Политика конфиденциальности

Общество с ограниченной ответственностью «АСБ Групп»
(Полное наименование оператора)

Приказ об утверждении Положения о защите и обработке персональных данных

« 06»  мая  2022г.                                                   № 5

В целях исполнения положений п.2 ч.1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1. Утвердить Положение о защите и обработке персональных данных посетителей веб-сайтов https://cyberrlaw.ru и кибер-право.рф.

2. Посетители руководствуются положениями настоящей Политики.

3. Контроль за исполнением настоящего приказа возложить на Ответственного за организацию обработки персональных данных.

Руководитель     
 (должность) (личная подпись) (расшифровка подписи)

УТВЕРЖДЕНО

   Приказом директора

ООО АСБ ГРУПП

от 06.05.2022г.    № 5

ПОЛОЖЕНИЕ

О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

(ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ)

 

 

                                  Термины и определения

 

Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого.

Безопасность – состояние защищенности жизненно важных интересов пользователей/клиентов от внутренних и внешних угроз.

Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.

Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации (персональных данных), в том числе её передачи.

Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевым адресам https://cyberrlaw.ru и кибер-право.рф.

Доступ к информации – возможность получения информации и ее использования.

Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития пользователей/клиентов

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных — действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Модель угроз – описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение информации – действия, в результате которого невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители информации.

Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

           

1.Общие положения

 

1.1. Положение о защите и обработке персональных данных (далее — Положение) регулирует порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных Оператором в отношении субъектов персональных данных (посетителей/клиентов) веб-сайтов https://cyberrlaw.ru и кибер-право.рф.

1.2. Положение основано на нормах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), Постановлений Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3. Целями данного Положения являются:

– обеспечение защиты прав и свобод посетителей/клиентов при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

– определение порядка обработки персональных данных субъектов персональных данных (далее — Оператор).

1.4. Оператор персональных данных несет ответственность за нарушение режима защиты, обработки и порядка использования этой информации: гражданскую, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации. Физические лица, в дополнение к вышеперечисленным, несут и уголовную ответственность.

1.5. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует до отзыва клиентами/посетителями. Изменения в Положение осуществляется приказами Оператора.

1.6. Работники Оператора получают доступ к персональным данным в объеме, необходимым им для выполнения служебных обязанностей, и в обязательном порядке должны ознакомиться с настоящим Положением под роспись для последующего его исполнения.

1.7. Юридические основаниями обработки персональных данных Оператором являются:

– договоры, заключаемые между оператором и субъектом персональных данных;

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия пользователей\клиентов на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения;

— международные соглашения, директивы и конвенции в области защиты и охраны персональных данных (конфиденциальной информации);

                   2. Перечень обрабатываемых персональных данных

 

2.1 Категории субъектов персональных данных и цели обработки данных Оператором:

— Персональные данные контрагентов (клиентов/посетителей);

2.2. Цели обработки персональных данных клиента/посетителя:

— Оказание услуг

— Адресация клиенту рекламы;

— Участие клиентов/посетителей в программе лояльности;

— Опубликование сведений о посетителях (клиентах) на сайте/в печати;

— Продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

— Для обратной связь с Оператором для разъяснения информации, предоставленной на веб-сайте. Оператор вправе направлять пользователям/клиентам уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@zaregznak.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

2.3. Оператор как с помощью средств автоматизации, так и без использования таких средств обрабатывает следующие категории персональных данных посетителей (клиентов): фамилия, имя, отчество; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; банковские реквизиты счета клиентов/посетителей и обезличенных данных о посетителях/клиентах (в т.ч. файлов «cookie») и с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

2.4. Оператор вправе обрабатывать персональные данные пользователей/клиентов по факту заполнения и/или отправки пользователями/клиентами самостоятельно через специальные формы, расположенные на сайтах https://cyberrlaw.ru и кибер-право.рф или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой

2.5. Оператор вправе обрабатывать обезличенные данные о пользователях/клиентах в случае, если это разрешено в настройках браузера пользователей/клиентов (включено сохранение файлов «cookie» и использование технологии JavaScript).

                  3. Принципы обработки персональных данных

 

3.1. Обработка персональных данных осуществляется на основе принципов:

— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— обработки только персональных данных, которые отвечают целям их обработки;

— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

— сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.

3.2. Распространение персональных данных осуществляется исключительно в рамках данного субъектом персональных данных согласия и в соответствии с установленными им запретами.

3.3. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

                4.Порядок сбора и хранения персональных данных

4.1. При осуществлении сбора персональных данных Оператор по требованию субъекта персональных данных предоставляет информацию о:

1) факте обработки персональных данных оператором;

2) правовых основаниях и целях обработки персональных данных;

3) целях и применяемых оператором способах обработки персональных данных;

4) наименовании и месте нахождения оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроках обработки персональных данных, в том числе сроки их хранения;

7) порядке осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иных сведениях, предусмотренных Законом или другими федеральными законами.

4.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.

Контрагенты (клиенты) передают персональные данные при заключении договора, данные подлежат хранению в течение срока исполнения договорных обязательств и/или в сроки, установленные законодательством.

5.Случаи передачи персональных данных третьим лицам и распространения персональных данных

 

5.1. По общему правилу, передача персональных данных субъекта третьим лицам без его письменного согласия не допускается. Исключением являются случаи, установленные федеральным законодательством.

5.2. Недопустима передача персональных данных субъекта в коммерческих целях без его письменного согласия. Продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи возможно исключительно с его предварительного согласия.

5.3. Оператор распространяет персональные данные только в соответствии с данным на то согласием субъекта персональных данных и с соблюдением установленных им запретов. Если из данного субъектом согласия не следует, что персональные данные разрешены к распространению, распространение не производится.

5.4. Публикация информации об условиях обработки, об установленных субъектом персональных данных запретах обработки, и о наличии запретов и условий на обработку персональных данных неограниченным кругом лиц осуществляется Оператором в течение трех рабочих дней.

5.5. Лица в силу необходимости исполнения должностных обязанностей, получающие доступ к персональным данным, до получения доступа ознакомляются с локальными нормативными актами Оператора, устанавливающими порядок обработки и режим конфиденциальности персональных данных.

5.6. Рассмотрение запросов субъектов персональных данных, направленных в порядке ст. 14 Закона осуществляются в соответствии с Правилами рассмотрения запросов субъектов персональных данных (их представителей), утвержденных Оператором.

                6.Трансграничная передача персональных данных

 

6.1.Оператор вправе осуществлять трансграничную передачу персональных данных;

6.2. Технические средства, задействованные для обработки персональных данных (рабочие станции и сервера), находящиеся вне пределов Российской Федерации.

                             7.Защита персональных данных

 

7.1.Обеспечение безопасности персональных данных при их обработке подразумевает принятие Оператором организационных и технических мер на веб-сайтах https://cyberrlaw.ru и кибер-право.рф для защиты персональных данных, необходимых для выполнения требований к защите персональных данных (уровней защищенности), установленных Постановлением Правительства РФ от 1 ноября 2012 № 1119.

7.2. Оператором разработана Модель угроз ИСПДн, составлен акт классификации ИСПДн. На их основании для ИСПДн сформировано Техническое задание на систему защиты информации, куда внесены организационные и технические меры, которые необходимо осуществить для нейтрализации актуальных угроз и выполнения требований действующего законодательства по защите персональных данных установленного уровня защищенности.

7.3. Защита персональных данных при неавтоматизированной их обработке производится в соответствии с порядком и на условиях, установленных Оператором в рамках настоящего Положения.

7.4. Защита персональных данных при их обработке в информационной системе персональных данных (далее — ИСПДн) производится в соответствии с положениями Политики информационной безопасности, Инструкции администратора безопасности ИСПДн, Инструкции пользователя ИСПДн и другими внутренними документами Оператора по защите информации.

7.5. Приказом Оператора сформирована группа реагирования на инциденты информационной безопасности (ГРИИБ).

        8. Порядок уничтожения и блокирования персональных данных

 

8.1. В случае достижения целей обработки, либо отзыва согласия на обработку персональных данных, и при условии отсутствия оснований в законодательстве, требующих продолжения обработки персональных данных, а также при поступлении от субъекта персональных данных требования прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, Оператор производит уничтожение персональных данных. Срок уничтожения ограничен 30 (тридцатью) днями с даты наступления указанных обстоятельств. Прекращение передачи персональных данных осуществляется немедленно при поступлении требования субъекта персональных данных.

82. Оператором сформирована комиссия по уничтожению персональных данных на бумажных носителях, состав которой утвержден приказом Оператора. Уничтожение персональных данных подлежит осуществлению по форме, установленной Оператором.

8.3. Удаление персональных данных из используемых Оператором ИСПДн производится путем стирания записи в базах данных по запросу субъекта или при достижении целей обработки персональных данных.

8.4. В случае поступления обращения субъекта персональных данных о выявлении недостоверности обрабатываемых данных, неправомерных операций в отношении его данных, производится временное блокирование персональных данных на период проверки.

8.5. Временное прекращение операций по обработке персональных данных (блокирование) должно осуществляться по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

9. Получение согласий на обработку персональных данных от субъектов персональных данных (их представителей)

 

9.1.Обработка персональных данных контрагентов (клиентов) не требует получения от них дополнительного согласия, так как обработка их данных производится в соответствии с п.5 ч.1 ст. 6 Закона.

9.2. Получение согласий с контрагентов (клиентов) производится в случаях:

— адресации клиенту рекламы;

— участия клиента в программе лояльности;

— опубликования сведений о клиентах/посетителях;

                        10. Доступ к персональным данным

 

10.1. Доступ работникам Оператора к персональным данным предоставляется исключительно для цели исполнения ими своих трудовых функций.

10.2. Допуск работников к персональным данным осуществляется в соответствии с Положением о разграничении прав доступа к информационной системе. На основании его, а также данных, предоставляемых руководителями подразделений Оператора, Руководством Оператора осуществляется допуск работников к обработке персональных данных.

10.3. Условием допуска работников Оператора является ознакомление с настоящим Положением, инструкцией пользователя ИСПДн, иными локальными нормативными актами Оператора относительно обработки персональных данных, а также подписание Обязательства о неразглашении персональных данных.

10.4. Обнаружение нарушений обработки персональных данных является основанием для приостановки обработки. При обнаружении нарушений проводятся мероприятия, направленные на устранение причин нарушений. 10.5. Решение о приостановке обработки может быть принято руководством Оператора, Администратором безопасности информации и/или Ответственным за организацию обработки персональных данных.

10.6. Допуск иных лиц, не указанных в Перечнях лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы персональных данных, к персональным данным возможен только на основании приказа руководства Оператора.

11. Обработка запросов субъектов персональных данных о доступе к обрабатываемым данным

 

11.1.В соответствии с требованиями ст. 20 Закона Оператор предоставляет субъектам персональных данных бесплатный доступ к относящимся к ним данным, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, контрразведывательной и разведывательной деятельности, в целях обороны страны, безопасности государства и охраны правопорядка, а также в иных случаях, предусмотренных федеральным законодательством.

11.2. Доступ субъекта (его представителя) к персональным данным осуществляется по запросу к Оператору, содержащему паспортные данные субъекта персональных данных, сведения, подтверждающие участие субъекта в отношениях с Оператором. Запрос оформляется в бумажной или электронной форме, подписывается собственноручно субъектом персональным данных (его представителем) или квалифицированной электронной подписью субъекта персональных данных (его представителя).

11.3. Форма предоставления информации субъекту персональных данных должна быть доступной для понимания, и не содержать персональные данные, относящиеся к другим субъектам.

11.4. Поступившие запросы от субъекта персональных данных, касающиеся выявления им факта обработки неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор рассматривает и удовлетворяет.

11.5. Работа с запросами субъектов персональных данных производится в соответствии с утвержденными Оператором «Правилами рассмотрения запросов субъектов персональных данных (их представителей)».

                     12. Права субъектов персональных данных

 

12.1. Субъект персональных данных имеет право на получение следующей информации:

1) подтверждение факта обработки персональных данных Оператором;

2) о правовых основаниях и целях обработки персональных данных;

3) о целях и применяемых оператором способах обработки персональных данных;

4) о наименовании и месте нахождения оператора, сведений о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6)    сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

12.2. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях:

1) обработки персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, а также в целях обороны страны, безопасности государства и охраны правопорядка;

2) если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

12.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

 

                           13. Права и обязанности Оператора

 

13.1. Обработка персональных данных осуществляется в соответствии с Законом в законных и обоснованных целях. Оператор вправе предоставлять персональные данные третьим лицам при наличии добровольного информированного согласия субъекта персональных данных, или если это предусмотрено действующим законодательством.

13.2. По факту обнаружения недостоверных персональных данных или неправомерных действий с ними Оператор обязан отреагировать на выявленные нарушения в порядке ст. 21 Закона, в том числе в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.

13.3. Оператор в порядке рассмотрения запросов субъектов персональных данных обязан предоставлять им возможность бесплатного ознакомления с относящимися к ним персональным данным в доступной форме в соответствии с Правилами рассмотрения запросов субъектов персональных данных и законодательством Российской Федерации.

13.4. При обнаружении неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан провести актуализацию персональных данных, уничтожить или блокировать их, уведомить о своих действиях субъекта персональных данных.

13.5. Оператор обязуется не принимать на основании исключительно автоматизированной обработки данных решения, порождающие юридические последствия в отношении субъектов персональных данных, или иным образом затрагивающие их права и законные интересы без получения от них соответствующего письменного добровольного информированного согласия.

                  14. Права и обязанности работников Оператора

 

14.1. Работники Оператора перед получением доступа к персональным данным обязаны ознакомиться с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, подписать соглашение о неразглашении персональных данных.

14.2. Работник Оператора имеет право:

— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

—  определять своих представителей для защиты своих персональных данных;

— заявлять требования об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона;

— на обжалование в суде любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.

— получать и осуществлять ввод вводить информации в соответствии с его полномочиями;

— заявлять требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

14.3. Обязанности работника:

— своевременно сообщать Оператору актуальные персональные данные в случае их изменения, сообщать об обнаружении ошибок или неточностей в них.

— предоставлять Оператору документы, содержащие достоверные персональные данные в случаях, установленных Трудовым кодексом РФ;

14.4. В части обработки персональных данных иных субъектов:

— соблюдать режим конфиденциальности;

— не допускать передачи персональных данных субъекта третьей стороне без его письменного согласия (в том числе и в коммерческих целях), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, и невозможно получить на передачу согласие, а также в случаях, установленных федеральным законом;

— разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

— не запрашивать у субъектов дополнительные персональные данные, за исключением тех, которые необходимы для достижения целей обработки персональных данных.

15. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

 

15.1. Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными граждан, привлекаются к гражданской,дисциплинарной,  административной, уголовной  ответственности за нарушение режима защиты, обработки и порядка использования этих персональных данных.

15.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку персональных данных субъекта, несут гражданско-правовую, дисциплинарную, административную, уголовную ответственность, предусмотренную федеральным законодательством.

15.3. При возникновении инцидента, повлекшего нарушение конфиденциальности, целостности или доступности персональных данных по вине должностных лиц Оператора, и если это повлекло за собой какие-либо финансовые потери для Оператора, виновные должностные лица обязаны возместить причиненный ущерб.

15.4. Неправомерность обработки персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных.

Должностные лица Оператора, получающие доступ к персональным данным, дополнительно несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации.

                                                     * * * *