вы даете согласие на обработку персональных данных называя код ашан
Как бизнесу собирать согласия на обработку персональных данных у клиентов
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Ульяна Жаркова
Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.
Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают, в каких случаях необходимо собирать согласия на обработку персональных данных и как это правильно делать.
В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.
В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, вам надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.
Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Мы выделили три частых ситуации, когда бизнес собирает клиентские данные и нужно получить согласие на их обработку:
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.
Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.
Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.
При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.
Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.
Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.
В таблице — популярные способы сбора согласий.
| Способы сбора согласий в офлайне | Способы сбора согласий в онлайне |
|---|
Подтверждение согласия через СМС-код или звонок
С помощью двойного подтверждения (double opt-in) через e-mail или СМС
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что должно быть в согласии на обработку персональных данных
Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.
В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.
Размер штрафа зависит от вида нарушения.
| Вид нарушения | Штраф | Пример из жизни | Основание |
|---|
Повторное — от 100 до 300 тысяч рублей
Повторное — от 300 до 500 тысяч рублей
Значит, передача данных маркетинговому агентству незаконна
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Главное
Подписка на новое в Бизнес-секретах
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Рассылка для бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Закрыть
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания
Как отозвать согласие на обработку персональных данных
Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.
Когда можно отозвать согласие
Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.
В том числе к таким сведениям можно отнести:
Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.
Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.
Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.
Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.
Когда отзыв согласия не имеет значения для оператора персональных данных
Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:
Порядок отзыва индивидуальных данных
Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.
Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.
Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:
Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.
Образец заявления на отзыв
Заявление на отзыв персональных данных составляется следующим образом:
Образец отзыва персональных данных из банка может выглядеть так:
Руководителю Центрально-Черноземного банка ПАО «Банк»
Воронеж, ул. 9 Января, 28
от Держаева Виктора Петровича
Воронеж, ул. Комарова, 28, 15
Держаев В. П. /Держаев/
Последствия отзыва
Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.
Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.
Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.
Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов. » от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).
Итоги
Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.
ПОЛИТИКА ООО «АШАН»
в области обработки и защиты персональных данных
1. Общие положения
Политика Компании разработана в соответствии со следующими нормативными правовыми актами РФ:
1.1 Конституцией Российской Федерации;
1.2 Трудовым кодексом Российской Федерации;
1.3 Гражданским кодексом Российской Федерации;
1.4 Федеральным законом от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
1.5 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
1.6 Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
1.7 Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» и другими нормативными правовыми актами РФ в области защиты информации и персональных данных.
Настоящая Политика Компании распространяется на всех работников Компании, а также на третьих лиц, и является обязательной для исполнения всеми работниками Компании
2. Термины и определения, используемые в настоящей Политике Компании.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор – юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Ответственный за обработку персональных данных – работник Компании, назначаемый приказом Генерального директора Компании, осуществляющий обеспечение безопасности, защиты и соблюдения требований действующего законодательства при обработке персональных данных.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств.
Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
3. Область действия Политики Компании.
Компания осуществляет обработку персональных данных:
4. Цели обработки персональных данных.
Обработка персональных данных осуществляется с целью установления делового сотрудничества, заключения и исполнения договоров, взаимодействия в рамках заключенных договоров, обслуживания клиентов и мониторинга покупательского спроса, продвижения товаров и услуг, выполнения требований законодательных актов, иных нормативных документов, а также с целью трудоустройства соискателей на вакантные должности.
Компания собирает и обрабатывает персональные данные только в объеме, необходимом для достижения целей указанных в настоящем разделе Политики Компании.
Содержание обрабатываемых Компаниям персональных данных всех категорий субъектов персональных данных должны соответствовать целям обработки. Не допускается обработка персональных данных субъектов, объем которых превышает цели, заявленные при сборе персональных данных.
Компания может разрабатывать отдельные положения в отношении разных категорий субъектов персональных данных.
5. Сроки обработки персональных данных.
Сроки обработки персональных данных субъектов не должны превышать сроков, которые необходимы для целей обработки персональных данных, если иной срок не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Основные принципы обработки персональных данных.
Обработка персональных данных осуществляется на законной и справедливой основе.
Обработка персональных данных допускается:
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных информационных систем персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Объем и характер обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к определенным и заявленным целям их обработки при сборе персональных данных, а также полномочиям Оператора.
При обработке персональных данных должны быть обеспечены достоверность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка биометрических персональных данных (сведений, которые характеризуют физиологические особенности субъектов персональных данных, на основе которых можно установить их личность и, которые могут использоваться Обществом для установления личности) осуществляется в соответствии с требованиями действующего законодательства Российской Федерации. Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, а также в случаях предусмотренных Законом «О персональных данных».
7. Конфиденциальность персональных данных
Информация, относящаяся к персональным данным, ставшая известной Компании, является конфиденциальной и охраняется законом.
Работники Компании, а также иные лица, получившие доступ к обрабатываемым персональным данным, уведомлены о необходимости соблюдения конфиденциальности персональных данных, а также о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки персональных данных.
8. Права субъектов персональных данных.
Субъект персональных данных имеет право:
1. Получать доступ к своим персональным данным, уточнять, блокировать или уничтожать в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Получать от Компании информацию, касающуюся обработки его персональных данных, в том числе содержащую:
3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Компании. Компания рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Если субъект персональных данных считает, что Компания обрабатывает его персональные данные с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих законных прав и интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
1. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на законодательство, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Указанные сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Оператор может предоставить субъекту его персональные данные также в машиночитаемом виде, с учетом формата, в котором они хранятся в информационной системе.
В Компании введен “Порядок обработки обращений субъектов персональных данных”, “Порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных”, организован учет обращений и запросов в соответствующих журналах учета.
Общую организацию защиты персональных данных субъектов осуществляет Ответственный за обеспечение безопасности персональных данных.
10. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3. В случае выявления неправомерной обработки персональных данных (в том числе неправомерного распространения и предоставления данных), осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
11. Порядок обработки персональных данных.
Порядок обработки персональных данных определяется в соответствии с требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждёнными постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687; Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, Правилами внутреннего трудового распорядка Компании и иными локальными актами Компании.
12. Трансграничная передача персональных данных.
Компания осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего законодательства Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется при наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации о персональных данных.
13. Меры по обеспечению безопасности персональных данных при их обработке.
Компания при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
Обеспечение безопасности персональных данных достигается, в частности, путем создания системы защиты персональных данных, основанной на следующих принципах:
В рамках комплекса правовых мер разрабатываются и доводятся до сотрудников под роспись локальные нормативные правовые акты по обработке и защите персональных данных субъектов.
В рамках комплекса организационных мер:
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Компании организовано проведение периодических проверок условий обработки персональных данных.
14. Основные обязанности лиц, допущенных к обработке персональных данных.
Работники Компании, допущенные к обработке персональных данных субъектов, обязаны знать и соблюдать требования законодательства Российской Федерации в части обеспечения безопасности персональных данных, а также знать и соблюдать требования внутренних нормативных документов Компании.
Работники Компании, допущенные к обработке персональных данных субъектов, обязаны докладывать руководителю и/или ответственному за защиту за обеспечение безопасности персональных данных обо всех фактах и попытках несанкционированного доступа к персональным данным.
Иные обязанности работников, в трудовые обязанности которых входит обработка персональных данных субъектов, определяются также Правилами внутреннего трудового распорядка Компании, Положениями Компании, должностными инструкциями и иными документами Компании.
15. Ответственность за нарушение норм, регулирующих обработку персональных данных.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, материальную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
16. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации.
Базы данных информации, содержащие персональные данные граждан Российской Федерации, размещаются на территории Российской Федерации.
17. Заключительные положения.
Настоящая Политика Компании, а также все изменения к ней, утверждаются приказом Компании и вступают в силу с момента утверждения.
Вопросы толкования настоящей Политики Компании необходимо адресовать лицу, ответственному за обработку персональных данных Компании.
Действующая редакция Политики Компании хранится по адресу места нахождения исполнительного органа Компании.