ПОЛИТИКА обработки персональных данных

ПОЛИТИКА
обработки персональных данных
контрагентов и иных лиц, не являющихся
работниками ЗАО «ОЗБИ» и ООО «ТД «ОЗБИ»

 

1. Общие положения

1.1. Настоящий документ (далее – Политика) определяет порядок получения, учета, обработки, накопления и хранения персональных данных в ЗАО «ОЗБИ» и ООО «ТД «ОЗБИ» (далее – Группа компаний «ОЗБИ», сокращённо – ГК «ОЗБИ»), определяемых как операторы персональных данных.

1.2. Политика разработана в соответствии с действующим законодательством Российской Федерации, в т.ч. с Федеральным законом №152–ФЗ «О персональных данных» от 27.07.2006 г., уставами ГК «ОЗБИ», должностными инструкциями и иными локальными нормативными актами ГК «ОЗБИ», утвержденными в установленном порядке.

1.3. Политика распространяется на персональные данные контрагентов ГК «ОЗБИ» и иных лиц, не являющихся работниками ГК «ОЗБИ» (далее – Субъектов), независимо от формы представления и вида носителя, на котором они зафиксированы.

1.4. Политика является обязательной для исполнения всеми работниками ГК «ОЗБИ», работающими по трудовому договору, заключенному с ГК «ОЗБИ», которые непосредственно осуществляют обработку или имеют доступ к персональным данным Субъектов, а также лицами, осуществляющими обработку или имеющими доступ к персональным данным Субъектов на основании заключенных с ГК «ОЗБИ» договоров, или на иных законных основаниях, в порядке и на условиях, предусмотренных Политикой (далее – Работники).

2. Термины и определения

2.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных): сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи.

2.2. Информация – сведения (сообщения, данные) независимо от формы их представления.

2.3. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

2.4. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.

2.5. Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Субъектов.

2.6. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.7. Организационные мероприятия по защите персональных данных – меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.10. Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео– и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

2.11. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

2.12. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных Субъектов

3.1. Обработка персональных данных Субъектов в ГК «ОЗБИ» осуществляется в целях:

  1. установления договорных отношений с контрагентом путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является Субъект, либо Субъект выступает в качестве единоличного исполнительного органа или представителя контрагента;
  2. проверка контрагента, в т.ч. проверка полномочий единоличного исполнительного органа или представителя контрагента перед подписанием договора в рамках проявления должной осмотрительности;
  3. исполнения договора между ГК «ОЗБИ» и Субъектом как стороной договора или между ГК «ОЗБИ» и контрагентом, в котором Субъект выступает в качестве единоличного исполнительного органа контрагента или представителя.

3.2. Обработка персональных данных в вышеуказанных целях осуществляется в ГК «ОЗБИ» на основе следующих законодательно определенных принципов:

  1. обработка персональных данных должна осуществляться на законной основе;
  2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
  5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  6. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны приниматься необходимые меры по удалению или уточнению неполных или неточных данных;
  7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

4. Состав персональных данных

4.1. Для целей ОЗБИ, указанных в п. 3.1 Политики, Субъект или его представитель могут передать ГК «ОЗБИ» следующие персональные данные Субъекта:

  1. фамилия, имя, отчество;
  2. дата рождения;
  3. место рождения;
  4. паспортные данные: вид документа; серия и номер документа; орган, выдавший документ (наименование, код подразделения); дата выдачи документа;
  5. адрес регистрации места жительства;
  6. адрес фактического места жительства;
  7. возраст и пол;
  8. номер контактного телефона;
  9. адрес электронной почты;
  10. сведения о трудовой деятельности;
  11. данные ИНН;
  12. реквизиты банковского счета, открытого на имя Субъекта.
  13. реквизиты водительского удостоверения и данные свидетельства о регистрации принадлежащего Субъекту транспортного средства;
  14. фотография, в том числе фотография с копии российского паспорта Субъекта.

4.2. Субъектом или его представителем могут быть переданы персональные данные Субъекта, отличные от приведенных в пп. 1-14 п. 4.1., при условии соответствия их содержания и объема заявленным целям обработки.

5. Ответственный за организацию обработки персональных данных

5.1. В соответствии с требованиями ст. 22.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») приказом генерального директора назначаются лица, ответственные за организацию обработки персональных данных в автоматизированных информационных системах ГК «ОЗБИ», в которых обрабатываются персональные данные, так и при обработке персональных данных без использования средств автоматизации (далее — Ответственный за организацию обработки персональных данных).

5.2. Ответственный за организацию обработки персональных данных получает указания непосредственно от генерального директора.

5.3. В соответствии с ч. 4 ст. 22.1 Федерального закона «О персональных данных» Ответственный за организацию обработки персональных данных обязан:

  1. осуществлять внутренний контроль за соблюдением ГК «ОЗБИ», как оператором персональных данных, и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
  2. доводить до сведения работников ГК «ОЗБИ» положения законодательства РФ о персональных данных, локальных актов ГК «ОЗБИ» по вопросам обработки персональных данных, требований к защите персональных данных;
  3. организовывать прием и обработку обращений и запросов Субъектов или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

5.4. На Ответственного за организацию обработки персональных данных возлагается задача по организации выполнения законодательных требований при обработке персональных данных в ГК «ОЗБИ».

5.5. На время отсутствия Ответственного за организацию обработки персональных данных его обязанности исполняет сотрудник, замещающий его по штатному расписанию.

5.6. Ответственными за организацию выполнения требований локальных актов ГК «ОЗБИ» по вопросам обработки персональных данных и их защите в структурных подразделениях ГК «ОЗБИ» являются руководители этих подразделений. На время отсутствия этих руководителей ответственными являются лица, штатно замещающие их.

5.7. Ответственными за выполнение требований локальных актов ГК «ОЗБИ» по вопросам обработки персональных данных и их защите на своих рабочих местах в рамках определенных соответствующими должностными инструкциями являются лица, уполномоченные в установленном порядке обрабатывать в ГК «ОЗБИ» персональные данные.

6. Организация защиты персональных данных в информационных системах

6.1. Для обеспечения безопасности персональных данных, обрабатываемых в информационных системах ГК «ОЗБИ», применяются организационные, технические, программные методы и средства защиты информации.

6.2. Разработку и организацию мероприятий по защите персональных данных в ГК «ОЗБИ» осуществляют: ИТ-отдел, юридический отдел, служба персонала.

6.3. В целях обеспечения безопасности обрабатываемых персональных данных:

  1. разрабатываются положения, регламенты, инструкции и иные локальные акты в ГК «ОЗБИ» по направлениям, связанным с обработкой и защитой персональных данных;
  2. определяются состав и объем организационных мероприятий по защите персональных данных в соответствии с требованиями законодательства РФ;
  3. определяется состав технических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю;
  4. определяется состав криптографических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации;
  5. осуществляется сопровождение и контроль внедрения и эксплуатации средств защиты информации в информационных системах ГК «ОЗБИ»;
  6. осуществляется контроль за соблюдением в ГК «ОЗБИ» норм и требований законодательства РФ по направлениям, связанным с обработкой и защитой персональных данных.

7. Работники, осуществляющие обработку персональных данных

7.1. Состав Работников, осуществляющих обработку персональных данных, определяется руководителем подразделения ГК «ОЗБИ», обрабатывающего персональные данные Субъектов, и утверждается приказом генерального директора.

7.2. Работники, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, положениями и актами ГК «ОЗБИ», определяющими политику в отношении обработки персональных данных.

7.3. С Работниками, непосредственно осуществляющими обработку персональных данных, должны быть в установленном порядке оформлены обязательства о выполнении требований положений и актов ГК «ОЗБИ» по обработке, защите и неразглашении информации ограниченного доступа (далее — Обязательство), а также в трудовых договорах и должностных инструкциях этих работников должны быть оговорены (ссылочным порядком) основные принципы работы с персональными данными.

7.4. Обязательство подлежит оформлению со всеми лицами, осуществляющими обработку персональных данных в ГК «ОЗБИ» или имеющими к ним доступ.

8. Согласие Субъекта персональных данных

8.1. В соответствии с Федеральным законом «О персональных данных» Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных (далее — Согласие) должно быть конкретным, информированным и сознательным.

8.2. Согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения Согласия от представителя Субъекта персональных данных полномочия данного представителя на дачу Согласия от имени Субъекта персональных данных проверяются ГК «ОЗБИ».

8.3. Обработка персональных данных осуществляется только с согласия в письменной форме Субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством РФ. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью.

8.4. Для обработки специальных и (или) биометрических категорий персональных данных наличие Согласия в письменной форме является обязательным за исключением случаев, предусмотренных ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона «О персональных данных».

8.5. Согласие в письменной форме Субъекта персональных данных на обработку его персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона «О персональных данных».

8.6. В случае недееспособности Субъекта персональных данных Согласие данных дает представитель Субъекта персональных данных. В случае смерти Субъекта персональных данных Согласие дают наследники Субъекта персональных данных, если такое Согласие не было дано Субъектом персональных данных при его жизни.

8.7. Согласие Субъектов с указанием конкретной цели обработки может быть включено в текст типовых форм, разрабатываемых соответствующими структурными подразделениями ГК «ОЗБИ», а также в текст договоров и иных соглашений, заключаемых ГК «ОЗБИ» с Субъектом, при условии соблюдения требований п. 8.5. Политики.

8.8. Типовая форма Согласия на обработку персональных данных приведена в Приложениях №№ 1-2 к настоящей Политике.

8.9. Субъект может отозвать свое Согласие. В этом случае ГК «ОЗБИ» вправе продолжить обработку персональных данных без Согласия Субъекта при наличии оснований, указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

8.10. Для отзыва Субъектом своего Согласия ему необходимо оформить письменный запрос (далее — Запрос на отзыв) с обязательным указанием фамилии, имени, отчества, адреса, номера основного документа, удостоверяющего его личность, сведений о дате выдачи указанного документа и выдавшем его органе, подписать его и передать лично или через своего представителя в ГК «ОЗБИ» по местонахождению. Если Запрос на отзыв передается через представителя, то он должен предъявить ГК «ОЗБИ» документ, подтверждающий полномочия этого представителя на право представления соответствующих интересов Субъекта.

8.11. В случае, если персональные данные Субъекта, указанного в Запросе на отзыв, были ранее собраны только с целью оповещения Субъекта с помощью средств связи о новых предложениях и услугах, проводимых акциях и мероприятиях ГК «ОЗБИ», а также проведения маркетинговых исследований, то после получения Запроса на отзыв следует немедленно прекратить оповещение Субъекта и в срок, не превышающий 10 рабочих дней с момента поступления Запроса на отзыв, уничтожить персональные данные Субъекта, отозвавшего свое Согласие, в информационных системах ГК «ОЗБИ», с помощью которых осуществляется оповещение Субъектов.

8.12. В случае отсутствия Согласия Субъекта в соответствии с ч. 2 ст. 15 Федерального закона «О персональных данных» ГК «ОЗБИ» обязано немедленно прекратить обработку персональных данных Субъекта для цели, указанной в п. 8.11. Политики, по требованию Субъекта, выраженному в любой форме.

8.13. В случае, если персональные данные Субъекта, указанного в Запросе на отзыв, были ранее собраны не только с целью, указанной в п. 8.11 Политики, но и для иных целей на основании договорных отношений между ГК «ОЗБИ» и Субъектом, то после получения Запроса на отзыв следует незамедлительно прекратить оповещение Субъекта без уничтожения его персональных данных, необходимых для выполнения договорных обязательств ГК «ОЗБИ» или требований законодательства РФ.

8.14. Оригиналы Запросов на отзыв Согласий Субъектов регистрируются в журнале обращений граждан.

9. Особый порядок сбора и обработки персональных данных Субъектов, поступающих на любой электронный адрес ГК «ОЗБИ», в целях возможного дальнейшего трудоустройства.

9.1. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и предоставляет согласие на обработку таких персональных данных свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано Субъектом путем направления персональных данных на любой электронный адрес ГК «ОЗБИ».

9.2. В случае получения персональных данных Субъекта на электронный адрес ГК «ОЗБИ» обязано информировать Субъекта о том, что направляя информацию, содержащую персональные данные, он подтверждает, что выражают свое полное согласие на обработку представленных ими персональных данных ГК «ОЗБИ» в целях возможного дальнейшего трудоустройства.

10. Доступ Субъектов к персональным данным

10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, объем и содержание которой указаны в ч. 7 ст. 14 Федерального закона «О персональных данных».

10.2. В соответствии с ч. 1 ст. 20 Федерального закона «О персональных данных» ГК «ОЗБИ» обязано сообщить Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с момента получения запроса Субъекта или его представителя.

10.3. Право Субъекта на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона «О персональных данных».

10.4. Выбор формы обращения (запроса) для реализации своего права на получение сведений зависит от воли Субъекта. Информация, касающаяся обработки персональных данных Субъекта, может быть предоставлена субъекту персональных данных или его представителю для ознакомления в случае:

  1. устного обращения к Работникам ГК «ОЗБИ», сопровождающегося обязательным предоставлением основного документа, удостоверяющего личность Субъекта или его представителя, а также документа, подтверждающего полномочия этого представителя;
  2. предоставления запроса в ГК «ОЗБИ», который может быть исполнен как на бумажном носителе (при личном обращении субъекта или его представителя), так и в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ. Запрос должен содержать:
  • номер основного документа, удостоверяющего личность Субъекта или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие Субъекта в отношениях с ГК «ОЗБИ» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом свидетельствующие об обработке персональных данных ГК «ОЗБИ»;
  • подпись Субъекта или его представителя.

10.5. Для реализации своего права на получение информации, касающейся обработки его персональных данных, Субъект, в случае оформления им письменного запроса, должен подписать и передать его лично или через своего представителя по месту нахождения ГК «ОЗБИ».

10.6. В случае получения запроса от представителя Субъекта полномочия данного представителя на подачу запроса от имени Субъекта должны проверяться при приеме запроса.

10.7. В случае отказа в предоставлении информации, касающейся персональных данных о соответствующем Субъекте, ГК «ОЗБИ» обязано дать заявителю в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта или его представителя, либо с момента получения запроса Субъекта или его представителя.

11. Обработка персональных данных Субъекта

11.1. Требования к способам обработки персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

11.2. Обработка персональных данных, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в «Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15.09.2008 г. № 687.

11.3. При разработке типовых форм, содержащих персональные данные, ответственные за разработку этих форм подразделения ГК «ОЗБИ» должны учитывать следующие положения:

  1. фиксация на одном материальном носителе персональных данных субъекта, цели обработки которых несовместимы, не допускается (типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых несовместимы);
  2. типовая форма или связанные с ней документы (инструкция по ее заполнению, реестры, журналы и т.п.) должны содержать следующие сведения:
  • цель обработки персональных данных;
  • наименование и адрес ГК «ОЗБИ»;
  • фамилию, имя, отчество и адрес Субъекта;
  • источник получения персональных данных;
  • сроки обработки персональных данных;
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
  • общее описание используемых ГК «ОЗБИ» способов обработки персональных данных.
  1. в случаях необходимости получения письменного согласия Субъекта на обработку его персональных данных типовая форма должна предусматривать поле, в котором субъект персональных данных может собственноручно поставить отметку о своем согласии на обработку персональных данных: «согласен/не согласен»;
  2. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

11.5. Порядок хранения документов (материальных носителей), содержащих персональные данные, должен предусматривать раздельное, по возможности, хранение документов по соответствующим категориям персональных данных и по целям их обработки, с назначением мест хранения и ответственных за хранение с соблюдением конфиденциальности персональных данных и исключением несанкционированного доступа к ним, а также определением мер контроля обеспечения безопасности персональных данных при хранении их материальных носителей.

11.6. Обработку персональных данных в информационных системах ГК «ОЗБИ», а также обеспечение безопасности этих данных необходимо производить в соответствии с Федеральным законом «О персональных данных», «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Постановлением Правительства РФ от 01.11.2012 г. № 1119, а также иными требованиями, изложенными в подзаконных актах, принятых во исполнение указанного закона.

11.7. Передача персональных данных Субъекта возможна только с согласия Субъекта или в случаях, предусмотренных законодательством РФ. При передаче персональных данных Субъекта ГК «ОЗБИ» должно соблюдать следующие требования:

  1. не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, предусмотренных законодательством РФ;
  2. предупреждать лица, получающие персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.

11.8. Не допускается отвечать на вопросы, связанные с передачей персональных данных Субъекта, по телефону, электронной почте или посредством других средств открытой связи, если это не предусмотрено локальными актами ГК «ОЗБИ» или законодательством РФ.

11.9. Организационные и технические мероприятия, направленные на обеспечение безопасности персональных данных в процессе их обработки, разрабатывает и организует ИТ-отдел, юридический отдел, служба персонала.

12. Прекращение обработки, уточнение, блокирование и уничтожение персональных данных

12.1. В соответствии с Федеральным законом «О персональных данных» в случае выявления неправомерной обработки персональных данных при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных ГК «ОЗБИ» обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса.

12.2. В соответствии с Федеральным законом «О персональных данных» в случае выявления неточных (неполных, устаревших) персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных ГК «ОЗБИ» обязано осуществить блокирование персональных данных, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.

12.3. Решение о блокировании персональных данных соответствующего Субъекта принимает Ответственный за организацию обработки персональных данных.

12.4. Проверку факта неправомерной обработки персональных данных или неточности обрабатываемых персональных данных инициирует и организует Ответственный за организацию обработки персональных данных. Проверка проводится силами специалистов и руководителей подразделений ГК «ОЗБИ», в которых обрабатываются персональные данные, относящиеся к соответствующему Субъекту, с привлечением по необходимости специалистов иных подразделений ГК «ОЗБИ» по распоряжению Ответственного за организацию обработки персональных данных. Результаты проведенной проверки незамедлительно докладываются Ответственному за организацию обработки персональных данных способом и в форме, определенными им в распоряжении или иным порядком.

12.5. Если при обращении Субъекта или его представителя будут обнаружены неточные (неполные, устаревшие) персональные данные, которые можно в присутствии обратившегося и с его согласия оперативно откорректировать, то действия, приведенные в п. 12.4. Политики, допускается не выполнять.

12.6. В соответствии с Федеральным законом «О персональных данных» ОЗБИ обязано прекратить обработку персональных данных и уничтожить персональные данные (либо провести обезличивание) в случае:

  1. достижения цели обработки персональных данных;
  2. утраты необходимости в достижении целей обработки персональных данных;
  3. отзыва Субъектом согласия на обработку его персональных данных.

12.7. В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

12.8. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

12.9. Акт об уничтожении персональных данных должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

12.10. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 12.9. Политики.

12.11. Выгрузка из журнала должна содержать:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

12.12. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом п 12.11. Политики, недостающие сведения вносятся в акт об уничтожении персональных данных.

12.13. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала.

12.15. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

12.16. Уничтожение (либо обезличивание) выполняется в срок, не превышающий 10 рабочих дней с момента наступления события, приводящего к необходимости уничтожения (обезличивания), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между ГК «ОЗБИ» и Субъектом персональных данных, а также если ГК «ОЗБИ» не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

12.17. Уничтожение осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего персональные данные Субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

12.18. Уничтожение достигается путем измельчения на бумагорезательной машине или сожжения (при наличии соответствующего оборудования и помещения). При этом составляется акт, утверждаемый руководителем структурного подразделения, проводившего уничтожение документов. При необходимости уничтожения большого количества документов ГК «ОЗБИ» может воспользоваться услугами специализированных организаций по уничтожению или переработке бумаги. В этом случае к акту уничтожения необходимо приложить накладную на передачу документов, подлежащих уничтожению, в специализированную организацию, а также комиссия, проводящая уничтожение, должна присутствовать при уничтожении документов в специализированной организации.

12.19. Уничтожение полей баз данных ГК «ОЗБИ», содержащих персональные данные Субъекта, выполняется в случаях, установленных в пункте 12.6 по заявке руководителя структурного подразделения, обрабатывавшего персональные данные Субъекта и установившего необходимость их уничтожения:

  • уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных;
  • уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных;
  • уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами;
  • при невозможности осуществления затирания информации на носителях допускается проведение обезличивания путем перезаписи полей баз данных, которые позволяют определить субъекта данными, исключающими дальнейшее определение Субъекта.

12.20. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 12.7. Политики, ГК «ОЗБИ» в соответствии с ч. 6 ст. 21 Федеральным законом «О персональных данных» осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен законодательством РФ.

12.21. Факт отсутствия возможности уничтожения персональных данных по различным причинам докладывается Работником, являющимся ответственным за организацию (выполнение) процедуры уничтожения, Ответственному за организацию обработки персональных данных, который на основании полученного доклада принимает решение об обеспечении уничтожения персональных данных в срок не более чем 6 месяцев или иной срок, установленный федеральными законами. Решение оформляется распорядительным порядком.

12.22. В соответствии с ч. 3 ст. 20 и ч. 3 ст. 21 Федерального закона «О персональных данных» об устранении допущенных нарушений, в результате которых персональные данные были неполными, неточными или неактуальными и подлежали изменению, или об уничтожении персональных данных (в случае неправомерной обработки персональных данных, т е. когда они являются незаконно полученными или не являются необходимыми для заявленной цели обработки), ГК «ОЗБИ» обязано уведомить Субъекта или его представителя.

12.23. ГК «ОЗБИ» также обязано принять разумные меры для уведомления третьих лиц, которым были переданы персональные данные Субъекта в случае, когда с целью устранения допущенных нарушений было необходимо обеспечить изменение переданных персональных данных ввиду их неполноты, неточности или неактуальности.

12.24. Решение о конкретном составе мер, описанных в пп. 12.1. и 12.23. Политики, и об их исполнении принимает Ответственный за организацию обработки персональных данных.

13. Уведомление об обработке персональных данных

13.1. ОЗБИ обязано уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении обработки персональных данных.

13.2. При подготовке уведомления (изменений в уведомление) необходимо руководствоваться официальными рекомендациями уполномоченного органа по защите прав субъектов персональных данных по заполнению образца формы уведомления об обработке персональных данных.

13.3. В соответствии с ч. 7 ст. 22 Федерального закона «О персональных данных» в случае изменения сведений, указанных в уведомлении, ГК «ОЗБИ» обязано уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с момента возникновения таких изменений.

13.4. Необходимость внесения изменений в ранее поданное уведомление в уполномоченный орган по защите прав субъектов персональных данных определяет Ответственный за организацию обработки персональных данных.

14. Ответственность за нарушение норм, регулирующих обработку и безопасность персональных данных

14.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.

15. Опубликование и актуализация Политики

15.1. Политика разрабатывается лицами, ответственными за организацию обработки персональных данных в ГК «ОЗБИ», и вводится в действие после утверждения приказом генерального директора ЗАО «ОЗБИ», решением единственного участника ООО «ТД «ОЗБИ».

15.2. Политика является общедоступным документом ГК «ОЗБИ» и предусматривает возможность ознакомления любых лиц с ее действующей версией путем опубликования в сети интернет по адресу www.ozbi.ru.

15.3. Веб-формы, бланки, типовые формы ГК «ОЗБИ» для сбора персональных данных в обязательном порядке содержат уведомления пользователей об обработке персональных данных в соответствии с Политикой с ссылкой на нее.

15.4. Политика действует бессрочно после утверждения и до ее замены новой версией. ГК «ОЗБИ» имеет право вносить изменения в Политику без уведомления любых лиц. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

15.5. Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу info@ozbi.ru.

16. Сведения о ГК «ОЗБИ»

16.1. ЗАО «ОЗБИ»

Адрес: 127254, г. Москва, Огородный проезд, д. 11, стр. 1

ОГРН 1027739765096, ИНН 7715087411

16.2. ООО «ТД «ОЗБИ»

Адрес: 127254, г. Москва, вн.тер.г.муниципальный округ Бутырский, проезд Огородный, д. 11, стр. 1, этаж 4, кабинет А.400.1

ОГРН 1137746464778, ИНН 7715965190