Политика в отношении обработки персональных данных
1. Общие положения
1.1. Политика Федерального государственного бюджетного учреждения науки Федерального исследовательского центра «Институт биологии южных морей имени А.О. Ковалевского РАН», в том числе Карадагской научной станции им. Т.И. Вяземского — природного заповедника РАН — филиала Федерального государственного бюджетного учреждения науки Федерального исследовательского центра «Институт биологии южных морей имени А.О. Ковалевского РАН» и Научно-исследовательского центра пресноводной и солоноватоводной гидробиологии - филиала Федерального государственного бюджетного учреждения науки Федерального исследовательского центра «Институт биологии южных морей имени А.О. Ковалевского РАН» (далее — Оператор, Учреждение) в отношении обработки персональных данных (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных физических лиц. Политика устанавливает перечень субъектов персональных данных, обрабатываемых Оператором, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.2. Политика разработана в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных») и рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г. «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном ФЗ «О персональных данных».
1.3. Основные понятия, используемые в Политике:
1.3.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.3.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение:
— использование;
— Передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение.
1.3.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.3.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.3.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.3.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.3.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.3.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.9. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3.10. Права Оператора:
Оператор вправе:
— осуществлять обработку персональных данных субъектов персональных данных в объеме, необходимом для достижения целей обработки персональных данных, предусмотренной настоящей Политикой;
— увеличить, предусмотренный пунктом 3 статьи 14 ФЗ «О персональных данных», срок предоставления субъекту персональных данных сведений (в соответствии с пунктом 7 статьи 14 ФЗ «О персональных данных»), но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
— отказать субъекту персональных данных в выполнении повторного запроса сведений, предусмотренных пунктом 7 статьи 14 ФЗ «О персональных данных»; не соответствующего условиям, предусмотренным пунктами 4 и 5 статьи 14 ФЗ «О персональных данных». Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные пунктом 5 статьи 18 и статьи 18.1 ФЗ «О персональных данных», обязанность по запросу Оператора персональных данных в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 ФЗ «О персональных данных», обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных», в том числе требование об уведомлении Оператора о случаях, предусмотренных пунктом 3.1 статьи 21 ФЗ «О персональных данных». В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных пунктом 2 статьи 10 ФЗ «О персональных данных»;
— передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
1.3.11. Обязанности Оператора:
а) на основании запроса субъекта персональных данных Оператор обязан предоставить ему информацию, касающуюся обработки его персональных данных, в том числе содержащую:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Оператором способы обработки персональных данных;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании ФЗ «О персональных данных»;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
Если в соответствии с ФЗ «О персональных данных» предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
— наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
— цель обработки персональных данных и ее правовое основание;
— перечень персональных данных;
— предполагаемые пользователи персональных данных;
— установленные ФЗ «О персональных данных» права субъекта персональных данных;
— источник получения персональных данных.
Оператор освобождается от обязанности предоставить субъекту персональных данных вышеперечисленные сведения в случаях, если:
— субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
— персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 ФЗ «О персональных данных»;
— Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, творческой, либо научной деятельности, если:
— при этом не нарушаются права и законные интересы субъекта персональных данных;
— предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц;
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
1.4. Права субъектов персональных данных:
Субъект персональных данных вправе:
— получать сведения, указанных в пункте 1.5 настоящей Политики;
— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— обжаловать действия (бездействия) Оператора в уполномоченном органе по защите прав субъектов или в судебном порядке, если субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы;
— Защищать свои права и законные интересы, в том числе имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
2. Принципы и цели обработки персональных данных
2.1. Принципы обработки персональных данных.
Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется Оператором на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
— при обработке персональных данных обеспечиваются точность персональных персональных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
— персональные данные хранятся до достижения цели обработки персональных данных, либо до получения отзыва согласия на обработку персональных данных.
2.2. Цели обработки персональных данных.
Персональные данные обрабатываются Оператором в целях:
— обеспечения соблюдения Конституции Российской Федерации законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
— обеспечения прав субъектов персональных данных — работников Оператора и реализация прав Учреждения, предусмотренных трудовым, налоговым и MHBIM законодательством;
— осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти Российской Федерации, локальных нормативных актов оператора;
— подготовки, заключения, исполнения и прекращения договоров с контрагентами;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными нормативными актами Оператора;
— виных законных целях.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Кодекс Российской Федерации об административных правонарушениях:
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 27.07.2006 № 152—ФЗ «О персональных данных»;
— Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
— Приказ ФСБ России от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных
(криптографических) средств»;
— Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— иные нормативные правовые акты Российской Федерации.
— устав Учреждения;
— договоры, заключаемые между Оператором и субъектами персональных данных;
— согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки персональных данных, предусмотренным в пункте 2.2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорийсубъектов персональных данных:
4.2.1. Кандидаты для приема на работу к Оператору — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество;
— пол;
— гражданство;
— дата и место рождения;
— контактные данные:
— сведения об образовании, опыте работы, квалификации;
— иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора — для целей исполнения трудового
законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество;
— пол;
— гражданство;
— дата и место рождения;
— паспортные данные;
— адрес регистрации по месту жительства;
— адрес фактического проживания:
— контактные данные:
— индивидуальный номер налогоплательщика;
— страховой номер индивидуального лицевого счета (СНИЛС);
— сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
— семейное положение, наличие детей, родственные связи;
— сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
— данные о регистрации брака;
— сведения о воинском учете;
— сведения об инвалидности;
— сведения об удержании алиментов;
— сведения о доходе с предыдущего места работы:
— иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора — для целей исполнения трудового
законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество;
— степень родства;
— год рождения;
— иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица) — для целей осуществления своей деятельности в соответствии с уставом Учреждения, осуществления пропускного режима:
— фамилия, имя, отчество;
— дата и место рождения;
— паспортные данные;
— адрес регистрации по месту жительства;
— контактные данные;
— замещаемая должность;
— индивидуальный номер налогоплательщика;— Номер расчетного счета;
— иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) — для целей осуществления своей деятельности в соответствии с уставом Учреждения, осуществления пропускного режима:
— фамилия, имя, отчество;
— паспортные данные:
— контактные данные;
— замещаемая должность;
— иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Оператором не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его ЛИЧНОСТЬ) в соответствии с законодательством Российской Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
5. Порядок и условия обработки персональных данных
5.1. Условия обработки персональных данных Оператором.
Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных».
Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, в должностные обязанности которых входит обработка персональных данных, с передачей по внутренней сети юридического лица, с передачей по сети «Интернет». Перечень лиц, имеющих доступ и непосредственно допущенных кработе с персональными данными, утверждается директором Учреждения.
5.2. Перечень действий с персональными данными и способы их обработки
Оператор осуществляет смешанную обработку персональных данных с передачей по внутренней сети Учреждения и по сети «Интернет», включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.3. Способы обработки персональных данных
Обработка персональных данных Оператором выполняется с использованием средств автоматизации или без использования таких средств. Обработка персональных данных бумажных носителях ив электронном виде (файлы, базы данных) на электронных носителях информации.
5.4. Меры, принимаемые Оператором для обеспечения выполнения обязанностей Оператора при обработке персональных данных
Меры, необходимые и достаточные для обеспечения выполнения Учреждением обязанностей Оператора, предусмотренных законодательством Российской Федерации в области защиты персональных данных, включают:
— назначение лица, ответственного за организацию обработки персональных данных в Учреждении;
— в принятие внутренних организационно-распорядительных и иных документов в области обработки и защиты персональных данных;
— публикация или обеспечение иным образом неограниченного доступа к настоящей Политике;
— организацию обучения и проведение методической работы с работниками Учреждения, в должностные обязанности которых входит обработка персональных данных, с передачей по внутренней сети юридического лица, с передачей по сети «Интернет»;
— получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
— обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
— обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
— установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, сети передачи данных Учреждения исети Интернет без применения мер по обеспечению безопасности персональных данных;
— хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
— осуществление внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных», и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, внутренним нормативным документам Учреждения;
— оценка вреда в соответствии с требованиями, установленными уполномоченным последнего;
— прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации;
— иные действия и меры, предусмотренные законодательством Российской Федерации в области персональных данных.
Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с внутренними нормативными документами Учреждения, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения и включают:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленный уровень защищенности персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
— оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации
— и учета всех действий, совершаемых с персональными данными в информационной
— контроль за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
6. Актуализация, исправление, сроки хранения, удаление и уничтожение
персональных данных, ответы на запросы субъектов на доступ к персональным
данным
6.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных при обращении субъекта персональных данных или ег о представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. Оператор обязан прекратить обработку персональных данных:
— в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором в срок, не превышающий 3 рабочих дней с даты этого выявления;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
— в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных;
— ликвидация Оператора.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен Федеральными законами.
6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
— в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
— в течение 72 часов о результатах внутреннего расследования выявленного инцидента, атакже предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных ФЗ «О персональных данных».
Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
6.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
6.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
— на бумажном носителе — уничтожаются путем измельчения в шредере с последующим сжиганием;
— в электронном виде — стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
7. Ответственность
7.1. Ответственность за соблюдение настоящей Политики возлагается на работников, осуществляющих обработку персональных данных.
7.2. Контроль за исполнением требований настоящей Политики в Учреждении возлагается на держателя документа.
8. Управление Политикой
8.1. Настоящая Политика, изменения и дополнения к ней утверждаются директором Учреждения или иным уполномоченным в установленном порядке лицом.
8.2. Ответственность за поддержание настоящей Политики в актуальном состоянии несет держатель документа.
8.3. Настоящая Политика подлежит обязательной рассылке всем работникам Учреждения.
Приложения:
1. Типовые запросы субъектов персональных данных, сроки их рассмотрения, а также типовые действия Оператора в ответ на обращения субъектов персональных данных, их представителей.
2. Типовая форма бланка запроса субъекта на получение информации о его персональных данных.
3. Типовая форма бланка отзыва согласия на обработку персональных данных субъекта персональных данных.
4. Типовая форма бланка запроса на блокирование/удаление/уточнение персональных данных.
