ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Редакция от 21 сентября 2022 г.

1. Общие положения
1.1. Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «ЭнДиБиСи» (далее – Положение) определяет цели и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений прав субъектов персональных данных и законодательства Российской Федерации в области персональных данных в Обществе с ограниченной ответственностью «ЭнДиБиСи», ИНН 7710546710 (далее – Оператор).
1.2. Положение разработано в соответствии с требованиями:

• Конституции Российской Федерации;
• Трудового кодекса Российской Федерации;
• Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федерального закона РФ от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• иных нормативных правовых актов Российской Федерации (далее – РФ) в области защиты персональных данных.

1.3. В положении используются следующие основные понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор – Общество с ограниченной ответственностью «ЭнДиБиСи», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

соискатель – физическое лицо, претендующее на вакантную должность Оператора, персональные данные которого получены Оператором:

сайт Оператора – сайт https://n-dbc.ru, а также иные существующие на данный момент сайты Оператора, условия использования которых ссылаются на Положение, а также любое развитие их и (или) добавление новых, в том числе поддомены Сайта, условия использования которых ссылаются на Положение, в том числе мобильные приложения, правообладателем которых является Оператор;

файлы cookie – данные, которые передаются в процессе использования Сайта с помощью установленного на устройстве субъекта персональных данных программного обеспечения, в том числе IP-адрес, информация о браузере (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых субъектом персональных данных, дата и время доступа к Сайту и иная подобная информация.

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

посетители офиса(-ов) Оператора – служащие курьерских, почтовых компаний, подрядчики Оператора, работники контрагентов Оператора и другие лица, имеющие временные пропуска в офис(ы) Оператора;

контрагент Оператора – юридическое лицо, заключившее или намеревающееся заключить с Оператором договор;

подрядчик Оператора – физическое лицо, заключившее или намеревающееся заключить с Оператором договор.

1.4. Оператор обрабатывает персональные данные, руководствуясь следующими принципами:
1.4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
1.4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1.4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
1.4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
1.4.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Основные права и обязанности Оператора и Субъекта персональных данных
1.5.1. Субъект персональных данных имеет право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
– на отзыв согласия на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
– на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
– на осуществление иных прав, предусмотренных законодательством РФ.

1.5.2. Субъект персональных данных обязан:

– предоставлять Оператору достоверные данные о себе;
– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
1.5.3. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством РФ в области персональных данных;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных.

1.5.4. Оператор обязан:

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
– организовывать обработку персональных данных в порядке, установленном законодательством РФ в области персональных данных;
– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ в области персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
– публиковать или иным образом обеспечивать неограниченный доступ к Положению;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных законодательством РФ в области персональных данных;
– разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
– исполнять иные обязанности, предусмотренные законодательством РФ в области персональных данных.
1.5.5. Полный основной перечень прав и обязанностей оператора и субъекта персональных данных указан в Федеральном законе РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2. Цели обработки персональных данных

2.1. Оператор обрабатывает персональные данные исключительно для целей, которые были обозначены при их предоставлении, в том числе в целях:
2.1.1. взаимодействия в рамках трудового договора, регулирование трудовых и иных, непосредственно связанных с ними отношений;
2.1.2. взаимодействия в рамках договоров с контрагентами Оператора;
2.1.3. заключения с субъектами персональных данных любых договоров и их дальнейшего исполнения;
2.1.4. привлечения и отбора соискателей на работу к Оператору;
2.1.5. доступа Посетителей в офис(-ы) Оператора;
2.1.6. установления с пользователем сайта Оператора (далее – Сайт) обратной связи, включая обработку запросов и заявок от пользователя, касающихся обработки персональных данных, использования Сайта, участия в вебинарах, организуемых Оператором, а также использования сервисами, предоставляемыми Сайтом, в том числе для рассылки рекламных материалов;
2.1.7. установления с пользователем Сайта обратной связи для направления ему рекламных и иных материалов, а также информации о мероприятиях, организуемых Оператором;
2.1.8. проведения Оператором акций, опросов, интервью, тестирований исследований, вебинаров на Сайте;
2.1.9. обработка запросов субъектов персональных данных, которые касаются обработки их персональных данных.

3. Правовые основания обработки персональных данных
3.1. Правовыми основаниями обработки Оператором персональных данных могут являться:
3.1.1. локальные документы Оператора в отношении обработки и защиты персональных данных;
3.1.2. договоры, заключаемые между Оператором и субъектом персональных данных;
3.1.3. согласие субъекта персональных данных на обработку его персональных данных;
3.1.4. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

4. Объем и категории обрабатываемых Оператором персональных данных
4.1. Для целей, указанных в п. п. 2.1.1., 2.1.3., 2.1.4. Положения Оператор может обрабатывать персональные данные своих работников (их родственников), подрядчиков Оператора, соискателей и из следующего перечня:
4.1.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
4.1.2. число, месяц, год рождения;
4.1.3. место рождения;
4.1.4. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
4.1.5. адрес места жительства (адрес регистрации, фактического проживания);
4.1.6. номер контактного телефона или сведения о других способах связи;
4.1.7. реквизиты страхового свидетельства государственного пенсионного страхования;
4.1.8. идентификационный номер налогоплательщика;
4.1.9. реквизиты страхового медицинского полиса обязательного медицинского страхования;
4.1.10. реквизиты свидетельства государственной регистрации актов гражданского состояния;
4.1.12. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
4.1.13. сведения о трудовой деятельности;
4.1.14. сведения о воинском учете и реквизиты документов воинского учета;
4.1.15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
4.1.16. сведения об ученой степени (сведения о том, кем выдан документ, реквизиты документа о присвоении ученой степени);
4.1.17. фотография и видеоизображения;
4.1.18. сведения о профессиональной переподготовке и (или) повышении квалификации (реквизиты документа о профессиональной переподготовке и (или) повышении квалификации, кем выдан);
4.1.19. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
4.1.20. сведения о доходах за 2 года, предшествующие заключению с Оператором трудового договора;
4.1.21. номер расчетного счета;
4.1.22. номер банковской карты;
4.1.23. пол;
4.1.24. гражданство;
4.1.25. иные персональные данные, необходимые для достижения целей, предусмотренных пунктами 2.1.1., 2.1.3., 2.1.4. Положения.

4.2. Для целей, указанных в п. п. 2.1.2. Положения Оператор может обрабатывать персональные данные работников контрагентов Оператора и его представителей- физических лиц, а также работников представителей- юридических лиц контрагентов Оператора из следующего перечня:
4.2.1. фамилия, имя, отчество;
4.2.2. должность и наименование организации, в которой работает субъект персональных данных;
4.2.3. место рождения (когда субъект персональных данных действует на основании доверенности или иного документа, содержащего данные сведения);
4.2.4. число, месяц, год рождения (когда субъект персональных данных действует на основании доверенности или иного документа, содержащего данные сведения);
4.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи (когда субъект персональных данных действует на основании доверенности или иного документа, содержащего данные сведения);
4.2.6. адрес места жительства, адрес регистрации, фактического проживания (когда субъект персональных данных действует на основании доверенности или иного документа, содержащего данные сведения);
4.2.7. номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты;

4.3. Для цели, указанной в п. 2.1.5. Положения Оператор может обрабатывать следующие персональные данные посетителей офисов Оператора:
4.3.1. Фамилия, имя, отчество.

4.4. Для целей, указанных в п. п. 2.1.6., 2.1.7., 2.1.8. Положения Оператор может обрабатывать следующие персональные данные посетителей сайта Оператора:
4.4.1. фамилия, имя, отчество;
4.4.2. номер телефона;
4.4.3. адрес электронной почты;
4.4.4. наименование компании, в которой работает субъект персональных данных и его должность;
4.4.5. обезличенных данных о посетителях сайта Оператора (в т.ч. файлы «cookie») с помощью сервисов интернет-статистики (например, Яндекс Метрика и Битрикс24).

4.5. Для цели, указанной в п. 2.1.9. Положения Оператор может обрабатывать персональные данные, в зависимости от категорий субъектов персональных данных, указанных в Положении, чью обработку осуществляет Оператор.

5. Перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных
5.1. С персональными данными, указанными в разделе 4 Положения Оператор, осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных. Передача в таком случае (распространение, предоставление, доступ) осуществляется без получения согласия субъекта персональных данных только в случаях, предусмотренных законодательством РФ.
5.2. Обработка персональных данных, указанных в настоящем положении, осуществляется любым законным способом, в том числе:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
5.3. Обработка Оператором персональных данных прекращается в следующих случаях:
• достижение целей обработки персональных данных;
• истечение срока обработки персональных данных, предусмотренного законодательством РФ, договором или согласием субъекта персональных данных на обработку его персональных данных;
• при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям федерального законодательства;
• выявления неправомерной обработки персональных данных;
• ликвидации Оператора.

6. Получение Оператором персональных данных

6.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных и в отдельных случаях от компетентных государственных органов.

7. Передача и распространение персональных данных
7.1. Оператор может передавать персональные данные:
7.1.1. работников Оператора компаниям, оказываемым Оператору услуги по бронированию и покупке авиа/ жд билетов, бронированию гостиниц, организации мероприятий, услуг связи, такси, хостинга, страхования, банковских и аудиторских услуг и т.д.
7.1.2. любых субъектов персональных данных компаниям, осуществляющим пропуск в офисное помещение Оператора, аудиторам, судам, органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ. Оператор также будет раскрывать персональные данные в связи с продажей, уступкой или иной формой передачи любой составляющей бизнеса Оператора, к которой такие персональные данные относятся.
7.2. Оператор не осуществляет распространение персональных данных.

8. Хранение персональных данных
8.1. Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

9. Конфиденциальность персональных данных

9.1. Оператор и иные лица, получившие от Оператора доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

10. Специальные категории персональных данных

10.1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

11. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации

11.1. При сборе Оператором персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

12. Меры по обеспечению безопасности обрабатываемых Оператором персональных данных

12.1. Для обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
В целях обеспечения адекватной защиты персональных данных Оператор проводит аудит и контроль и соответствия действий Оператора Положению и действующему законодательству в области защиты персональных данных, проводит оценку вреда, который может быть причинен в случае нарушения безопасности персональных данных, а также определяет уровень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Оператором приняты локальные акты по вопросам обработки персональных данных. Оператором проработан механизм восстановления персональных данных в случае их модификации или уничтожения вследствие несанкционированного доступа к ним, разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных; осуществляется учет машинных носителей персональных данных, осуществляется охрана помещений, в которых ведется обработка персональных данных, исключающая несанкционированный доступ к средствам обработки персональных данных, их хищение и нарушение работоспособности.
Оператором назначено лицо, ответственное за организацию обработки персональных данных.
Сотрудники Оператора, имеющие доступ к персональным данным, ознакомлены с Положением и иными локальными актами по вопросам обработки персональных данных. Оператор принимает иные меры, предусмотренные законодательством РФ.

13. Актуализация, исправление, удаление и уничтожение персональных данных
13.1.В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
13.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнит персональные данные либо обеспечит их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снимет блокирование персональных данных.
13.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по его поручению, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекратит неправомерную обработку персональных данных или обеспечит прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожит такие персональные данные или обеспечит их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомит субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
13.4. В случае достижения цели обработки персональных данных Оператор прекратит обработку персональных данных или обеспечит ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожит персональные данные или обеспечит их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ в области защиты персональных данных.
13.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекратит их обработку или обеспечит прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожит персональные данные или обеспечит их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.
13.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13.3 -13.5 настоящего положения, оператор осуществит блокирование таких персональных данных или обеспечит их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечит уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством РФ.

14. Действия Оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

14.1. Оператор сообщит субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, в том числе сведения, указанные в части 7 статьи 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также предоставит возможность ознакомления с его персональными данными при обращении субъекта персональных данных или его представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
14.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор даст в письменной форме мотивированный ответ, содержащий ссылку на положения законодательства РФ, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.
14.3. Оператор предоставит безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор внесет в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожит такие персональные данные. Оператор уведомит субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и примет разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
14.4. Оператор сообщит в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

15. Действия Оператора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных

15.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомит уполномоченный орган по защите прав субъектов персональных данных:
(1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставит сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
(2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставит сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
15.2. В случае, если на момент установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, действующим законодательством РФ будут предусмотрены отличные от указанных в пункте 15.1. настоящего положения сроки, Оператор уведомит о таких фактах уполномоченный орган по защите прав субъектов персональных данных в сроки, предусмотренные действующим на момент установления таких фактов сроки.

16. Ответственность
16.1. Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству РФ.
16.2. Все работники Оператора несут ответственность за соблюдение законодательства РФ, Положения и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности персональных данных.
16.3. Любой работник, которому стало известно о нарушении законодательства РФ, Положения и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности персональных данных или который подозревает о существовании такого нарушения, обязан сообщить об этом лицу, назначенного Оператором ответственным за организацию обработки персональных данных любым удобным для работника способом, в том числе направив письмо на электронную почту dpo@n-dbc.ru.
16.4. Любые нарушения законодательства РФ, Положения и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими у Оператора процедурами.
16.5. Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.

17. Заключительные положения
17.1. Положение вступает в силу с момента его утверждения Оператором. Оператор имеет право вносить изменения в настоящее положение. Изменения в Положение вносятся отдельными актами Оператора.
17.2. К Положению обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.
17.3.Субъект персональных данных может получить любые разъяснения, направить запрос, жалобу или иное, относительно обработки его персональных данных, обратившись к Оператору с помощью электронной почты dpo@n-dbc.ru или по адресу: пр-т Андропова, д. 18, корп. 5, Москва, 115432.