1. Общие положения

1.1. Настоящим Положением устанавливается порядок обработки и защиты персональных данных клиентов (иных лиц) ООО «АН «ИНФИНИТИ» (далее – Общество).
1.2. Настоящее Положение регламентируется Конституцией Российской Федерации, Федеральным законом от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон), Постановлением Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативно-правовыми актами.
1.3. Основные понятия, используемые в Положении:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных (далее – субъект ПДн);
- оператор - Общество с ограниченной ответственностью «АГЕНТСТВО НЕДВИЖИМОСТИ «ИНФИНИТИ»;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- защита персональных данных - деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
Настоящее Положение устанавливает обязательные для сотрудников Общества общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные субъектов ПДн.
1.5. Настоящее Положение утверждается руководителем Общества и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъекта ПДн.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящим Положением и законодательством Российской Федерации.
2.2. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных субъекта ПДн обязан соблюдать следующие общие требования:
2.2.1. Обработка персональных данных субъекта ПДн должна осуществляться на законной и справедливой основе.
2.2.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией РФ и иными нормативными правовыми актами.
2.2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.2.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
2.2.8. Персональные данные следует получать лично у субъекта ПДн.
2.2.9. Запрещается получать и обрабатывать персональные данные субъекта ПДн данных о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
2.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3. Цели сбора, объем и категории обрабатываемых персональных данных

3.1. Обработка персональных данных в Обществе осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), блокирования, удаления, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных.
3.2. Оператором обрабатываются персональные данные в следующих целях:
3.2.1. Оказание услуг по договорам с клиентами (контрагентами) в области деятельности агентств недвижимости).
3.2.2. Обеспечение своевременного и всестороннего рассмотрения устных и письменных обращений субъекта персональных данных.
3.2.3. Исполнение запросов уполномоченных государственных и муниципальных органов, в том числе органов оперативно-розыскной деятельности.
3.3. В целях, указанных в п. 3.2.1, Оператором обрабатываются следующие категории субъектов ПДн:
- контрагенты;
- представители контрагентов;
- клиенты;
- законные представители;
- лица, состоящие в гражданско-правовых отношениях с Оператором;
- лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
В данной категории субъектов ПДн Оператором обрабатываются следующие категории персональных данных:
общие категории персональных данных:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- место рождения;
- семейное положение;
- доходы;
- пол;
- адрес места жительства;
- адрес регистрации;
- номер телефона;
- адрес электронной почты;
- СНИЛС;
- ИНН;
- гражданство;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- данные водительского удостоверения;
- данные документа, содержащиеся в свидетельстве о рождении;
- реквизиты банковской карты;
- номер расчетного счета;
- номер лицевого счета;
- профессия;
- должность;
- сведения о трудовой деятельности;
- отношение к воинской обязанности, сведения о воинском учете;
- сведения, собираемые посредством метрических программ;
- сведения об образовании;
специальные категории персональных данных:
- сведения о состоянии здоровья;
иные категории персональных данных:
- сведения о заключении (расторжении) брака
- сведения из правоустанавливающих документов на объект недвижимости.
3.4. Правовым основанием обработки персональных данных в целях, указанных в п. 3.2.1, являются:
- Конституция РФ, Гражданский кодекс РФ, Налоговый кодекс РФ, Федеральный закон от 06.12.2011г. № 402-ФЗ "О бухгалтерском учете", Федеральный закон от 07.08.2001г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
- уставные документы Общества;
- договоры, заключаемые между Обществом и субъектом ПДн;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
3.5. В целях, указанных в п. 3.2.2, Оператором обрабатываются следующие категории субъектов ПДн:
- лица, обратившиеся к Оператору с обращением, жалобой.
В данной категории субъектов ПДн Оператором обрабатываются следующие категории персональных данных:
- фамилия, имя, отчество;
- иные персональные данные, указанные в обращении, а также ставшие известными в процессе рассмотрения обращения.
3.6. Правовое основание обработки персональных данных в целях, указанных в п. 3.2.2, - обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
3.7. В целях, указанных в п. 3.2.3, Оператором обрабатываются следующие категории субъектов ПДн:
- лица, обработка персональных данных которых осуществляется в связи с исполнением запроса.
В данной категории субъектов ПДн Оператором обрабатываются следующие категории персональных данных:
- персональные данные, указанные в запросе уполномоченного государственного или муниципального органа, в том числе органов оперативно-розыскной деятельности, а также ставшие известными в процессе исполнения запроса.
3.8. Правовое основание обработки персональных данных с целью, указанной в п. 3.2.3, - обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
3.9. Оператор осуществляет обработку персональных данных в целях, указанных в п. 3.2.1-3.2.3, смешанным способом (с использованием средств автоматизации и без использования таковых).
3.10. Оператор не осуществляет трансграничную передачу персональных данных субъектов ПДн.
3.11. Сроки обработки и хранения персональных данных:
3.11.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных;
- при достижении целей их обработки;
- по истечении срока действия или при отзыве субъектом ПДн согласия на обработку его персональных данных с учетом условий, предусмотренных ст. 21 Федерального закона;
- при обращении субъекта ПДн к Оператору с требованием о прекращении обработки персональных данных, за исключение случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона.
3.11.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого является субъект персональных данных.
3.11.3. Персональные данные субъектов ПДн на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
3.11.4. Срок хранения персональных данных субъекта ПДн, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4. Организация защиты персональных данных

4.1. Защита персональных данных субъекта ПДн от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
4.2. При обработке персональных данных Оператор:
- обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечивает сохранность носителей персональных данных;
- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;
- назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
4.3. Сведения о субъектах ПДн хранятся на бумажных носителях в помещении Общества.
Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются, опечатываются и сдаются под охрану.
4.4. Персональные данные субъекта ПДн в электронном виде хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах в персональных компьютерах Оператора и сотрудников, допущенных к обработке персональных данных субъектов ПДн и защищенных индивидуальным паролем. Разглашение пароля доступа к персональному компьютеру сотрудника Оператора не допускается.
4.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.6. К обработке персональных данных субъекта ПДн могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными субъекта ПДн и подписавшие обязательство о неразглашении персональных данных субъекта ПДн.
4.7. Сотрудники Оператора, имеющие доступ к персональным данным субъекта ПДн, выполняют действия по обработке персональных данных в соответствии со служебной необходимостью и возложенными на них функциями в рамках должностных инструкций.
4.8. Защите подлежат:
4.8.1. Информация о персональных данных субъекта ПДн.
4.8.2. Документы на бумажных носителях, содержащие персональные данные субъекта ПДн.
4.8.3. Персональные данные, содержащиеся на электронных носителях.
4.9. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных субъекта ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона, в частности:
1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
3) применяет прошедшую в установленном порядке процедуру оценки соответствия средств защиты информации;
3.1) применяет для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) осуществляет учет машинных носителей персональных данных;
6) осуществляет поиск фактов несанкционированного доступа к персональным данным и принимает меры, в том числе меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
8) устанавливает правила доступа к персональным данным, обрабатываемых в информационной системе персональные данные, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролирует принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.10. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.
4.11. Ответственные лица соответствующих подразделений, хранящих персональные данные субъекта ПДн на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства РФ от 15 сентября 2008 г. № 687.
4.12. Ответственные лица структурных подразделений, обрабатывающие персональные данные субъекта ПДн в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

5. Передача персональных данных

5.1. При передаче персональных данных субъекта ПДн Общество соблюдает следующие требования:
- не сообщать персональные субъекта ПДн третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в других случаях, установленных федеральными законами;
- не сообщать персональные данные субъекта ПДн в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта ПДн, обязаны соблюдать режим секретности (конфиденциальности);
- разрешать доступ к персональным данным субъекта ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта ПДн, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья субъекта ПДн.
5.2. Все сведения о передаче персональных данных субъекта ПДн учитываются для контроля правомерности использования данной информации лицами, ее получившими.
5.3. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия субъекта ПДн на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
5.4. Передача информации, содержащей сведения о персональных данных субъекта ПДн, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

6. Обязанности Оператора и субъекта ПДн

6.1. Оператор обязуется:
6.1.1. За свой счет обеспечить защиту персональных данных субъекта ПДн от их неправомерного использования или утраты в порядке, установленном законодательством РФ.
6.1.2. Осуществлять обработку персональных данных субъекта ПДн в исключительно в целях оказания законных услуг субъекта ПДн.
6.1.3. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
1) назначение Оператором ответственного за организацию обработки персональных данных;
2) издание Оператором документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категорий и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
6.1.4. Получать персональные данные субъекта ПДн непосредственно у него самого. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Общества должны сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.
6.1.5. Разъяснить субъекту ПДн юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с Федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными.
6.1.6. Не получать и не обрабатывать персональные данные субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.
6.1.7. В случае прекращения деятельности Оператора обеспечить учет и сохранность документов, порядок передачи их на государственное хранение в соответствии с правилами, предусмотренными действующим законодательством Российской Федерации.
6.1.8. По требованию субъекта ПДн или его законного представителя предоставить полную информацию о его персональных данных и обработке этих данных.
6.2. В целях обеспечения достоверности персональных данных субъект ПДн обязуется:
- при заключении договора с Обществом предоставить Обществу полные и достоверные данные о себе;
- в случае изменения сведений, составляющих персональные данные субъекта ПДн, в течении 14 календарных дней предоставить данную информацию Обществу.

7. Права субъекта ПДн на защиту его персональных данных

7.1. Субъект ПДн в целях обеспечения защиты своих персональных данных, хранящихся у Оператора, имеет право на:
- полную информацию об их персональных данных и обработке этих данных, в том числе содержащую: подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального Закона;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПДн, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального Закона. При отказе Оператора исключить или исправить персональные данные субъекта ПДн он имеет право заявить в письменной форме организации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект ПДн имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите персональных данных.
7.2. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Порядок уничтожения, блокирования персональных данных

8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, или обеспечить их блокирование с момента такого обращения на период проверки.
8.2. В случае выявления неточных персональных данных при обращении субъекта ПДн Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту ПДн, или обеспечить их блокирование с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом ПДн, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.
8.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта ПДн.
8.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта ПДн, Оператор обязан в течении 24-х часов уведомить уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте и в течении 72-х часов сообщить о результатах внутреннего расследования выявленного инцидента.
8.7. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
8.8. В случае отзыва субъектом ПДн согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором субъектом ПДн либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом.
8.9. В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных Федеральным законом. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.4-8.9 настоящего Положения, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.11. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта ПДн, или при наступлении иных законных оснований документы подлежат уничтожению.
8.12. Оператор для этих целей создает экспертную комиссию, состав которой определяется руководителем Общества.
8.13. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.14. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных на носителе:
- персональные данные на бумажном носителе уничтожаются путем измельчения;
- персональные данные на электронном носителе уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.15. Факт уничтожения персональных данных, согласно Требований к подтверждению уничтожения персональных данных, утвержденных приказом Роскомнадзора от 28.10.2022 № 179, подтверждается актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные действующим законодательством, недостающие сведения вносятся в акт об уничтожении персональных данных.
8.16. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронной подписью.
8.17. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
8.18. Форма акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом руководителя Общества.

9. Ответственность за нарушение норм, регулирующих обработку персональных данных

9.1. Общество несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные субъекта ПДн, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Любое лицо может обратиться к Оператору с жалобой на нарушение норм данного Положения и действующего законодательства по вопросам защиты персональных данных.
Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в десятидневный срок со дня их поступления.
9.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10. Заключительные положения

10.1. Настоящее положение вступает в силу с момента его утверждения.
10.2. Настоящее Положение подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов Общества в области защиты конфиденциальной информации.
10.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных нормы Положения, противоречащие законодательству, не применяются до приведения их в соответствие.
10.4. Общество обеспечивает неограниченный доступ к настоящему документу.
10.5. Настоящее Положение доводится до сведения всех работников Общества, имеющих доступ к персональным данным субъектов ПДн, персонально под роспись.