Соглашение на обработку персональных данных

1. Термины и определения

1.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.2. оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.3. пользователь услуг ООО «Миллион инструментов» – грузоотправитель, грузополучатель либо иное физическое или юридическое лицо, пользующиеся услугами, оказываемыми ООО «Миллион инструментов»;

1.4. субъект персональных данных – лицо, являющееся пользователем услуг ООО «Миллион инструментов» и (или) работником ООО «Миллион инструментов» и (или) их близким родственником, кандидатом для приема на работу (соискатель), а также иным лицом, чьи персональные данные стали известны в силу выполнения функций и задач, возложенных на ООО «Миллион инструментов»;

1.5. специальные категории персональных данных – такие персональные данные, в отношении которых ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» установлены специальные правила обработки;

1.6. обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

- сбор;

- запись;

-систематизацию;

- накопление;

-хранение;

-уточнение (обновление, изменение);

-извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

1.7. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

1.8. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.9. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.10. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.11. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.12. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

1.13. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Общие положения

2.1. Политика обработки персональных данных в обществе с ограниченной ответственностью «Миллион инструментов» (далее – Политика) разработана в соответствии с требованиями действующего законодательства, включая положения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), ст. 86-89 Трудового кодекса Российской Федерации, а также иных нормативных актов, регулирующих отношения, связанные с обработкой персональных данных.

2.2. Политика разработана в целях исполнения требований п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных».

2.3. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Миллион инструментов» (далее – Оператор, Организация, ООО «Миллион инструментов»).

2.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

2.5. В целях исполнения требований ч. 2 ст. 18.1 Федерального закона «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: www.milliontool.ru (далее – Сайт оператора).

3. Основные права и обязанности Оператора и субъекта персональных данных.

3.1. Оператор имеет право:

3.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами;

3.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

3.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».

3.2. Оператор обязан:

3.2.1. организовывать обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных»;

3.2.2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона «О персональных данных»;

3.2.3. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

3.2.4. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;

3.2.5. соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона «О персональных данных».

3.3. Субъект персональных данных имеет право:

3.3.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом «О персональных данных»;

3.3.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3.3.3. дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

3.3.4. обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

3.4. Субъект обязан:

3.4.1. предоставлять свои персональные данные в случаях, когда федеральными законами предусматриваются случаи обязательного предоставления таких данных субъектом.

3.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

3.6. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Миллион инструментов» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

4. Цели обработки персональных данных

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

4.3. Обработка Оператором персональных данных осуществляется в следующих целях:

4.3.1. исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на вакантные места у Оператора; ведение кадрового, бухгалтерского, налогового и воинского учета, составление и передача в уполномоченные органы документов по требуемым формам отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;

4.3.2. обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;

4.3.3. осуществление деятельности Оператора в соответствии с уставом ООО «Миллион инструментов», в том числе заключение и исполнение договоров с контрагентами, а также обеспечение обратной связи и информирование клиентов;

4.3.4. формирование внутреннего телефонного справочника и обеспечение работы системы телефонии (обмена сообщениями) у Оператора;

4.3.5. осуществление пропускного режима;

4.3.6. осуществление автоматизированной обработки персональных данных в автоматизированных системах Оператора с целью ведения клиентской базы, учета заказов и продаж, проведения аналитики бизнеса, управления продажами и повышения качества обслуживания клиентов;

4.3.7. осуществление автоматизированной обработки персональных данных в системах электронного документооборота;

4.3.8. обеспечение корректного функционирования Интернет-сайта Оператора: www.milliontool.ru (далее – Сайт оператора): регистрация пользователей, обработка обращений пользователей, анализ поведения пользователей на сайте, обеспечение информационной безопасности сайта.

5. Правовые основания обработки персональных данных

5.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;

- Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;

- Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе и изменения к нему;

- Федеральный закон от 12.12.2023 №565-ФЗ «О занятости населения в Российской Федерации»;

- Федеральный закон от 24.11.1995 №181-ФЗ «О социальной защите инвалидов в Российской Федерации»;

- устав ООО «Миллион инструментов»;

- иные нормативные правовые акты (локальные, коллективные и другие), регулирующие отношения, связанные с деятельностью Оператора.

5.2. Правовым основанием обработки персональных данных также являются:

- договоры, заключаемые между Оператором и субъектами персональных данных;

- согласия субъектов персональных данных на обработку их персональных данных.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1. Оператор может обрабатывать персональные данные следующих категорий:

- персональные данные, относящиеся к категории «иные»;

- биометрические персональные данные.

6.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

6.2.1. Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

- фамилия, имя, отчество (далее – ФИО);

- пол;

- гражданство;

- дата и место рождения;

- контактные данные, - номер телефона, адрес электронной почты или сведения о других способах связи;

- сведения об образовании, профессиональной подготовке и повышении квалификации, об ученой степени, ученом звании;

- сведения о трудовой деятельности, включая сведения, связанные с работой по совместительству, предпринимательской и иной деятельностью, наличием поощрений, награждений и (или) дисциплинарных взысканий на предыдущих местах работы и (или) работе (работах) по совместительству;

- сведения о прохождении государственной или муниципальной службы в течение двух лет, до даты трудоустройства в ООО «Миллион инструментов», в том числе наименование замещаемых должностей с указанием структурных подразделений, адреса нахождения организации и контактов ответственных лиц;

- сведения о наличии водительского удостоверения и автомобиля;

- сведения о владении иностранными языками;

- сведения об отсутствии судимости;

- иные персональные данные, сообщаемые кандидатами по собственному желанию в резюме и сопроводительных письмах.

6.2.2. Работники и бывшие работники Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, осуществления пропускного режима:

- ФИО;

- сведения об изменении ФИО;

- дата и место рождения;

- сведения, содержащиеся в документах, удостоверяющих личность;

- пол;

- гражданство;

- адрес регистрации;

- адрес места фактического проживания;

- сведения о трудовой и служебной деятельности, включая данные из трудового договора, сведения о должности, работе по совместительству

- контактные данные, - номер телефона, адрес электронной почты или сведения о других способах связи;

- идентификационный номер налогоплательщика (далее – ИНН);

- страховой номер индивидуального лицевого счета (далее – СНИЛС);

- сведения, содержащиеся в документах воинского учета;

- сведения об образовании, квалификации;

- сведения о семейном положении;

- сведения о составе семьи;

- сведения о воинской обязанности;

- сведения о социальных льготах, предоставляемых Оператором в соответствии с законодательством Российской Федерации, а также локальными нормативными актами Организации;

- сведения о владении иностранными языками;

- сведения о наличии ученой степени, ученого звания;

- информация о членстве в выборных органах;

- сведения об участии в коммерческих организациях;

- сведения об участии в органах управления юридических лиц;

- сведения о дисциплинарных взысканиях;

- сведения о прохождении государственной или муниципальной службы в течение двух лет, до даты трудоустройства в Организацию, в том числе наименование замещаемых должностей с указанием структурных подразделений, адреса нахождения организации и контактов ответственных лиц;

- сведения о наличии водительского удостоверения и автомобиля, государственный номер автомобиля;

- сведения о страховых взносах;

- сведения о доходах, заработной плате и иных выплатах;

- сведения об исчислении страхового стажа;

- сведения об условиях досрочного начисления трудовой пенсии;

- сведения об исчисленных налогах и налоговых вычетах;

- сведения об отпусках, командировках, больничных;

- биометрические персональные данные (фотографии, видеозаписи, аудиозаписи);

- сведения об отделе;

- идентификатор ключа;

- иные персональные данные, предоставляемые работниками по собственному желанию.

6.2.3. Работники Оператора – для целей реализации индивидуальной программы реабилитации инвалида в соответствии с ст. 23 Федерального закона от 24.11.1995 №181-ФЗ «О социальной защите инвалидов в Российской Федерации», ст. 224 Трудового кодекса РФ.

- сведения об инвалидности.

6.2.4. Работники Оператора – для целей составления доверенности в соответствии с гл. 10 Гражданского кодекса Российской федерации:

- ФИО;

- год рождения;

- дата и место рождения;

- сведения, содержащиеся в документах, удостоверяющих личность;

- ИНН;

- СНИЛС.

6.2.5. Члены семьи работников Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

- ФИО;

- степень родства;

- год рождения;

- иные персональные данные, предоставляемые работниками с согласия членов их семей.

6.2.6. Клиенты и контрагенты Оператора (физические лица) – для целей осуществления своей деятельности в соответствии с уставом ООО «Миллион инструментов»:

- ФИО;

- дата и место рождения;

- сведения, содержащиеся в документах, удостоверяющих личность;

- адрес регистрации по месту жительства;

- контактные данные, - номер телефона, адрес электронной почты или сведения о других способах связи;

- замещаемая должность;

- ИНН;

- номер расчетного счета;

- иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

6.2.7. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) – для целей осуществления своей деятельности в соответствии с уставом ООО «Миллион инструментов»:

- ФИО;

- сведения, содержащиеся в документах, удостоверяющих личность;

- контактные данные, - номер телефона, адрес электронной почты или сведения о других способах связи;

- замещаемая должность контактного лица контрагента (юридического лица);

- иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

6.2.8. Посетители (пользователи) Сайта оператора

- регистрационные данные посетителя (пользователя) Сайта оператора: ФИО, телефон, адрес электронной почты.

- данные из формы обратной связи: имя, телефон, адрес электронной почты, иные данные, указанные гражданином в сообщении по собственной инициативе.

- данные метрических программ Сайта оператора:

IP-адреса;

файлы cookie;

User-agent (тип браузера, ОС и пр.);

URL-адреса посещённых страниц;

дата и время визитов;

- данные метрических программ бизнес-мессенджера «Jivo», используемого на сайте Оператора:

IP-адреса;

файлы cookie;

User-agent (тип браузера, ОС и пр.);

URL-адреса посещённых страниц;

дата и время визитов.

6.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

7.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

7.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

7.5. Обработка персональных данных для каждой цели обработки осуществляется путем:

- получения персональных данных в устной и письменной форме и (или) электронной форме непосредственно от субъектов персональных данных;

- внесения персональных данных в журналы, реестры и информационные системы Оператора;

- использования иных способов обработки персональных данных.

7.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7.7. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных и составляется с учетом требований Приказом Роскомнадзора от 24.02.2021 N 18.

7.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

7.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

7.9.1. Меры, принимаемые Оператором в соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных». Оператор принимает следующие меры:

- определяет угрозы безопасности персональных данных при их обработке;

- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

- осуществляет внутренний контроль и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- проводит оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным законом;

- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

- создает необходимые условия для работы с персональными данными;

- организует учет документов, содержащих персональные данные;

- организует работу с информационными системами, в которых обрабатываются персональные данные;

- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

- организует обучение работников Оператора, осуществляющих обработку персональных данных;

- обеспечивает неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных;

- принимает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- осуществляет учет машинных носителей персональных данных;

- осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.9.2. Меры, принимаемые Оператором в соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Оператор принимает следующие меры:

- организует режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечивает сохранность носителей персональных данных;

- утверждает документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- назначает должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

7.10. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

7.11. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

7.12. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

7.13. Оператор прекращает обработку персональных данных в следующих случаях:

- выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;

- достигнута цель их обработки;

- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда в соответствии с Федеральным законом «О персональных данных» обработка этих данных допускается только с согласия.

7.14. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

7.15. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

7.16. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».

8. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона «О персональных данных», предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

8.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

8.3. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

8.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.5. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

8.6. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.8. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.9. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

8.10. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

8.11. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

- в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

- в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

8.12. Порядок уничтожения персональных данных Оператором.

8.12.1. Условия и сроки уничтожения персональных данных Оператором:

- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней;

- достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней;

- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение семи рабочих дней;

- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней.

8.12.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

8.12.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом Руководителя.

8.12.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.