПДн к конкретному субъекту ПДн. Подготовленный ответ оформляется в письменном виде.
В случае если запрашиваемые сведения, а также обрабатываемые ПДн были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения указанных выше сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.
Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения приведенных выше сведений, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с обязательными сведениями, должен содержать обоснование направления повторного запроса.
В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении, либо при получении запроса субъекта ПДн или его законного представителя, информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн Оператор формирует в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя либо от даты получения такого запроса.
5.3 Хранение и уничтожение персональных данных
Хранение ПДн на бумажном носителе осуществляют в надежно укрепленных помещениях, доступ в которые имеют только Ответственное лица Оператора и Уполномоченное лицо оператором.
В электронном виде ПДн хранятся в КИСПДн. Срок хранения - не менее 5 лет после истечения срока действия договора, заявления (оферты).
Уничтожение ПДн выполняет Уполномоченное лицо оператора после достижения цели обработки ПДн или по истечении срока хранения.
Уничтожение носителей информации, содержащих ПДн, оформляется Актом об уничтожении материального носителя информации.
Материальные носители информации в бумажном виде, содержащие ПДн, уничтожают путем измельчения, не позволяющего их последующего восстановления (например, с использованием бумагорезательной машины (БРМ).
Уничтожение ПДн организуют и обеспечивают Ответственное лица Оператора и Уполномоченное лицо оператором.
Электронные файлы с ПДн удаляют с помощью пользовательского интерфейса управления КИСПДн.
Уничтожение ПДн в электронном виде Уполномоченное лицо оператором выполняет в соответствии с установленным технологическим процессом и требованиями эксплуатационной документацией КИС.
В случае передачи оргтехники Уполномоченного лица оператора в ремонт в стороннюю организацию, Уполномоченное лицо оператора обязано организовать уничтожение размещенной на передаваемом оборудовании информации с ПДн.
Устанавливаются следующие сроки обработки и хранения ПДн, обрабатываемых Оператором:
- ПДн, обрабатываемых в целях осуществления основной деятельности, - в течение действия соответствующего гражданско-правового договора и срока исковой давности после его завершения;
- ПДн потенциальных пользователей Оператора - до момента отзыва заявки на предоставление услуг.
5.4 Доступ к персональным даннымДоступ должностных лиц Уполномоченного лица оператора к обработке ПДн организуется в соответствии с утвержденным перечнем должностей, допущенных к обработке ПДн.
Права должностных лиц по Обработке ПДн в ИСПДн Уполномоченного лица оператора определяются на основании функциональных (должностных) обязанностей должностных лиц соответствующих структурных подразделений, владельцами ИСПДн, подразделениями информационной безопасности.
Доступ к ПДн, обрабатываемым в ИСПДн Уполномоченного лица оператора, осуществляется в соответствии с порядком, установленным локальными нормативными документами.
Надзорные и контролирующие органы имеют доступ к информации только в установленной сфере деятельности и в пределах, предусмотренных действующим законодательством РФ полномочий.