ПОЛИТИКА
обработки персональных данных
в ОАО «Промагролизинг»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Политика обработки персональных данных в ОАО «Промагролизинг» (далее – Политика) является локальным правовым актом ОАО «Промагролизинг» (далее – Общество) и определяет правовые основания, цели, условия и способы обработки Обществом персональных данных, категории субъектов персональных данных и их права, сроки обработки и хранения персональных данных, а также реализуемые в Обществе требования к защите персональных данных в целях обеспечения информационной безопасности Общества.
2. Настоящая Политика разработана в соответствии с требованиями:
Конституции Республики Беларусь;
Трудового кодекса Республики Беларусь;
Банковского кодекса Республики Беларусь;
Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон);
Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
Закона Республики Беларусь от 30 июня 2014 г. № 165-3 «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения»;
иных нормативных правовых актов Республики Беларусь в области защиты персональных данных
3. Настоящая Политика является основой для организации работы по обработке и защите персональных данных в Обществе, в том числе разработки локальных правовых актов Общества (далее – ЛПА), регламентирующих процесс обработки и защиты персональных данных.
4. В настоящей Политике используются следующие термины и определения:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники и программного обеспечения, входящих в состав информационных систем Общества;
- биометрические персональные данные – информация, характеризующая физиологические и биологические особенности работника Общества или иного физического лица, которая используется для его уникальной идентификации (отпечатки пальцев рук, его изображение и др.);
- блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных – любое действие или совокупность действий, совершаемых с персональными данными работников Общества или иных физических лиц, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- общедоступные персональные данные – персональные данные, распространенные самим работником Общества или иным физическим лицом, либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
- оператор – Общество, которое самостоятельно или совместно с лицами, указанными в Законе, организует и (или) осуществляет обработку персональных данных;
- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
- специальные персональные данные – персональные данные, касающиеся политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья, привлечения к административной или уголовной ответственности, а также биометрические персональные данные;
- субъект персональных данных – работник Общества или иное физическое лицо, в отношении которого Общество осуществляет обработку персональных данных;
- трансграничная передача персональных данных – передача Обществом персональных данных на территорию иностранного государства;
- удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных системах Общества, содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Иные термины, применяемые в настоящей Политике и не нашедшие в ней своего определения, используются в значениях, закрепленных в Законе, иных актах законодательства и ЛПА.
5. Настоящая Политика распространяется на организацию и осуществление Обществом обработки персональных данных в качестве оператора, в том числе с привлечением уполномоченного лица.
ГЛАВА 2
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Общество осуществляет обработку персональных данных, которые необходимы в следующих целях:
- формирования коллегиальных органов управления Обществом и контрольных органов управления Обществом, назначения должностных лиц;
- осуществления лизинговых и иных операций (сделок);
- заключения (совершения), исполнения, изменения и прекращения гражданско-правовых и иных договоров;
- осуществления Обществом административно-хозяйственной деятельности;
- предоставления установленной законодательством, государственными органами отчетности, в том числе статистической, пруденциальной, которая содержит персональные данные;
- формирования аналитических и справочных материалов, ведения баз данных для внутреннего информационного обеспечения деятельности Общества;
- осуществления разработки, модификации, настройки, технической поддержки (сопровождения) компонентов информационных систем Общества;
- проведения аудита деятельности Общества, его бухгалтерской (финансовой) и иной отчетности (документации);
- хранения и учета документов в соответствии с законодательством в сфере архивного дела и делопроизводства;
- реализации трудовых и иных связанных с ними отношений;
- проведения практики (производственного обучения) студентов, магистрантов и иных лиц учебных заведений;
- идентификации и (или) аутентификации контрагентов, их представителей, бенефициарных собственников (владельцев) и иных связанных с ними лиц;
- проведения мероприятий по проверке потенциальных и текущих контрагентов Общества;
- привлечения, подбора, проверки кандидатов на трудоустройство в Общество, дочерние хозяйственные общества;
- выявления и ведения учета аффилированных лиц, инсайдеров Общества и взаимосвязанных с ними лиц, в т.ч. дочерних хозяйственных обществ;
- определения и ведения учета лиц, участвующих в коллегиальных органах управления Обществом и контрольных органах управления Обществом, а также юридических лиц, созданных с участием Общества;
- осуществления коммуникаций с субъектами персональных данных, в том числе с использованием удаленных каналов связи, для предоставления лизинговых услуг, направления (предоставления) уведомлений (сообщений, предложений, запросов) справочно-информационного, претензионного и другого характера;
- организации рассмотрения и ведения делопроизводства по обращениям граждан, в том числе индивидуальных предпринимателей, и юридических лиц;
- ведения воинского учета военнообязанных;
- организации добровольного страхования медицинских расходов, добровольного страхования дополнительной пенсии, добровольного страхования жизни, иных видов добровольного страхования;
- начисления и выплат заработной платы, иных выплат, а также подготовки и оформления справок о заработной плате;
- предоставления сведений в банки для оформления банковских платежных карточек и перечисления на них заработной платы, иных выплат;
- применения налоговых вычетов, исчисления и уплаты предусмотренных законодательством налогов, сборов (пошлин), иных обязательных платежей;
- обеспечения безопасности функционирования Общества, пропускного и внутриобъектового режима в зданиях (помещениях) Общества, в том числе арендованных;
- размещения на корпоративном сайте Общества в глобальной компьютерной сети Интернет, в помещениях зданий Общества, в средствах массовой информации, на рекламных площадках в объеме, предусмотренном ЛПА и/или в объеме, необходимом для использования в рекламных и маркетинговых целях;
- проведения Обществом акций, опросов, исследований, иных аналогичных мероприятий;
- оформления документов, необходимых для организации и проведения культурно-массовой и физкультурно-оздоровительной работы, организации оздоровления, досуга субъектов персональных данных, а также передачи необходимых сведений (в том числе персональных данных) для указанных целей в первичную профсоюзную организацию ОАО «Промагролизинг» Белорусского профессионального союза банковских и финансовых работников;
- обращения в суд, правоохранительные и контролирующие (надзорные) органы, нотариат, органы принудительного исполнения судебных постановлений и иных исполнительных документов, к другим уполномоченным органам (организациям, лицам) за защитой и реализацией своих прав и законных интересов;
- предоставления информации по запросам уполномоченных органов (организаций, лиц) или в силу требований законодательства;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- разработки, модификации программного обеспечения, используемого в Обществе;
- в иных не противоречащих законодательству целях.
Цель обработки персональных данных может быть конкретизирована в согласии субъекта персональных данных.
7. Обработка персональных данных, в том числе специальных, осуществляется после получения Обществом согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона, а также когда согласие на обработку персональных данных в соответствии с законодательством не требуется.
8. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством.
9. Согласие субъекта персональных данных может быть получено как в письменной форме, так и в виде электронного документа или в иной электронной форме, позволяющей идентифицировать субъекта персональных данных.
В случае изменения заявленных целей обработки персональных данных Общество обязано получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.
10. Обработка персональных данных без согласия субъекта персональных данных осуществляется Обществом в следующих случаях:
- при получении персональных данных Обществом на основании договора, заключенного (заключаемого) с субъектом персональных данных, не являющимся работником Общества, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- при реализации норм законодательства о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
- для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности работников Общества в случаях, предусмотренных законодательством;
- в целях назначения и выплаты пенсий, пособий;
- для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
- в иных случаях, когда законодательные акты прямо предусматривают обработку персональных данных без согласия субъекта персональных данных.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. В Обществе обрабатываются персональные данные следующих категорий субъектов:
- работников, в т.ч. числе бывших работников, кандидатов на трудоустройство, Общества и его дочерних и зависимых хозяйственных обществах, а также их близких родственников (супруг (супруга), родители, дети, усыновители, усыновленные, родные братья и родные сестры, дед, бабка, внуки);
- физических лиц, включая лиц, состоящих с ними в браке, находящихся с ними в близком родстве или свойстве (полностью дееспособных родителях, детях, родных братьях (сестрах), деде, бабке, внуках, а также супруге и приведенных близких родственниках супруга (супруги)), являющихся аффилированными лицами, инсайдерами и взаимосвязанными с ними лицами Общества и его дочерних и зависимых хозяйственных обществ;
- работников юридических лиц, являющихся контрагентами (в т.ч. потенциальными и бывшими), акционерами, аффилированными лицами этих лиц;
- студентов и иных лиц, проходящих (проходивших) в Обществе практику;
- физических лиц, с которыми Общество заключило (планирует заключить) гражданско-правовые договоры;
- представителей контрагентов Общества;
- физических лиц, направляющих (направивших) в адрес Общества обращения граждан, а также заявления, жалобы, ходатайства, иные документы, не являющиеся обращениями граждан;
- посетителей Общества, в том числе приглашенных гостей, участников мероприятий (образовательные, консультационные и др.);
- членов (кандидатов в члены, лиц, ранее занимавших должности), участвующих в коллегиальных органах управления и контрольных органах управления Обществом и его дочерних и зависимых хозяйственных обществах;
- пользователей (посетителей) сайта Общества в глобальной компьютерной сети Интернет;
- иных субъектов персональных данных для обеспечения реализации целей обработки персональных данных, указанных в главе 2 настоящей Политики.
ГЛАВА 4
ПОРЯДОК И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Общество для обеспечения выполнения обязанностей оператора при осуществлении обработки персональных данных:
- формирует систему управления и обеспечивает процесс обработки персональных данных в соответствии с требованиями законодательства, в том числе посредством принятия ЛПА в области защиты персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства и ЛПА от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий;
- определяет уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе, приказом генерального директора, либо лица им уполномоченного;
- предоставляет субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных, разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;
- получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда в соответствии с законодательством не требуется предоставление согласия субъекта персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ, в т.ч. с использованием глобальной компьютерной сети Интернет, субъектам персональных данных к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии в Обществе персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
- принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и ЛПА в области защиты персональных данных, в том числе требованиями к защите персональных данных, а также организует их обучение;
- прекращает обработку и осуществляет удаление персональных данных в случаях, предусмотренных законодательством в области защиты персональных данных. При отсутствии технической возможности удаления персональных данных принимает меры по недопущению их дальнейшей обработки, включая их блокирование;
- осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
- незамедлительно уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
- осуществляет методическое руководство проведением мероприятий по защите персональных данных Обществом, и его дочерними хозяйственными обществами;
- совершает иные действия, предусмотренные законодательством в области персональных данных.
13. В процессе обработки персональных данных Общество для достижения целей, определенных в главе 2 настоящей Политики, вправе осуществлять любое действие или совокупность действий, совершаемые с персональными данными, включая их сбор (получение, в т.ч. получение изображений путем фотографирования/видеосъемки/сканирования), хранение (запись, в т.ч. на машинные носители информации), систематизацию (обобщение), изменение (уточнение, обновление), использование, обезличивание, блокирование, распространение (передачу), предоставление, удаление (уничтожение).
14. Обработка персональных данных осуществляется следующими способами:
- без использования средств автоматизации (личные дела, картотеки, списки, журналы и др.);
- с использованием средств автоматизации, в том числе посредством передачи полученной информации по информационно-телекоммуникационным сетям;
- обработка персональных данных как с использованием средств автоматизации, так и без их использования (смешанная).
15. Мероприятия по технической и криптографической защите персональных данных осуществляются в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в объеме, установленном проектной документацией на систему защиты информации соответствующей информационной системы.
16. Доступ к обрабатываемым персональным данным осуществляется в соответствии с порядком, определенным соответствующими ЛПА, в зависимости от способов их обработки.
17. Сроки обработки персональных данных:
- устанавливаются Обществом в зависимости от целей их обработки, определенных в главе 2 настоящей Политики, кроме случаев, когда срок хранения персональных данных установлен законодательством;
- определяются субъектом персональных данных при даче согласия Обществу на их обработку или устанавливается договором, заключенным с субъектом персональных данных, не являющимся работником Общества, за исключением случаев, когда согласие не требуется в соответствии со статьями 6 и 8 Закона, а также пунктом 10 настоящей Политики.
18. Обработка персональных данных Обществом прекращается при:
- достижении целей обработки персональных данных, определенных в главе 2 настоящей Политики;
- истечении срока действия согласия субъекта персональных данных на обработку персональных данных (договора, заключенного с субъектом персональных данных);
- отзыве субъектом персональных данных своего согласия на обработку персональных данных;
- требовании субъекта персональных данных о прекращении обработки и (или) удалении персональных данных;
- выявлении (установлении) факта неправомерной обработки персональных данных;
- прекращении действия иных правовых оснований для обработки персональных данных;
- требовании Национального центра защиты персональных данных (далее – НЦЗПД), иных уполномоченных органов (организаций, лиц).
19. Общество вправе на основании статьи 7 Закона поручить обработку персональных данных от имени Общества или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора и принятием мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.
- В договоре между Обществом и уполномоченным лицом определяются:
- цели обработки персональных данных, соответствующие целям, указанным в главе 2 настоящей Политики;
- перечень действий, которые будут совершаться уполномоченным лицом с персональными данными;
- обязанности по обеспечению защиты и соблюдению конфиденциальности персональных данных;
- ответственность уполномоченного лица перед Обществом за несоблюдение/нарушение требований по обработке и защите персональных данных, определенных договором и законодательством.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает Общество.
В случае, если Общество поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Уполномоченное лицо несет ответственность перед Обществом.
ГЛАВА 5
ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ
ПРОЦЕССОМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
20. Для обеспечения процесса обработки персональных данных и их защиты в соответствии с требованиями Закона и настоящей Политики в Обществе сформирована следующая организационная структура системы управления процессом обработки персональных данных:
20.1. Дирекция Общества утверждает настоящую Политику, а также иные ЛПА в отношении защиты персональных данных, за исключением ЛПА, утверждение которых в соответствии с законодательством и (или) Уставом Общества отнесено к компетенции других органов управления Общества;
20.2. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе, осуществляет следующие функции:
- контроль и координацию деятельности самостоятельных структурных Общества в части соблюдения требований по обработке и защите персональных данных;
- консультирование руководителей и работников Общества по вопросам применения законодательства о персональных данных;
- координацию и методическое руководство деятельности Общества, дочерних хозяйственных обществ по вопросам защиты персональных данных;
- организацию разработки и актуализации настоящей Политики и иных ЛПА, регламентирующих вопросы обработки и защиты персональных данных;
- формирование и поддержание в актуальном состоянии Перечня информационных систем (ресурсов), содержащих персональные данные, собственником (владельцем) которых является Общество;
- формирование и поддержание в актуальном состоянии сведений о работниках, непосредственно осуществляющих обработку персональных данных в Обществе. Ежегодное предоставление данных сведений в НЦЗПД для организации процесса обучения по вопросам защиты персональных данных лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (лица, его замещающего), а также лиц, непосредственно осуществляющих обработку персональных данных в Обществе;
- ежегодное предоставление в НЦЗПД сведений о количестве лиц, в обязанности которых входит обеспечение информационной безопасности в Обществе, для повышения их квалификации;
- обеспечивает организацию проведения нормативного обучения работников Общества по вопросам обработки и защиты персональных даных;
- осуществление взаимодействия и предоставление в НЦЗПД иных сведений, предусмотренных законодательством о персональных данных;
- ведение учета поступивших в Общество для реализации прав, предусмотренных статьями 10 - 13 Закона, заявлений субъектов персональных данных, а также принятых по ним действиям;
20.3. подразделение Общества, обеспечивающее информационную безопасность:
- организует процесс обеспечения защиты персональных данных, а также контроль соблюдения требований по их защите в соответствии с законодательством о персональных данных, настоящей Политикой, иными ЛПА;
- обеспечивает проведение классификации информационных систем (ресурсов) Общества, содержащих персональные данные, а также техническую и криптографическую защиту обрабатываемых в них персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь;
- осуществляет выявление и нейтрализацию угроз безопасности персональных данных при их обработке в Обществе;
- осуществляет контроль уровня защищенности информационных систем (ресурсов), содержащих персональные данные;
- проводит информирование работников Общества и (или) доводит до их сведения требования по защите персональных данных при их обработке.
20.4. подразделение Общества, отвечающее за вопросы внутренней безопасности:
проводит расследование инцидентов информационной безопасности, связанных нарушением порядка обработки и защиты персональных данных в Обществе;
20.5. подразделение Общества, уполномоченное исполнять функции администраторов объектов автоматизированной информационной системы Общества:
обеспечивает в рамках обработки персональных данных с использованием средств автоматизации применение мер защиты персональных данных от неправомерного или случайного доступа к ним, организует систематизацию, хранение, обезличивание персональных данных, а также при возникновении оснований, предусмотренных законодательством, осуществляет блокирование, предоставление, удаление персональных данных;
20.6. структурные подразделения Общества:
- осуществляют обработку персональных данных в соответствии с установленными требованиями законодательства и ЛПА в области обработки и защиты персональных данных;
- осуществляют методологическое обеспечение вопросов обработки персональных данных, ведение учета способов обработки персональных данных по направлениям своей деятельности;
- организуют в установленном ЛПА порядке прием и обработку документов, предоставляемых в Общество субъектами персональных данных для реализации прав, предусмотренных статьями 10 - 13 Закона, их информирование по вопросам обработки персональных данных по направлениям своей деятельности, предоставляют информацию для учета лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе.
ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ
21. Субъекты персональных данных в части своих персональных данных имеют право на:
- отзыв своего согласия;
- получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- требование прекращения обработки Обществом персональных данных и (или) их удаления (недопущения дальнейшей обработки, включая их блокирование);
- обжалование действий (бездействия) и решений уполномоченных органов/должностных лиц Общества, связанных с обработкой персональных данных;
- получение информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.
22. Субъект персональных данных обязан:
- предоставлять Обществу полные и достоверные персональные данные;
- в случаях, предусмотренных законодательством, договором, заключенным с Обществом, а также по требованию Общества, не противоречащему законодательству, предоставлять документы (их копии), содержащие персональные данные и (или) подтверждающие их;
- информировать Общество об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;
- исполнять иные обязанности, предусмотренные актами законодательства, а также заключенными с Обществом договорами.
23. Общество как оператор вправе:
- обрабатывать персональные данные субъектов персональных данных;
- требовать предоставления субъектом персональных данных полных и достоверных персональных данных;
- требовать предоставления субъектом персональных данных документов (их копий), содержащих персональные данные и (или) подтверждающих их, в случаях, предусмотренных законодательством или договором, заключенным с Обществом, а также по требованию Общества, не противоречащему законодательству и указанному договору;
- требовать от субъекта персональных данных информировать Общество об изменении ранее предоставленных персональных данных, утрате их актуальности, их неполноте и неточности;
- отказать субъекту персональных данных в реализации его прав при наличии правовых оснований для обработки персональных данных, а также в иных случаях, предусмотренных законодательством;
- поручать обработку персональных данных уполномоченному лицу;
- осуществлять иные права, предусмотренные законодательством, а также заключенными с субъектом персональных данных договорами.
24. Общество как оператор обязан:
- разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, до начала их обработки;
- получить согласие субъекта персональных данных, за исключением случаев, предусмотренных статьями 6, 8 Закона и иными законодательными актами;
- обеспечить защиту персональных данных в процессе их обработки;
- в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме информацию, указанную в части первой пункта 1 ст. 11 Закона, либо уведомить его о причинах отказа в ее предоставлении;
- в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием:
- внести изменения в персональные данные, которые являются неполными, устаревшими или неточными, и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательством;
- прекратить обработку персональных данных, а также осуществить их удаление (блокирование), уведомив об этом субъекта персональных данных при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
- предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;
- информировать НЦЗПД о нарушениях систем защиты персональных данных, за исключением случаев, предусмотренных НЦЗПД;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством;
- исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных.
25. Субъект персональных данных для реализации прав, предусмотренных настоящей Политикой и законодательством, подает Обществу заявление в письменной форме либо в виде электронного документа. Общество вправе потребовать обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Обществу в письменной форме в случаях, установленных законодательными актами.
26. Заявление субъекта персональных данных должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Обществу или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
Общество вправе отказать субъекту персональных данных в приеме заявления, если указанные в заявлении персональные данные, в отношении которых необходимо произвести действия, не соответствуют (частично соответствуют) персональным данным, обрабатываемым Обществом.
ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
27. Трансграничная передача Обществом персональных данных запрещена, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных [1].
28. Общество вправе передать персональные данные на территорию иностранного государства, не соответствующего требованию, установленному пунктом 28 настоящей Политики, если:
- на подобную передачу дано согласие субъекта персональных данных при условии, что Общество проинформировал его о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные передаются на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- получено соответствующее разрешение от НЦЗПД;
- в иных случаях, установленных законодательством.
[1] Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется НЦЗПД.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
29. Вопросы, не предусмотренные настоящей Политикой, регламентируются законодательством и другими ЛПА.
В случае противоречия между нормами настоящей Политики и законодательством нормы настоящей Политики действуют в части, не противоречащей законодательству.
30. Требования настоящей Политики обязательны для исполнения всеми работниками Общества, получившими в установленном порядке доступ к персональным данным.
31. За нарушение требований законодательства, настоящей Политики и иных ЛПА, регламентирующих работу с персональными данными Общество и его работники несут ответственность в соответствии с законодательством.