Положение
о защите, хранении, обработке и передаче персональных данных Клиентов в Обществе с ограниченной ответственностью «Компрессор-Техцентр»
1. Общие положения
1.1. Настоящее Положение регламентируется Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 года (далее - Федеральный закон) и другими нормативными правовыми актами.
1.2. Для целей настоящего Положения применяются следующие термины и определения:
1.2.1. Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Компрессор-Техцентр».
1.2.2. Клиенты Оператора (Клиенты) – физические лица, вступившие в договорные и иные гражданско-правовые отношения с Оператором, пользующиеся услугами Оператора, иные физические, являющиеся потенциальными Клиентами Оператора, а также физические лица, являющиеся представителями юридических лиц и индивидуальных предпринимателей, вступивших или выразившие желание вступить в договорные и иные гражданско-правовые отношения с Оператором.
1.2.3. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
1.2.4. Персональные данные Клиента – информация, необходимая Оператору в целях предоставления услуг Клиенту, для целей заключения любых сделок (договоров) и их дальнейшего исполнения, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, пол, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), номер страхового свидетельства государственного пенсионного страхования (СНИЛС), профессия, должность, семейное, социальное положение, имущественное положение, сведения о доходах.
1.2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Клиента;.
1.2.6. Распространение персональных данных - действия, направленные на передачу персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.2.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.2.8. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.2.9. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.2.11. Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требования не допущения их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.2.12. Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
1.2.13. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности.
1.3. Все персональные сведения о Клиенте Оператор может получить только от него самого. В случаях, когда Оператор может получить необходимые персональные данные Клиента только у третьего лица, Оператор должен уведомить об этом Клиента и получить от него письменное согласие.
1.4. Оператор обязан сообщить Клиенту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Клиента дать письменное согласие на их получение.
1.5. Персональные данные Клиента являются конфиденциальной информацией и не могут быть использованы Оператором или любым иным лицом в личных целях.
1.6. При определении объема и содержания персональных данных Клиента Оператор руководствуется настоящим Положением, Конституцией РФ, иными федеральными законами.
1.7. Оператор, Клиент и его представители совместно разрабатывают меры защиты персональных данных Клиента.
1.8. Клиент не должен отказываться от своих прав на сохранение и защиту тайны.
2. Обработка персональных данных клиента
2.1. Обработка персональных данных осуществляется на основе принципов:
2.1.1. законности целей и способов обработки персональных данных и добросовестности;
2.1.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
2.1.3. недопустимости объединения баз данных информационных систем персональных данных, созданных для различных целей обработки;
2.1.4. соответствия содержания обрабатываемых персональных данных заявленным целям их обработки. Объем персональных данных не должен быть избыточным по отношению к заявленным целям их обработки;
2.1.5. достоверности персональных данных и актуальности по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по уточнению неполных или неточных данных.
2.2. Обработка персональных данных Клиента осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
2.3. Письменное согласие Клиента Оператора на обработку персональных данных должно включать в себя:
2.3.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2.3.2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
2.3.3. наименование и адрес Оператора, получающего согласие субъекта персональных данных;
2.3.4. цель обработки персональных данных;
2.3.5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
2.3.6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
2.3.7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
2.3.8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
2.3.9. подпись субъекта персональных данных.
2.4. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Клиентов обязаны соблюдать следующие общие требования:
2.4.1. обработка персональных данных Клиентов Оператора может осуществляться исключительно в целях оказания услуг;
2.4.2. все персональные данные Клиента Оператор должен получать у него самого.
2.4.3. Если, по какой-либо уважительной причине персональные данные Клиента, возможно, получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
2.4.4. при определении объема и содержания, обрабатываемых персональных данных Клиента Оператор должен руководствоваться Конституцией РФ, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Оператора и иными локальными нормативными актами в области защиты персональных данных;
2.4.5. Оператор не имеет права получать и обрабатывать персональные данные Клиента, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
2.4.6. при принятии решений, затрагивающих интересы Клиента и/или порождающих юридические последствия в отношении Клиента, Оператор не имеет права основываться на его персональных данных, полученных исключительно в результате их автоматизированной обработки или электронным путем;
2.4.7. решение, порождающее юридические последствия в отношении Клиента Оператора или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия Клиента в письменной форме или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. Оператор обязан разъяснить Клиенту порядок принятия такого решения, возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Клиентом своих прав и законных интересов;
2.4.8. Оператор обязан рассмотреть возражение Клиента против решения, принятого на основании исключительно автоматизированной обработки его персональных данных, в течение 30 (Тридцати) дней со дня его получения и уведомить Клиента Оператора о результатах рассмотрения такого возражения;
2.4.9. защита персональных данных Клиента Оператора от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств, в порядке, установленном Федеральным Законом и другими нормативными документами;
2.4.10. Клиенты Оператора должны быть ознакомлены с документами, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области.
2.5. Обработка персональных данных Клиентов осуществляется смешанным путем: неавтоматизированным способом обработки персональных данных; автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
2.6. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3. Получение персональных данных клиентов оператором
3.1. Получение персональных данных преимущественно осуществляется путем предоставления их Клиентом Оператору, на основании его письменного согласия, за исключением случаев, предусмотренных действующим законодательством РФ.
3.2. Если персональные данные Клиента, возможно, получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. В случае необходимости проверки персональных данных Клиента, Оператор должен заблаговременно сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента Оператора дать письменное согласие на их получение.
4. Хранение и использование персональных данных клиентов оператором
4.1. Порядок хранения и использования документов, содержащих персональные данные Клиентов осуществляется в соответствии с: Федеральным Законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным Законом от 27.07.2006 г № 152-ФЗ «О персональных данных»; Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры России от 25.08.2010 №558.
4.2. Доступ к персональным данным Клиентов Оператора имеют работники Оператора, допущенные к работе с персональными данными Клиентов Оператора приказом руководителя Оператора и ознакомленные под роспись с Положением о защите персональных данных Клиентов. Данным категориям работников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
4.3. Персональные данные Клиентов Оператора преимущественно хранятся на бумажных носителях.
4.4. Основными документами, содержащими персональные данные Клиентов Оператора, являются:
4.4.1. копии личных документов, необходимых для оформления договоров;
4.4.2. анкета Клиента Оператора;
4.4.3. договоры с Клиентом Оператора.
4.5. Действующие документы, содержащие персональные данные Клиентов Оператора- оператора хранятся в специальных металлических шкафах. Оператор обеспечивает ограничение доступа к персональным данным Клиентов лицам, не уполномоченным законом либо Оператором для получения соответствующих сведений,
4.6. Хранение оконченных производством документов, содержащих персональные данные Клиентов, осуществляется в архиве Оператора.
4.7. Персональные данные Клиентов Оператора могут также храниться в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети. Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных Клиентов Оператора по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для работников Оператора, допущенных к работе с персональными данными Клиентов приказом Руководителя Оператора и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.
4.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, соглашением. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством. Хранение документов, содержащих персональные данные Клиентов Оператора, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.
5. Защита персональных данных клиентов оператора
5.1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
5.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
5.3. Для обеспечения безопасности персональных данных Клиентов Оператора при неавтоматизированной обработке предпринимаются следующие меры:
5.3.1. Определяются места хранения персональных данных Клиентов (согласно настоящего Положения), которые оснащаются специально оборудованные металлические шкафы. По окончании рабочего дня кабинет закрывается на ключ и сдается под охрану; здание Оператора находится под круглосуточной охраной; все действия по обработке персональных данных Клиента осуществляются только работниками Оператора, допущенными, согласно Списка должностей утвержденного Приказом руководителя, к работе с персональными данными Клиентов Оператора, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
5.3.2. При обработке персональных данных Клиентов на материальных носителях, не допускается фиксация на одном материальном носителе тех данных, цели, обработки которых заведомо не совместимы.
5.3.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
5.3.3.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию персональных данных способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
5.3.3.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. Эти Правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую их обработку с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
5.3.4. Обработка персональных данных Клиентов осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.4. Для обеспечения безопасности персональных данных Клиентов Оператора при автоматизированной обработке предпринимаются следующие меры:
5.4.1. Все действия при автоматизированной обработке персональных данных Клиента Оператора осуществляются только работниками Оператора, согласно перечня должностей, утвержденного Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Данный Список должностей работников Оператора предусматривает замещение вышеуказанных должностей.
5.4.2. Персональные компьютеры, в которых содержатся персональные данные Клиентов Оператора, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности Оператора и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных Клиентов Оператора на данном ПК.
5.4.3. Иные меры, предусмотренные Положением о порядке обработки персональных данных.
5.5. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Оператора, если иное не определено законом.
6. Передача персональных данных клиентов третьим лицам
6.1. Передача персональных данных Клиентов Оператора третьим лицам осуществляется Оператором только с письменного согласия, за исключением случаев, если:
6.1.1. передача необходима для защиты жизни и здоровья Клиента Оператора, либо других лиц и получение его согласия невозможно;
6.1.2. по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
6.1.3. при наличии оснований, позволяющих полагать, что права и интересы Клиента Оператора могут быть нарушены противоправными действиями других лиц;
6.1.4. в целях организации работ с военными комиссариатами для постановки на воинский учет лиц, подлежащих призыву в порядке, установленном законодательством;
6.1.5. в иных случаях, прямо предусмотренных Федеральными законами.
6.2. Лица, которым в установленном законом порядке переданы сведения, составляющие персональные данные Клиента Оператора, за разглашение сведений несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3. Передача персональных данных Клиента Оператора третьим лицам осуществляется на основании заявления/запроса третьего лица с разрешающей визой руководителя Оператора при условии соблюдения требований, предусмотренных настоящим Положения.
6.4. Оператор обеспечивает ведение «Журнала учета запросов персональных данных Клиентов от третьих лиц», в котором регистрируются поступившие заявления/запросы, фиксируются уполномоченным лицом Оператора сведения о лице, направившем заявление/запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана. В случае если лицо, обратившееся с запросом, не является лицом, уполномоченным в соответствии с требованиями действующего законодательства на получение персональных данных Клиента Оператора, либо отсутствует письменное согласие Клиента Оператора на предоставление его персональных данных, Оператор обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Оператора.
6.5. В целях соблюдения законов и иных нормативных правовых актов Российской Федерации и обеспечения положений заключенных договоров возможна передача:
6.5.1. документов, содержащих сведения о доходах и налогах на доходы, сведений о пенсионных и других отчислениях, о движении и остатках по счетам Клиента в соответствии с Федеральным законодательством Российской Федерации;
6.5.2. персональных данных Клиента при принятии решений, порождающих юридические последствия в отношении Клиента Оператора или иным образом затрагивающее его права и законные интересы.
6.6. Передача указанных сведений и документов осуществляется с согласия Клиента, оформленного письменно в виде отдельного документа. После получения согласия Клиента дальнейшая передача указанных сведений и документов данным лицам, дополнительного письменного согласия не требует и в «Журнале учета запросов персональных данных Клиентов от третьих лиц» не фиксируется.
7. Общедоступные источники персональных данных клиентов оператора
7.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных (в том числе справочники, информационные стенды для потребителей услуг, оказываемых Оператором). В общедоступные источники персональных данных с письменного согласия Клиента могут включаться его фамилия, имя, отчество, адрес, рабочий номер, и иные персональные данные, предоставленные Клиентом.
7.2. При обезличивании персональных данных согласие Клиента на включение персональных данных в общедоступные источники персональных данных не требуется.
7.3. Сведения о Клиенте могут быть исключены из общедоступных источников персональных данных по требованию самого Клиента либо по решению суда или иных уполномоченных государственных органов.
8. Права клиента и обязанности оператора в области защиты его персональных данных
8.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты Оператора имеют право на получение информации, касающейся обработки его персональных данных, в том числе:
8.1.1. полную информацию о составе и содержимом обрабатываемых персональных данных, относящиеся к Клиенту Оператора, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
8.1.2. свободный доступ к своим персональным данным;
8.1.3. подтверждение факта обработки персональных данных Оператором;
8.1.4. правовые основания и цели обработки персональных данных;
8.1.5. применяемые Оператором способы обработки персональных данных;
8.1.6. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона № 152-ФЗ;
8.1.7. сроки обработки персональных данных, в том числе сроки их хранения;
8.1.8. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8.1.9. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8.1.10. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
8.1.11. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. При отказе Оператора исключить или исправить персональные данные Клиента Оператора, он имеет право заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия;
8.1.12. обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
8.1.13. иные права, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
8.2. Сведения должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Сведения предоставляются Клиенту или его законному представителю Оператором при обращении, либо при получении запроса Клиента или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Клиента в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Клиента или его законного представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления Клиенту по его запросу, Клиент вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором.
8.3. Оператор обязан:
8.3.1. предоставить Клиенту, по его запросу, информацию о наличии у Оператора его персональных данных, о целях и способах их обработки, разъяснить юридические последствия отказа Клиента от их предоставления в случае, если такая обязанность предусмотрена Федеральным Законом;
8.3.2. осуществить блокирование неправомерно обрабатываемых персональных данных Клиента или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения Клиента или его законного представителя, либо по запросу Клиента или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Клиента или третьих лиц, в случаях: выявления неправомерной обработки персональных данных; в случае выявления неточных персональных данных;
8.3.3 при подтверждения факта неточности персональных данных Клиента, уточнить эти данные, либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления уточненных сведений Клиентом или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, а также снять блокирование персональных данных Клиента;
8.3.4. прекратить неправомерную обработку персональных данных Клиента или обеспечить прекращение неправомерной обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий трех рабочих дней со дня выявления факта неправомерной обработки персональных данных;
8.3.5. уничтожить персональные данные Клиента или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти рабочих дней со дня выявления неправомерной обработки персональных данных. Об устранении допущенных нарушений или об уничтожении персональных данных, Оператор обязан уведомить Клиента или его законного представителя, а также уполномоченный орган по защите прав субъектов персональных данных в случае, если обращение Клиента или его законного представителя, либо запрос, были направлены уполномоченным органом по защите прав субъектов персональных данных;
8.3.6. прекратить обработку персональных данных Клиента или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные, или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней со дня достижения цели обработки персональных данных, если иное не предусмотрено договором между Оператором и Клиентом;
8.3.7. прекратить обработку персональных данных Клиента или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в случае отзыва Клиентом согласия на обработку его персональных данных;
8.3.8. уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней со дня поступления отзыва Клиентом согласия на обработку его персональных данных, если иное не предусмотрено договором;
8.3.9. в случае отсутствия возможности уничтожения персональных данных Клиента в течение указанного срока, осуществить их блокирование или обеспечить блокирование персональных данных Клиента (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством.
8.3.10. принимать возможные меры по обеспечению безопасности персональных данных Клиентов при их обработке.
8.4. Оператор имеет право:
8.4.1. требовать от Клиента предоставления персональных данных и документов, их подтверждающих, в объеме, необходимом для качественного оказания ему финансовых услуг и в случаях, предусмотренных Федеральными законами;
8.4.2. иные права, предусмотренные действующим законодательством.
9. Право на обжалование действий или бездействия оператора
9.1. Если Клиент Оператора считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального Закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
9.2. Клиент Оператора имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных клиентов оператора
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента Оператора, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
11. Прочие положения
11.1. Настоящее Положение утверждается в порядке, установленном Уставом Оператора, вступает в силу со дня его утверждения, и действует постоянно, до момента замены его новым.
11.2. Настоящее Положение распространяется на всех Клиентов Оператора, а так же работников Оператора, имеющих доступ к персональным данным Клиентов Оператора и осуществляющих весь перечень действий с персональными данными. Работники, допущенные к обработке персональных данных Клиентов Оператора, подлежат ознакомлению с данным документом в порядке, предусмотренном приказом руководителя Оператора под личную подпись.
11.3. В обязанности работников Оператора, осуществляющих первичный сбор персональных данных Клиентов Оператора входит получение согласия Клиента на обработку его персональных данных под личную подпись.