Политика обработки персональных данных Нижегородского Акционерного Общества «Гидромаш»

  1. Общие положения
    1. Настоящая Политика обработки персональных данных (далее – Политика) Нижегородского Акционерного Общества «Гидромаш» (далее – Оператор) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также иных нормативных правовых актов Российской Федерации в области защиты и обработки персональных данных. Данная Политика действует в отношении всех персональных данных, которые Оператор может получить от Субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг Оператора, а также от Субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Субъект, Работник), в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты.

    2. Политика действует в отношении всех персональных данных, которые обрабатывает Нижегородское Акционерное Общество «Гидромаш».
  2. Понятия и определения
    1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);

      Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

      Субъект персональных данных (Субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

      В рамках настоящей Политики к ним относятся: уполномоченные представители контрагентов Общества (клиентов, заказчиков, подрядчиков), работники Оператора, в том числе уволенные, а также члены их семьи, кандидаты для приёма на работу, студенты-практиканты, а также иные Субъекты, чьи персональные данные обрабатываются с согласия Субъектов или без такового согласия в порядке, предусмотренном действующим законодательством РФ.

      Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

      Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

      Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из информационной системы персональных данных, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из Субъектов персональных данных, осуществляются при непосредственном участии человека.

      Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

      Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

      Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

      Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

      Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.

      Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

      Доступ – возможность получения доступа к персональным данным и их использование.

      Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных либо по его просьбе, а также персональные данные, которые включены в общедоступные источники персональных данных (справочники) с письменного согласия Субъекта персональных данных.

      Согласие – согласие Субъекта персональных данных на обработку его персональных данных, предоставленное им в электронной форме путем принятия условий использования Сайта или Приложения путём проставления «галочки» в соответствующей графе согласия или нажатия кнопки «Принимаю».

      Актуальные угрозы безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при обработке в информационной системе персональных данных, результатом которого могут стать, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

      Конфиденциальность персональных данных это обязательное для соблюдения оператором или иным получившим доступ к ПД лицом требование не допускать их распространения без согласия Субъекта ПД или наличия иного законного основания.

      Актуализация персональных данных – это оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством РФ.

  3. Права и обязанности Оператора и Субъекта персональных данных
    1. Оператор персональных данных обязан:
      1. Получать согласия Субъектов на обработку персональных данных, за исключением случаев, предусмотренных законодательством РФ, в соответствии с которым обработка персональных данных возможна без согласия Субъекта персональных данных.
      2. При сборе персональных данных обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов.
      3. Не сообщать, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъектов персональных данных, за исключением случаев, когда такое раскрытие или распространение допускается или требуется в соответствии с законами РФ.
      4. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, предоставления, распространения, разглашения, а также от иных неправомерных действий в отношении персональных данных.
      5. Обеспечивать неограниченный доступ к настоящей Политике на официальном сайте Оператора www.hydromash.ru.
      6. Блокировать или обеспечивать блокирование персональных данных на период внутренней проверки в случае выявления: неправомерной обработки персональных данных, неточных персональных данных, отсутствия возможности уничтожения персональных данных в течение срока, указанного в законодательстве РФ в области персональных данных или в локальных актах Оператора.
      7. Сообщать в установленном порядке Субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим Субъектам, безвозмездно предоставлять возможность ознакомления с этими персональными данными при обращении или поступлении запросов указанных Субъектов персональных данных или их представителей, если иное не установлено законодательством РФ.
      8. Уведомлять Субъектов персональных данных или их представителей о внесенных изменениях и мерах, предпринятых в соответствии с пп.7.15-7.19. настоящей Политики и предпринимать разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
      9. По запросу Субъекта персональных данных или его представителя вносить необходимые изменения в персональные данные, если они являются неполными, неточными или неактуальными, или уничтожать персональные данные, если в соответствии с предоставленными Субъектом или его представителем сведениями персональные данные не являются необходимыми для заявленной цели обработки.
      10. Выполнять иные обязанности, возложенные на Оператора персональных данных в соответствии с законодательством РФ.
    2. Оператор персональных данных имеет право:
      1. Осуществлять обработку персональных данных, полученных законным способом, для целей, установленных настоящей Политикой и согласиями Субъектов на обработку персональных данных.
      2. Поручить обработку персональных данных другому лицу с согласия Субъектов персональных данных, на основании заключаемого с этим лицом договора.
      3. Ограничить доступ Субъекта персональных данных к его персональным данным в соответствии с Федеральными законами, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.
      4. Совершать иные действия с персональными данными, не противоречащие законодательству РФ в области персональных данных.
    3. Субъект персональных данных обязан:
      1. Передавать Оператору достоверные, только документально подтверждённые персональные данные, состав которых установлен законодательством РФ;
      2. Своевременно сообщать Оператору об изменении уже полученных Оператором персональных данных.
      3. Принимать во внимание и учитывать, что отказ от предоставления Оператору персональных данных, отказ от предоставления Оператору согласия на обработку персональных данных или отзыв раннее данного Оператору согласия на обработку персональных данных может повлечь невозможность дальнейшего выполнения Оператором своих обязательств в отношении Субъекта персональных данных.
    4. Субъект персональных данных имеет право:
      1. Получать информацию, касающуюся обработки своих персональных данных, в порядке и в объёме, предусмотренных Законом.
      2. Осуществлять свободный бесплатный доступ к своим персональным данным, за исключением случаев, когда законодательством РФ предусматривается иное.
      3. Требовать от Оператора уточнения персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
      4. Принимать предусмотренные законодательством РФ меры по защите своих прав.
      5. Отозвать согласие на обработку его Персональных данных путем направления Оператору письменного уведомления с требованием о прекращении обработки персональных данных.
      6. Обжаловать действия и бездействия Оператора в порядке, предусмотренном законодательством РФ.
      7. Осуществлять иные права, предоставленные законодательством РФ.
  4. Цели обработки персональных данных
    1. Обработка персональных данных Субъектов осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    2. Обработке подлежат только персональные данные, которые отвечают целям их обработки с обязательным соблюдением порядка их обработки, указанном в настоящей Политике.
    3. Обработка Оператором персональных данных осуществляется в следующих целях:

      -обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

      -осуществление своей деятельности в соответствии с Уставом Оператора;

      -подготовки, заключения, исполнения и прекращения договоров (работы, товары услуги, лицензии) с контрагентами Оператора, как на бумажном носителе, так и в электронном виде;

      -ведение кадрового делопроизводства;

      -поощрение Работников (доска почёта, внутрикорпоративная газета, озвучивание наград и достижений Работников на внутрикорпоративных мероприятиях );

      -оформление доверенностей, обработки авансовых отчётов, инвентаризации, оформление и обработка актов о списании материальных ценностей и иных первичных учётных документов Оператора;

      -соблюдение трудового, налогового, пенсионного Законодательства РФ.

      -содействие Работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;

      -привлечение и отбор кандидатов на работу у Оператора;

      -организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования, в фонд социального страхования, и иные государственные органы;

      -заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

      -осуществление гражданско-правовых отношений;

      -ведение бухгалтерского учета, расчёт и начисление заработной платы;

      -регулирования трудовых отношений с Работниками Общества ;

      -представления Работникам Оператора и членам их семей дополнительных гарантий и компенсаций, других видов социального обеспечения;

      -защиты жизни, здоровья или иных жизненных интересов Субъектов персональных данных;

      -развития внутрикорпоративной культуры;

      -исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

      -для осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора либо достижения значимых целей;

      -осуществление пропускного и внутриобъектового режимов на объектах Оператора;

      -в иных случаях, не запрещённых законодательством РФ, в том числе целях исполнения требований законодательства РФ.

  5. Правовые основания обработки персональных данных
    1. Правовым основанием обработки персональных данных является совокупность нормативных и локальных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

      -Конституция Российской Федерации;

      -Гражданский кодекс Российской Федерации;

      -Трудовой кодекс Российской Федерации;

      -Налоговый кодекс Российской Федерации;

      -Указ Президента РФ от 06 марта 1997 г. № 188 « Об утверждении перечня сведений конфиденциального характера»;

      -Постановление правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

      -Постановление Правительства РФ от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

      -Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

      -Приказ ФСТЭК России № 151, ФСБ России № 786, Минформсвязи России № 461 от 31 декабря 2013 года «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

      -Приказ ФСТЭК России от 18 февраля 2013 года №2 1 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

      -Приказ Роскомнадзора от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

      -иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

      -Федеральный закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

      -Федеральный закон от 26.11.1995.№ 208-ФЗ« Об Акционерных обществах»;

      -Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

      -Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

      -иные нормативно-правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

    2. Правовым основанием обработки персональных данных также являются:

      -Устав Оператора в действующей редакции;

      -различные виды договоров, в том числе заключаемые между Оператором и Субъектами персональных данных;

      -согласие Субъектов персональных данных на обработку их персональных данных;

      -иные основания, когда согласие на обработку персональных данных не требуется в силу закона;

    3. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

      -Положение о работе с персональными данными работников Оператора;

      -локальные нормативные акты об обеспечении безопасности персональных данных при их обработке в информационных системах;

      -перечень лиц, имеющих доступ к документам, содержащих персональные данные Работников Оператора;

      -иные локальные нормативные акты и документы, регламентирующие у Оператора вопросы обработки персональных данных.

  6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
    1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    2. Оператор может обрабатывать персональные данные, сведения о социальных гарантиях, льготах и основания для них, следующих категорий Субъектов персональных данных:
      1. Кандидаты на замещение вакантных должностей у Оператора:

        -фамилия, имя, отчество;

        -пол;

        -гражданство;

        -дата и место рождения;

        -контактные данные (адрес, телефон, электронная почта);

        -сведения об образовании, опыте работы, квалификации;

        -изображения, фотографии;

        -страховой номер индивидуального лицевого счёта (СНИЛС);

        -иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

      2. Работники и лица, ранее состоявшие в трудовых отношениях с Оператором:

        -фамилия, имя, отчество;

        -пол;

        -гражданство;

        -дата и место рождения;

        -изображение (фотография, фотокамера и видеосъёмка);

        -паспортные данные;

        -адрес регистрации по месту жительства;

        -адрес фактического проживания;

        -контактные данные (адрес, телефон, электронная почта);

        -индивидуальный номер налогоплательщика;

        -страховой номер индивидуального лицевого счета (СНИЛС);

        -сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

        -семейное положение, наличие детей, родственные связи;

        -сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

        -данные о регистрации брака;

        -сведения о воинском учете;

        -сведения об инвалидности;

        -сведения об удержании алиментов;

        -сведения о доходе с предыдущего места работы;

        -иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

      3. Члены семьи и близкие родственники работников Оператора:

        -фамилия, имя, отчество;

        -степень родства;

        -год рождения;

        -страховой номер индивидуального лицевого счёта (СНИЛС);

        -контактные данные (адрес, телефон, электронная почта);

        -иные персональные данные, предоставляемые членами семьи и близкими родственниками Работника в соответствии с требованиями Законодательства РФ.

      4. Клиенты и контрагенты Оператора (физические лица):

        -фамилия, имя, отчество;

        -дата и место рождения;

        -паспортные данные;

        -адрес регистрации по месту жительства;

        -контактные данные (адрес, телефон, электронная почта);

        -замещаемая должность;

        -индивидуальный номер налогоплательщика;

        -номер расчетного счета;

        -страховой номер индивидуального лицевого счёта (СНИЛС);

        -иные персональные данные, предоставляемые работникам или выше перечисленным в данном разделе лицам, необходимые для заключения и исполнения договоров.

      5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

        -фамилия, имя, отчество;

        -паспортные данные;

        -контактные данные (адрес, телефон, электронная почта);

        -замещаемая должность;

        -страховой номер индивидуального лицевого счёта (СНИЛС);

        -иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

      6. Студенты - практиканты без цели трудоустройства:

        -фамилия, имя, отчество;

        -пол;

        -гражданство;

        -дата и место рождения;

        -контактные данные (адрес, телефон, электронная почта);

        -сведения об образовании, опыте работы, квалификации;

        -иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

  7. Порядок и условия обработки, хранения, передачи и уничтожения персональных данных
    1. Обработка персональных данных осуществляется с согласия Субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
    2. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством РФ.
    3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
    4. Оператор осуществляет обработку персональных данных следующими способами:

      -неавтоматизированная обработка персональных данных;

      -автоматизированная обработка персональных данных с передачей и без передачи полученной информации по информационно-телекоммуникационным сетям;

      - смешанная обработка персональных данных.

    5. Оператор передаёт персональные данные третьим лицам в следующих случаях:

      -Субъект выразил своё согласие на такие действия;

      -передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;

      -защиты прав и законных интересов Оператора в связи с нарушением Субъектом заключенных с ним договоров;

      Оператор вправе передавать персональные данные Субъекта правоохранительным органам и иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

      При передаче персональных данных третьим лицам Оператор информирует принимающую сторону о том, что передаваемая информация содержит персональные данные, в отношении которых должны соблюдаться требования конфиденциальности.

    6. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

      -определяет угрозы безопасности для персональных данных при их обработке;

      -принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

      -назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора и организует их обучение;

      -создает необходимые условия для работы с персональными данными;

      -организует учет документов, содержащих персональные данные;

      -организует работу с информационными системами, в которых обрабатываются персональные данные;

      -хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

    7. Оператор осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством РФ, договором.
    8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе.
    9. Персональные данные Субъектов могут быть получены, обрабатываться и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
    10. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
    11. Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках, на носителях, принадлежащих Оператору на законных основаниях.
    12. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
    13. Хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, осуществляется до момента пока недостигнута цель их обработки
    14. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

      -иное не предусмотрено законодательством РФ;

      -иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

      -иное не предусмотрено другим соглашением между Оператором и Субъектом персональных данных;

    15. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя, либо по запросу Субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав Субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
    16. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
    17. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта персональных данных или его представителя, а в случае, если обращение Субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав Субъектов персональных данных были направлены уполномоченным органом по защите прав Субъектов персональных данных, также указанный орган.
    18. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.
    19. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами.
    20. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.7.17 – 7.19 настоящейПолитики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.
    21. Персональные данные на электронных носителях уничтожаются путём стирания или форматирования носителя.
    22. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
    23. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
  8. Актуализация, исправление, изменение персональных данных, ответы на запросы субъектов персональных данных
    1. В случае изменения или подтверждения факта неточности персональных данных, персональные данные подлежат их актуализации Оператором.
    2. Оператор персональных данных вносит изменения в имеющиеся у него персональные данные:

      -в случаях предусмотренных законом;

      -по собственной инициативе при условии документального подтверждения достоверности новых данных и согласия Субъекта персональных данных;

      -по инициативе Субъекта персональных данных, персональные данные которого подлежат изменению.

    3. Сведения считаются полученными от Субъекта персональных данных или его представителя, если они предоставлены в виде письма на бумажном носителе за подписью Субъекта персональных данных или его представителя, либо направлены с адреса электронной почты, указанного Субъектом персональных данных или его представителем при регистрации на Сайте или в Приложении.
    4. Обращения и запросы могут быть переданы Субъектами персональных данных или их законными представителями Оператору лично или направлены почтой на адрес: 603022, город Нижний Новгород, пр. Гагарина, дом 22.
  9. Безопасность персональных данных
    1. Безопасность персональных данных при их обработке в информационной системе обеспечивает Оператор, этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению Оператора на основании заключаемого с этим лицом договора. Договор между Оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
    2. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности РФ и Федеральной службой по техническому и экспортному контролю во исполнение ч.4 ст.19 Закона.
    3. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
    4. В целях обеспечения безопасности обрабатываемых персональных данных Оператор применяет следующие меры, включая, но не ограничиваясь:

      -назначает лиц, ответственных за обработку персональных данных и/или за обеспечение безопасности персональных данных;

      -ограничивает доступ работников к персональным данным в соответствии с должностными обязанностями;

      -разрабатывает положения, регламенты, инструкции и иные локальные нормативные акты по направлениям, связанным с обработкой и защитой персональных данных;

      -обеспечивает ознакомление работников Оператора с порядком обработки и обеспечения безопасности персональных данных любых Субъектов, а также степени ответственности за нарушение такого порядка, проводятся методические работы с персоналом, осуществляющим обработку персональных данных;

      -определяет состав и объем организационных мероприятий по защите персональных данных в соответствии с требованиями законодательства РФ;

      -определяет состав технических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю;

      -определяет состав криптографических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации;

      -осуществляет сопровождение и контроль внедрения и эксплуатации средств защиты информации в информационных системах Оператора;

      -осуществляет контроль за соблюдением у Оператора норм и требований законодательства РФ по направлениям, связанным с обработкой и защитой персональных данных.

  10. Заключительные положения
    1. Настоящая Политика размещается на официальном сайте Оператора.
    2. Настоящая Политика вступает в силу с даты её утверждения Генеральным директором и действует до её изменения или отмены.