ПОЛИТИКА в области обработки и защиты персональных данных ООО ИК «Айгенис»
Утвержден
Приказом Генерального директора
ООО ИК «Айгенис»
No 18-11-2022/1 от 18.11.2022
г. Москва, 2022 г.
Оглавление
1. Общие положения, основные понятия, определения и сокращения, используемые в настоящем положении – 3
2. Термины и определения – 3
3. Цели обработки персональных данных – 4
4. Классификация персональных данных и Субъектов персональных данных – 5
5. Общие принципы обработки персональных данных – 5
6. Основные участники системы управления процессом обработки персональных данных – 7
7. Организация системы управления процессом обработки персональных данных – 7
8. Правила рассмотрения запросов Субъектов персональных данных или их представителей – 8
9. Заключительные положения – 12
1. Общие положения, основные понятия, определения и сокращения, используемые в настоящем положении – 3
2. Термины и определения – 3
3. Цели обработки персональных данных – 4
4. Классификация персональных данных и Субъектов персональных данных – 5
5. Общие принципы обработки персональных данных – 5
6. Основные участники системы управления процессом обработки персональных данных – 7
7. Организация системы управления процессом обработки персональных данных – 7
8. Правила рассмотрения запросов Субъектов персональных данных или их представителей – 8
9. Заключительные положения – 12
1. Общие положения, основные понятия, определения и сокращения, используемые в настоящем положении.
1.1. Политика в отношении обработки персональных данных (далее – Политика) в Обществе с ограниченной ответственностью «Инвестиционная компания «Айгенис» (далее – Общество, Оператор) определяет основные принципы, условия и способы обработки персональных данных, с использованием средств автоматизации или без использования таких средств, права субъектов персональных данных и перечень мер, в целях обеспечения безопасности персональных данных при их обработке.
1.2. Настоящая Политика разработана с учетом выполнения требований действующего законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности, конфиденциальности такой информации.
1.3. Целью Политики является соблюдение прав и свобод человека и гражданина при обработке его персональных данных в информационных системах Общества, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Действие Политики распространяется на все структурные подразделения Общества.
1.5. Настоящая Политика устанавливает:
• цели обработки персональных данных;
• классификацию персональных данных и Субъектов персональных данных;
• общие принципы обработки персональных данных;
• основных участников системы управления процессом обработки персональных данных;
• основные подходы к системе управления процессом обработки персональных данных.
1.6. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных и подлежит размещению на официальном сайте Общества или иным образом обеспечивается неограниченный доступ к настоящему документу.
1.7. Настоящий документ является локальным нормативным актом Общества и вступает в силу с момента подписания Генеральным директором Общества приказа о введении его в действие.
2. Термины и определения.
2.1. Если иное прямо не оговорено, все термины и определения, используемые в настоящей Политике, понимаются и трактуются в соответствии с действующим законодательством Российской Федерации. Применяемые в тексте Политики следующие термины, используются в нижеприведенных значениях:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных).
Специальных категорий персональных данных – данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные – Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Общедоступные персональные данные – персональные данные, доступ к которым предоставлен неограниченному кругу лиц субъектом персональных данных либо по его просьбе.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДи) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Цели обработки персональных данных.
3.1. Персональные данные обрабатываются в Обществе в целях:
1) обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
2) осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
3) регулирования трудовых отношений с сотрудниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
4) осуществления профессиональной деятельности на рынке ценных бумаг в соответствии с Уставом Общества и выданными Обществу лицензиями;
5) подготовки, заключения, исполнения и прекращения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
6) формирования статистической отчетности, в том числе для предоставления Банку России;
7) осуществления Обществом административно-хозяйственной деятельности;
8) исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
9) осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
10) в иных законных целях.
4. Классификация персональных данных и Субъектов персональных данных.
4.1 К персональным данным относится любая информация, относящаяся к прямо или косвенно
определенному, или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая
Обществом для достижения заранее определенных целей.
4.2 Общество не осуществляет обработку специальных категорий персональных данных,
касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских
убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством
Российской Федерации.
4.3 Общество осуществляет обработку персональных данных следующих категорий Субъектов
персональных данных:
• физические лица, являющиеся кандидатами на должность;
• физические лица, являющиеся сотрудниками Общества и их близких родственников;
• физические лица, являющиеся клиентами Общества;
• физические лица, являющиеся представителями клиентов Общества;
• физические лица, являющиеся бенефициарами или выгодоприобретателями клиентов Общества;
• физические лица, не относящиеся к клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом административно-хозяйственной деятельности при условии, что их персональные данные включены в автоматизированные системы Общества и обрабатываются в соответствии с Законодательством о персональных данных;
• иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных Законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
5. Общие принципы обработки персональных данных.
5.1 Общество осуществляет обработку персональных данных на основе общих принципов:
• законности заранее определенных конкретных целей и способов обработки персональных данных;
• обеспечения надлежащей защиты персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
5.2 В рамках обработки персональных данных для Субъекта персональных данных и Общества определены следующие права.
5.2.1. Субъект персональных данных имеет право:
• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
• принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку персональных данных.
5.2.2. Общество имеет право:
• обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
• требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
• ограничить доступ Субъекта персональных данных к его персональным данным в случае, если обработка персональных данных осуществляется в соответствии с Законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать общедоступные персональные данные физических лиц;
• осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.
6. Основные участники системы управления процессом обработки персональных данных.
6.1 В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.
6.1.1. Единоличный исполнительный орган Общества:
• определяет, рассматривает и утверждает политику Общества в отношении обработки персональных данных;
• назначает лицо, ответственное за организацию обработки персональных данных и определяет подразделение, ответственное за управление процессом обработки персональных данных.
6.1.2. Лицо, ответственное за организацию обработки персональных данных:
• организует и контролирует разработку процесса обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями Законодательства о персональных данных и настоящей Политики;
• осуществляет управление процессом обработки персональных данных;
• разрабатывает и представляет для утверждения генеральному директору Общества Политику и иные локальные документы, касающиеся вопросов обработки персональных данных;
• осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Обществе.
7. Организация системы управления процессом обработки персональных данных.
7.1 Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.
7.2 Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.
7.3 Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
• перечень действий (операций) с персональными данными, которые будут совершаться третьим
лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
7.4 Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.5 Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым поручает обработку персональных данных Субъекта персональных данных.
7.6 Доступ к обрабатываемым персональным данным предоставляется только тем сотрудникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.7 Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных Обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.
7.8 Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.9 Общество обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих сотрудников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
7.10 Обеспечение безопасности обрабатываемых персональных данных осуществляется Обществом в рамках системы по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.
7.11 Общество осуществляет хранение персональных данных с использованием базы данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона No 152 ФЗ «О персональных данных».
7.12 Общество устанавливает особый режим доступа в те помещения, где хранятся персональный данные, в целях защиты последних от несанкционированных доступа, изменений или распространения.
7.13 Общество обеспечивает сохранность документации, содержащей персональные данные в соответствии со сроками ее хранения.
8. Правила рассмотрения запросов Субъектов персональных данных или их представителей.
8.1. Настоящим разделом определяется порядок учета (регистрации), рассмотрения запросов Субъектов персональных данных или их представителей (далее – запросы).
8.2. Субъекты персональных данных и их представители, уполномоченные органы вправе подавать запросы / обращения по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным.
8.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона No 152 ФЗ «О персональных данных».
8.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом No 152 ФЗ «О персональных данных» меры по защите своих прав.
8.5. Сведения, указанные в части 7 статьи 14 Федерального закона Федерального закона No 152 ФЗ «О персональных данных», должны быть предоставлены Субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.6. Сведения, указанные в части 7 статьи 14 Федерального закона Федерального закона No 152 ФЗ «О персональных данных», предоставляются Субъекту персональных данных или его представителю при обращении либо при получении запроса Субъекта персональных данных или его представителя.
8.7. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись Субъекта персональных данных или его представителя. Запрос может быть предоставлен на бумажном носителе в офисе Общества.
8.8. Рассмотрение запросов является служебной обязанностью начальника, заместителей начальника и уполномоченных должностных лиц, в чьи обязанности входит обработка персональных данных.
8.9. Должностные лица Общества обеспечивают:
• объективное, всестороннее и своевременное рассмотрения запроса;
• принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
• направление письменных ответов по существу запроса.
8.10. Все поступившие запросы регистрируются в день их поступления в общем порядке в «Журнале входящих документов». На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.
8.11. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту персональных данных по его запросу, Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», и ознакомления с такими персональными данными не ранее чем через 30(Тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом No 152 ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных.
8.12. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
8.13. Общество вправе отказать Субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона No 152 ФЗ «О персональных данных». Такой отказ должен быть мотивированным.
8.14. После регистрации запрос в тот же день предоставляется генеральному директору Общества либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
8.15. Генеральный директор Общества, его заместители и другие должностные лица при рассмотрении и разрешении запроса обязаны:
• внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы с целью проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
• принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
• сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
8.16. Общество обязано сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта персональных данных или его представителя либо в течение 30(Тридцати) дней с даты получения запроса Субъекта персональных данных или его представителя.
8.17. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте персональных данных или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя уполномоченные должностные лица Общества обязаны дать мотивированный ответ в письменной форме - Отказ в предоставлении сведений п.8 ст. 14 или п. 2 ст. 14, или п.3 ст.14 Федерального закона No 152 ФЗ «О персональных данных», содержащий ссылку на положение вышеуказанного Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (Тридцати) дней со дня обращения Субъекта персональных данных или его представителя, либо с даты получения запроса Субъекта персональных данных или его представителя.
8.18. Общество обязано предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных.
8.19. В срок, не превышающий 7 (Семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Общества обязаны внести в них необходимые изменения.
8.20. В срок, не превышающий 7 (Семи) рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Общества обязаны уничтожить такие персональные данные и составить Акт об уничтожении персональных данных и Уведомление об уничтожении персональных данных.
8.21. Общество обязано уведомить Субъекта персональных данных или его представителя о внесенных изменениях, предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
8.22. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Общества обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки с составлением Уведомления о блокировании персональных данных.
8.23. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Общества обязаны осуществить блокирование персональных данных, относящихся к этому Субъект персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
8.24. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица Общества на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение 7 (Семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.25. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица Общества в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица Общества в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить Субъекта персональных данных или его представителя, а в случае, если обращение Субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.26. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
8.27. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудниками Общества действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. О результатах служебной проверки докладывается генеральному директору Общества.
8.28. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы,
приняты необходимые меры и даны исчерпывающие ответы заявителю.
8.29. Генеральный директор Общества осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящей Политикой рассмотрения запросов.
8.30. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.
8.31. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
9. Заключительные положения.
Настоящая Политика утверждается Приказом единоличного исполнительного органа – генерального директора Общества. Если отдельные статьи настоящего Политики вступают в противоречие с законодательством, нормативными актами Российской Федерации или Уставом Общества, эти статьи утрачивают силу, и в части регулируемых этими статьями вопросов следует руководствоваться нормами законодательства Российской Федерации. Недействительность отдельных статей настоящей Политики не влечет признание недействительности других статей Политики или Политики в целом. Общество, а также его должностные лица и сотрудники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
1.1. Политика в отношении обработки персональных данных (далее – Политика) в Обществе с ограниченной ответственностью «Инвестиционная компания «Айгенис» (далее – Общество, Оператор) определяет основные принципы, условия и способы обработки персональных данных, с использованием средств автоматизации или без использования таких средств, права субъектов персональных данных и перечень мер, в целях обеспечения безопасности персональных данных при их обработке.
1.2. Настоящая Политика разработана с учетом выполнения требований действующего законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности, конфиденциальности такой информации.
1.3. Целью Политики является соблюдение прав и свобод человека и гражданина при обработке его персональных данных в информационных системах Общества, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Действие Политики распространяется на все структурные подразделения Общества.
1.5. Настоящая Политика устанавливает:
• цели обработки персональных данных;
• классификацию персональных данных и Субъектов персональных данных;
• общие принципы обработки персональных данных;
• основных участников системы управления процессом обработки персональных данных;
• основные подходы к системе управления процессом обработки персональных данных.
1.6. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных и подлежит размещению на официальном сайте Общества или иным образом обеспечивается неограниченный доступ к настоящему документу.
1.7. Настоящий документ является локальным нормативным актом Общества и вступает в силу с момента подписания Генеральным директором Общества приказа о введении его в действие.
2. Термины и определения.
2.1. Если иное прямо не оговорено, все термины и определения, используемые в настоящей Политике, понимаются и трактуются в соответствии с действующим законодательством Российской Федерации. Применяемые в тексте Политики следующие термины, используются в нижеприведенных значениях:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных).
Специальных категорий персональных данных – данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные – Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Общедоступные персональные данные – персональные данные, доступ к которым предоставлен неограниченному кругу лиц субъектом персональных данных либо по его просьбе.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДи) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Цели обработки персональных данных.
3.1. Персональные данные обрабатываются в Обществе в целях:
1) обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
2) осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
3) регулирования трудовых отношений с сотрудниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
4) осуществления профессиональной деятельности на рынке ценных бумаг в соответствии с Уставом Общества и выданными Обществу лицензиями;
5) подготовки, заключения, исполнения и прекращения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
6) формирования статистической отчетности, в том числе для предоставления Банку России;
7) осуществления Обществом административно-хозяйственной деятельности;
8) исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
9) осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
10) в иных законных целях.
4. Классификация персональных данных и Субъектов персональных данных.
4.1 К персональным данным относится любая информация, относящаяся к прямо или косвенно
определенному, или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая
Обществом для достижения заранее определенных целей.
4.2 Общество не осуществляет обработку специальных категорий персональных данных,
касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских
убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством
Российской Федерации.
4.3 Общество осуществляет обработку персональных данных следующих категорий Субъектов
персональных данных:
• физические лица, являющиеся кандидатами на должность;
• физические лица, являющиеся сотрудниками Общества и их близких родственников;
• физические лица, являющиеся клиентами Общества;
• физические лица, являющиеся представителями клиентов Общества;
• физические лица, являющиеся бенефициарами или выгодоприобретателями клиентов Общества;
• физические лица, не относящиеся к клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом административно-хозяйственной деятельности при условии, что их персональные данные включены в автоматизированные системы Общества и обрабатываются в соответствии с Законодательством о персональных данных;
• иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных Законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
5. Общие принципы обработки персональных данных.
5.1 Общество осуществляет обработку персональных данных на основе общих принципов:
• законности заранее определенных конкретных целей и способов обработки персональных данных;
• обеспечения надлежащей защиты персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
5.2 В рамках обработки персональных данных для Субъекта персональных данных и Общества определены следующие права.
5.2.1. Субъект персональных данных имеет право:
• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;
• принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку персональных данных.
5.2.2. Общество имеет право:
• обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
• требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
• ограничить доступ Субъекта персональных данных к его персональным данным в случае, если обработка персональных данных осуществляется в соответствии с Законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать общедоступные персональные данные физических лиц;
• осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.
6. Основные участники системы управления процессом обработки персональных данных.
6.1 В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.
6.1.1. Единоличный исполнительный орган Общества:
• определяет, рассматривает и утверждает политику Общества в отношении обработки персональных данных;
• назначает лицо, ответственное за организацию обработки персональных данных и определяет подразделение, ответственное за управление процессом обработки персональных данных.
6.1.2. Лицо, ответственное за организацию обработки персональных данных:
• организует и контролирует разработку процесса обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями Законодательства о персональных данных и настоящей Политики;
• осуществляет управление процессом обработки персональных данных;
• разрабатывает и представляет для утверждения генеральному директору Общества Политику и иные локальные документы, касающиеся вопросов обработки персональных данных;
• осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Обществе.
7. Организация системы управления процессом обработки персональных данных.
7.1 Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.
7.2 Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.
7.3 Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
• перечень действий (операций) с персональными данными, которые будут совершаться третьим
лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
7.4 Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.5 Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым поручает обработку персональных данных Субъекта персональных данных.
7.6 Доступ к обрабатываемым персональным данным предоставляется только тем сотрудникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.7 Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных Обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.
7.8 Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.9 Общество обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих сотрудников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
7.10 Обеспечение безопасности обрабатываемых персональных данных осуществляется Обществом в рамках системы по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.
7.11 Общество осуществляет хранение персональных данных с использованием базы данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона No 152 ФЗ «О персональных данных».
7.12 Общество устанавливает особый режим доступа в те помещения, где хранятся персональный данные, в целях защиты последних от несанкционированных доступа, изменений или распространения.
7.13 Общество обеспечивает сохранность документации, содержащей персональные данные в соответствии со сроками ее хранения.
8. Правила рассмотрения запросов Субъектов персональных данных или их представителей.
8.1. Настоящим разделом определяется порядок учета (регистрации), рассмотрения запросов Субъектов персональных данных или их представителей (далее – запросы).
8.2. Субъекты персональных данных и их представители, уполномоченные органы вправе подавать запросы / обращения по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным.
8.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона No 152 ФЗ «О персональных данных».
8.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом No 152 ФЗ «О персональных данных» меры по защите своих прав.
8.5. Сведения, указанные в части 7 статьи 14 Федерального закона Федерального закона No 152 ФЗ «О персональных данных», должны быть предоставлены Субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.6. Сведения, указанные в части 7 статьи 14 Федерального закона Федерального закона No 152 ФЗ «О персональных данных», предоставляются Субъекту персональных данных или его представителю при обращении либо при получении запроса Субъекта персональных данных или его представителя.
8.7. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись Субъекта персональных данных или его представителя. Запрос может быть предоставлен на бумажном носителе в офисе Общества.
8.8. Рассмотрение запросов является служебной обязанностью начальника, заместителей начальника и уполномоченных должностных лиц, в чьи обязанности входит обработка персональных данных.
8.9. Должностные лица Общества обеспечивают:
• объективное, всестороннее и своевременное рассмотрения запроса;
• принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
• направление письменных ответов по существу запроса.
8.10. Все поступившие запросы регистрируются в день их поступления в общем порядке в «Журнале входящих документов». На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.
8.11. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту персональных данных по его запросу, Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», и ознакомления с такими персональными данными не ранее чем через 30(Тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом No 152 ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных.
8.12. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона No 152 ФЗ «О персональных данных», а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
8.13. Общество вправе отказать Субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона No 152 ФЗ «О персональных данных». Такой отказ должен быть мотивированным.
8.14. После регистрации запрос в тот же день предоставляется генеральному директору Общества либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
8.15. Генеральный директор Общества, его заместители и другие должностные лица при рассмотрении и разрешении запроса обязаны:
• внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы с целью проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
• принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
• сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
8.16. Общество обязано сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта персональных данных или его представителя либо в течение 30(Тридцати) дней с даты получения запроса Субъекта персональных данных или его представителя.
8.17. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте персональных данных или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя уполномоченные должностные лица Общества обязаны дать мотивированный ответ в письменной форме - Отказ в предоставлении сведений п.8 ст. 14 или п. 2 ст. 14, или п.3 ст.14 Федерального закона No 152 ФЗ «О персональных данных», содержащий ссылку на положение вышеуказанного Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (Тридцати) дней со дня обращения Субъекта персональных данных или его представителя, либо с даты получения запроса Субъекта персональных данных или его представителя.
8.18. Общество обязано предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных.
8.19. В срок, не превышающий 7 (Семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Общества обязаны внести в них необходимые изменения.
8.20. В срок, не превышающий 7 (Семи) рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Общества обязаны уничтожить такие персональные данные и составить Акт об уничтожении персональных данных и Уведомление об уничтожении персональных данных.
8.21. Общество обязано уведомить Субъекта персональных данных или его представителя о внесенных изменениях, предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
8.22. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Общества обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки с составлением Уведомления о блокировании персональных данных.
8.23. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Общества обязаны осуществить блокирование персональных данных, относящихся к этому Субъект персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
8.24. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица Общества на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение 7 (Семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.25. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица Общества в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица Общества в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить Субъекта персональных данных или его представителя, а в случае, если обращение Субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.26. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
8.27. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудниками Общества действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. О результатах служебной проверки докладывается генеральному директору Общества.
8.28. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы,
приняты необходимые меры и даны исчерпывающие ответы заявителю.
8.29. Генеральный директор Общества осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящей Политикой рассмотрения запросов.
8.30. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.
8.31. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
9. Заключительные положения.
Настоящая Политика утверждается Приказом единоличного исполнительного органа – генерального директора Общества. Если отдельные статьи настоящего Политики вступают в противоречие с законодательством, нормативными актами Российской Федерации или Уставом Общества, эти статьи утрачивают силу, и в части регулируемых этими статьями вопросов следует руководствоваться нормами законодательства Российской Федерации. Недействительность отдельных статей настоящей Политики не влечет признание недействительности других статей Политики или Политики в целом. Общество, а также его должностные лица и сотрудники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.