Главная / Политика обработки персональных данных

Персональные данные

ПОЛИТИКА
обработки персональных данных
в ОАО «Промагролизинг»

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика обработки персональных данных в ОАО «Промагролизинг» (далее – Политика) является локальным правовым актом ОАО «Промагролизинг» (далее – Общество) и определяет правовые основания, цели, условия и способы обработки Обществом персональных данных, категории субъектов персональных данных и их права, сроки обработки и хранения персональных данных, а также реализуемые в Обществе требования к защите персональных данных в целях обеспечения информационной безопасности Общества.

2. Настоящая Политика разработана в соответствии с требованиями:
Конституции Республики Беларусь;

Трудового кодекса Республики Беларусь;
Банковского кодекса Республики Беларусь;
Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон);
Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
Закона Республики Беларусь от 30 июня 2014 г. № 165-3 «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения»;
иных нормативных правовых актов Республики Беларусь в области защиты персональных данных

3. Настоящая Политика является основой для организации работы по обработке и защите персональных данных в Обществе, в том числе разработки локальных правовых актов Общества (далее – ЛПА), регламентирующих процесс обработки и защиты персональных данных.

4. В настоящей Политике используются следующие термины и определения:

  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники и программного обеспечения, входящих в состав информационных систем Общества;
  • биометрические персональные данные – информация, характеризующая физиологические и биологические особенности работника Общества или иного физического лица, которая используется для его уникальной идентификации (отпечатки пальцев рук, его изображение и др.);
  • блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных – любое действие или совокупность действий, совершаемых с персональными данными работников Общества или иных физических лиц, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
  • общедоступные персональные данные – персональные данные, распространенные самим работником Общества или иным физическим лицом, либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
  • оператор – Общество, которое самостоятельно или совместно с лицами, указанными в Законе, организует и (или) осуществляет обработку персональных данных;
  • предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
  • распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
  • специальные персональные данные – персональные данные, касающиеся политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, привлечения к административной или уголовной  ответственности, а также биометрические персональные данные;
  • субъект персональных данных – работник Общества или иное физическое лицо, в отношении которого Общество осуществляет обработку персональных данных;
  • трансграничная передача персональных данных – передача Обществом персональных данных на территорию иностранного государства;
  • удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных системах Общества, содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

Иные термины, применяемые в настоящей Политике и не нашедшие в ней своего определения, используются в значениях, закрепленных в Законе, иных актах законодательства и ЛПА.

5. Настоящая Политика распространяется на организацию и осуществление Обществом обработки персональных данных в качестве оператора, в том числе с привлечением уполномоченного лица.

ГЛАВА 2
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. Общество осуществляет обработку персональных данных, которые необходимы в следующих целях: 

  • формирования коллегиальных органов управления Обществом и контрольных органов управления Обществом, назначения должностных лиц;
  • осуществления лизинговых и иных операций (сделок); 
  • заключения (совершения), исполнения, изменения и прекращения гражданско-правовых и иных договоров;
  • осуществления Обществом административно-хозяйственной деятельности;
  • предоставления установленной законодательством, государственными органами отчетности, в том числе статистической, пруденциальной, которая содержит персональные данные;
  • формирования аналитических и справочных материалов, ведения баз данных для внутреннего информационного обеспечения деятельности Общества;
  • осуществления разработки, модификации, настройки, технической поддержки (сопровождения) компонентов информационных систем Общества;
  • проведения аудита деятельности Общества, его бухгалтерской (финансовой) и иной отчетности (документации); 
  • хранения и учета документов в соответствии с законодательством в сфере архивного дела и делопроизводства;
  • реализации трудовых и иных связанных с ними отношений;
  • проведения практики (производственного обучения) студентов, магистрантов и иных лиц учебных заведений;
  • идентификации и (или) аутентификации контрагентов, их представителей, бенефициарных собственников (владельцев) и иных связанных с ними лиц;
  • проведения мероприятий по проверке потенциальных и текущих контрагентов Общества; 
  • привлечения, подбора, проверки кандидатов на трудоустройство в Общество, дочерние хозяйственные общества;
  • выявления и ведения учета аффилированных лиц, инсайдеров Общества и взаимосвязанных с ними лиц, в т.ч. дочерних хозяйственных обществ;
  • определения и ведения учета лиц, участвующих в коллегиальных органах управления Обществом и контрольных органах управления Обществом, а также юридических лиц, созданных с участием Общества;
  • осуществления коммуникаций с субъектами персональных данных, в том числе с использованием удаленных каналов связи, для предоставления лизинговых услуг, направления (предоставления) уведомлений (сообщений, предложений, запросов) справочно-информационного, претензионного и другого характера;
  • организации рассмотрения и ведения делопроизводства по обращениям граждан, в том числе индивидуальных предпринимателей, и юридических лиц;
  • ведения воинского учета военнообязанных;
  • организации добровольного страхования медицинских расходов, добровольного страхования дополнительной пенсии, добровольного страхования жизни, иных видов добровольного страхования;
  • начисления и выплат заработной платы, иных выплат, а также подготовки и оформления справок о заработной плате; 
  • предоставления сведений в банки для оформления банковских платежных карточек и перечисления на них заработной платы, иных выплат;
  • применения налоговых вычетов, исчисления и уплаты предусмотренных законодательством налогов, сборов (пошлин), иных обязательных платежей;
  • обеспечения безопасности функционирования Общества, пропускного и внутриобъектового режима в зданиях (помещениях) Общества, в том числе арендованных;
  • размещения на корпоративном сайте Общества в глобальной компьютерной сети Интернет, в помещениях зданий Общества, в средствах массовой информации, на рекламных площадках в объеме, предусмотренном ЛПА и/или в объеме, необходимом для использования в рекламных и маркетинговых целях;
  • проведения Обществом акций, опросов, исследований, иных аналогичных мероприятий;
  • оформления документов, необходимых для организации и проведения культурно-массовой и физкультурно-оздоровительной работы, организации оздоровления, досуга субъектов персональных данных, а также передачи необходимых сведений (в том числе персональных данных) для указанных целей в первичную профсоюзную организацию ОАО «Промагролизинг» Белорусского профессионального союза банковских и финансовых работников;
  • обращения в суд, правоохранительные и контролирующие (надзорные) органы, нотариат, органы принудительного исполнения судебных постановлений и иных исполнительных документов, к другим уполномоченным органам (организациям, лицам) за защитой и реализацией своих прав и законных интересов;
  • предоставления информации по запросам уполномоченных органов (организаций, лиц) или в силу требований законодательства;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
  • разработки, модификации программного обеспечения, используемого в Обществе;
  • в иных не противоречащих законодательству целях.

Цель обработки персональных данных может быть конкретизирована в согласии субъекта персональных данных.

7. Обработка персональных данных, в том числе специальных, осуществляется после получения Обществом согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона, а также когда согласие на обработку персональных данных в соответствии с законодательством не требуется.

8. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством.

9. Согласие субъекта персональных данных может быть получено как в письменной форме, так и в виде электронного документа или в иной электронной форме, позволяющей идентифицировать субъекта персональных данных.
В случае изменения заявленных целей обработки персональных данных Общество обязано получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.

10. Обработка персональных данных без согласия субъекта персональных данных осуществляется Обществом в следующих случаях:

  • при получении персональных данных Обществом на основании договора, заключенного (заключаемого) с субъектом персональных данных, не являющимся работником Общества, в целях совершения действий, установленных этим договором;
  • при обработке персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
  • когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
  • при реализации норм законодательства о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
  • для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
  • при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности работников Общества в случаях, предусмотренных законодательством;
  • в целях назначения и выплаты пенсий, пособий;
  • для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
  • для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
  • в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
  • в иных случаях, когда законодательные акты прямо предусматривают обработку персональных данных без согласия субъекта персональных данных.

 

ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11. В Обществе обрабатываются персональные данные следующих категорий субъектов:

  • работников, в т.ч. числе бывших работников, кандидатов на трудоустройство, Общества и его дочерних и зависимых хозяйственных обществах, а также их близких родственников (супруг (супруга), родители, дети, усыновители, усыновленные, родные братья и родные сестры, дед, бабка, внуки);
  • физических лиц, включая лиц, состоящих с ними в браке, находящихся с ними в близком родстве или свойстве (полностью дееспособных родителях, детях, родных братьях (сестрах), деде, бабке, внуках, а также супруге и приведенных близких родственниках супруга (супруги)), являющихся аффилированными лицами, инсайдерами и взаимосвязанными с ними лицами Общества и его дочерних и зависимых хозяйственных обществ;
  • работников юридических лиц, являющихся контрагентами (в т.ч. потенциальными и бывшими), акционерами, аффилированными лицами этих лиц;
  • студентов и иных лиц, проходящих (проходивших) в Обществе практику;
  • физических лиц, с которыми Общество заключило (планирует заключить) гражданско-правовые договоры; 
  • представителей контрагентов Общества; 
  • физических лиц, направляющих (направивших) в адрес Общества обращения граждан, а также заявления, жалобы, ходатайства, иные документы, не являющиеся обращениями граждан; 
  • посетителей Общества, в том числе приглашенных гостей, участников мероприятий (образовательные, консультационные и др.); 
  • членов (кандидатов в члены, лиц, ранее занимавших должности), участвующих в коллегиальных органах управления и контрольных органах управления Обществом и его дочерних и зависимых хозяйственных обществах;
  • пользователей (посетителей) сайта Общества в глобальной компьютерной сети Интернет; 
  • иных субъектов персональных данных для обеспечения реализации целей обработки персональных данных, указанных в главе 2 настоящей Политики.

 

ГЛАВА 4
ПОРЯДОК И СРОКИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

12. Общество для обеспечения выполнения обязанностей оператора при осуществлении обработки персональных данных:

  • формирует систему управления и обеспечивает процесс обработки персональных данных в соответствии с требованиями законодательства, в том числе посредством принятия ЛПА в области защиты персональных данных;
  • принимает правовые, организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства и ЛПА от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий;
  • определяет уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе, приказом генерального директора, либо лица им уполномоченного;
  • предоставляет субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных, разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;
  • получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда в соответствии с законодательством не требуется предоставление согласия субъекта персональных данных;
  • публикует или иным образом обеспечивает неограниченный доступ, в т.ч. с использованием глобальной компьютерной сети Интернет, субъектам персональных данных к настоящей Политике;
  • сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии в Обществе персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
  • принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
  • осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и ЛПА в области защиты персональных данных, в том числе требованиями к защите персональных данных, а также организует их обучение; 
  • прекращает обработку и осуществляет удаление персональных данных в случаях, предусмотренных законодательством в области защиты персональных данных. При отсутствии технической возможности удаления персональных данных принимает меры по недопущению их дальнейшей обработки, включая их блокирование; 
  • осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
  • незамедлительно уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
  • осуществляет методическое руководство проведением мероприятий по защите персональных данных Обществом, и его дочерними хозяйственными обществами;
  • совершает иные действия, предусмотренные законодательством в области персональных данных.

13. В процессе обработки персональных данных Общество для достижения целей, определенных в главе 2 настоящей Политики, вправе осуществлять любое действие или совокупность действий, совершаемые с персональными данными, включая их сбор (получение, в т.ч. получение изображений путем фотографирования/видеосъемки/сканирования), хранение (запись, в т.ч. на машинные носители информации), систематизацию (обобщение), изменение (уточнение, обновление), использование, обезличивание, блокирование, распространение (передачу), предоставление, удаление (уничтожение).

14. Обработка персональных данных осуществляется следующими способами:

  • без использования средств автоматизации (личные дела, картотеки, списки, журналы и др.);
  • с использованием средств автоматизации, в том числе посредством передачи полученной информации по информационно-телекоммуникационным сетям;
  • обработка персональных данных как с использованием средств автоматизации, так и без их использования (смешанная).

15. Мероприятия по технической и криптографической защите персональных данных осуществляются в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в объеме, установленном проектной документацией на систему защиты информации соответствующей информационной системы.

16. Доступ к обрабатываемым персональным данным осуществляется в соответствии с порядком, определенным соответствующими ЛПА, в зависимости от способов их обработки. 

17.  Сроки обработки персональных данных:

  • устанавливаются Обществом в зависимости от целей их обработки, определенных в главе 2 настоящей Политики, кроме случаев, когда срок хранения персональных данных установлен законодательством;
  • определяются субъектом персональных данных при даче согласия Обществу на их обработку или устанавливается договором, заключенным с субъектом персональных данных, не являющимся работником Общества, за исключением случаев, когда согласие не требуется в соответствии со статьями 6 и 8 Закона, а также пунктом 10 настоящей Политики.

18. Обработка персональных данных Обществом прекращается при:

  • достижении целей обработки персональных данных, определенных в главе 2 настоящей Политики;
  • истечении срока действия согласия субъекта персональных данных на обработку персональных данных (договора, заключенного с субъектом персональных данных);
  • отзыве субъектом персональных данных своего согласия на обработку персональных данных;
  • требовании субъекта персональных данных о прекращении обработки и (или) удалении персональных данных;
  • выявлении (установлении) факта неправомерной обработки персональных данных; 
  • прекращении действия иных правовых оснований для обработки персональных данных;
  • требовании Национального центра защиты персональных данных (далее – НЦЗПД), иных уполномоченных органов (организаций, лиц).

19. Общество вправе на основании статьи 7 Закона поручить обработку персональных данных от имени Общества или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора и принятием мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.

  • В договоре между Обществом и уполномоченным лицом определяются:
  • цели обработки персональных данных, соответствующие целям, указанным в главе 2 настоящей Политики;
  • перечень действий, которые будут совершаться уполномоченным лицом с персональными данными;
  • обязанности по обеспечению защиты и соблюдению конфиденциальности персональных данных;
  • ответственность уполномоченного лица перед Обществом за несоблюдение/нарушение требований по обработке и защите персональных данных, определенных договором и законодательством.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.

В случае, если Общество поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Уполномоченное лицо несет ответственность перед Обществом.

 

ГЛАВА 5
ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ
ПРОЦЕССОМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

20. Для обеспечения процесса обработки персональных данных и их защиты в соответствии с требованиями Закона и настоящей Политики в Обществе сформирована следующая организационная структура системы управления процессом обработки персональных данных:

20.1. Дирекция Общества утверждает настоящую Политику, а также иные ЛПА в отношении защиты персональных данных, за исключением ЛПА, утверждение которых в соответствии с законодательством и (или) Уставом Общества отнесено к компетенции других органов управления Общества;

20.2. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе, осуществляет следующие функции:

  • контроль и координацию деятельности самостоятельных структурных Общества в части соблюдения требований по обработке и защите персональных данных;
  • консультирование руководителей и работников Общества по вопросам применения законодательства о персональных данных;
  • координацию и методическое руководство деятельности Общества, дочерних хозяйственных обществ по вопросам защиты персональных данных;
  • организацию разработки и актуализации настоящей Политики и иных ЛПА, регламентирующих вопросы обработки и защиты персональных данных;
  • формирование и поддержание в актуальном состоянии Перечня информационных систем (ресурсов), содержащих персональные данные, собственником (владельцем) которых является Общество;
  • формирование и поддержание в актуальном состоянии сведений о работниках, непосредственно осуществляющих обработку персональных данных в Обществе. Ежегодное предоставление данных сведений в НЦЗПД для организации процесса обучения по вопросам защиты персональных данных лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (лица, его замещающего), а также лиц, непосредственно осуществляющих обработку персональных данных в Обществе;
  • ежегодное предоставление в НЦЗПД сведений о количестве лиц, в обязанности которых входит обеспечение информационной безопасности в Обществе, для повышения их квалификации;
  • обеспечивает организацию проведения нормативного обучения работников Общества по вопросам обработки и защиты персональных даных;
  • осуществление взаимодействия и предоставление в НЦЗПД иных сведений, предусмотренных законодательством о персональных данных; 
  • ведение учета поступивших в Общество для реализации прав, предусмотренных статьями 10 - 13 Закона, заявлений субъектов персональных данных, а также принятых по ним действиям;

20.3. подразделение Общества, обеспечивающее информационную безопасность:

  • организует процесс обеспечения защиты персональных данных, а также контроль соблюдения требований по их защите в соответствии с законодательством о персональных данных, настоящей Политикой, иными ЛПА;
  • обеспечивает проведение классификации информационных систем (ресурсов) Общества, содержащих персональные данные, а также техническую и криптографическую защиту обрабатываемых в них персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь;
  • осуществляет выявление и нейтрализацию угроз безопасности персональных данных при их обработке в Обществе;
  • осуществляет контроль уровня защищенности информационных систем (ресурсов), содержащих персональные данные;
  • проводит информирование работников Общества и (или) доводит до их сведения требования по защите персональных данных при их обработке.

20.4. подразделение Общества, отвечающее за вопросы внутренней безопасности:
проводит расследование инцидентов информационной безопасности, связанных нарушением порядка обработки и защиты персональных данных в Обществе;

20.5. подразделение Общества, уполномоченное исполнять функции администраторов объектов автоматизированной информационной системы Общества:

обеспечивает в рамках обработки персональных данных с использованием средств автоматизации применение мер защиты персональных данных от неправомерного или случайного доступа к ним, организует систематизацию, хранение, обезличивание персональных данных, а также при возникновении оснований, предусмотренных законодательством, осуществляет блокирование, предоставление, удаление персональных данных;

20.6. структурные подразделения Общества:

  • осуществляют обработку персональных данных в соответствии с установленными требованиями законодательства и ЛПА в области обработки и защиты персональных данных;
  • осуществляют методологическое обеспечение вопросов обработки персональных данных, ведение учета способов обработки персональных данных по направлениям своей деятельности;
  • организуют в установленном ЛПА порядке прием и обработку документов, предоставляемых в Общество субъектами персональных данных для реализации прав, предусмотренных статьями 10 - 13 Закона, их информирование по вопросам обработки персональных данных по направлениям своей деятельности, предоставляют информацию для учета лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе.

ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ

21. Субъекты персональных данных в части своих персональных данных имеют право на:

  • отзыв своего согласия;
  • получение информации, касающейся обработки персональных данных, и изменение персональных данных;
  • требование прекращения обработки Обществом персональных данных и (или) их удаления (недопущения дальнейшей обработки, включая их блокирование);
  • обжалование действий (бездействия) и решений уполномоченных органов/должностных лиц Общества, связанных с обработкой персональных данных;
  • получение информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

22. Субъект персональных данных обязан:

  • предоставлять Обществу полные и достоверные персональные данные;
  • в случаях, предусмотренных законодательством, договором, заключенным с Обществом, а также по требованию Общества, не противоречащему законодательству, предоставлять документы (их копии), содержащие персональные данные и (или) подтверждающие их;
  • информировать Общество об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;
  • исполнять иные обязанности, предусмотренные актами законодательства, а также заключенными с Обществом договорами.

23. Общество как оператор вправе:

  • обрабатывать персональные данные субъектов персональных данных;
  • требовать предоставления субъектом персональных данных полных и достоверных персональных данных;
  • требовать предоставления субъектом персональных данных документов (их копий), содержащих персональные данные и (или) подтверждающих их, в случаях, предусмотренных законодательством или договором, заключенным с Обществом, а также по требованию Общества, не противоречащему законодательству и указанному договору;
  • требовать от субъекта персональных данных информировать Общество об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;
  • отказать субъекту персональных данных в реализации его прав при наличии правовых оснований для обработки персональных данных, а также в иных случаях, предусмотренных законодательством;
  • поручать обработку персональных данных уполномоченному лицу;
  • осуществлять иные права, предусмотренные законодательством, а также заключенными с субъектом персональных данных договорами.

24. Общество как оператор обязан:

  • разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, до начала их обработки;
  • получить согласие субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона и иными законодательными актами;
  • обеспечить защиту персональных данных в процессе их обработки;
  • в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме информацию, указанную в части первой пункта 1 ст. 11 Закона, либо уведомить его о причинах отказа в ее предоставлении;
  • в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием:
    • внести изменения в персональные данные, которые являются неполными, устаревшими или неточными, и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательством;
    • прекратить обработку персональных данных, а также осуществить их удаление (блокирование), уведомив об этом субъекта персональных данных при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
    • предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;
  • информировать НЦЗПД о нарушениях систем защиты персональных данных, за исключением случаев, предусмотренных НЦЗПД;
  • осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством;
  • исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных.

25. Субъект персональных данных для реализации прав, предусмотренных настоящей Политикой и законодательством, подает Обществу заявление в письменной форме либо в виде электронного документа. Общество вправе потребовать обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Обществу в письменной форме в случаях, установленных законодательными актами.

26. Заявление субъекта персональных данных должно содержать:

  • фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • дату рождения субъекта персональных данных;
  • идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Обществу или обработка персональных данных осуществляется без согласия субъекта персональных данных;
  • изложение сути требований субъекта персональных данных;
  • личную подпись либо электронную цифровую подпись субъекта персональных данных.

Общество вправе отказать субъекту персональных данных в приеме заявления, если указанные в заявлении персональные данные, в отношении которых необходимо произвести действия, не соответствуют (частично соответствуют) персональным данным, обрабатываемым Обществом.

ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

27. Трансграничная передача Обществом персональных данных запрещена, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных [1].

28. Общество вправе передать персональные данные на территорию иностранного государства, не соответствующего требованию, установленному пунктом 28 настоящей Политики, если:

  • на подобную передачу дано согласие субъекта персональных данных при условии, что Общество проинформировал его о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
  • персональные данные передаются на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
  • получено соответствующее разрешение от НЦЗПД;
  • в иных случаях, установленных законодательством.

[1] Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется НЦЗПД.

ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

29. Вопросы, не предусмотренные настоящей Политикой, регламентируются законодательством и другими ЛПА.
В случае противоречия между нормами настоящей Политики и законодательством нормы настоящей Политики действуют в части, не противоречащей законодательству.

30. Требования настоящей Политики обязательны для исполнения всеми работниками Общества, получившими в установленном порядке доступ к персональным данным.

31. За нарушение требований законодательства, настоящей Политики и иных ЛПА, регламентирующих работу с персональными данными Общество и его работники несут ответственность в соответствии с законодательством.