Политика в отношении обработки персональных данных ООО «Ива СиАйЭс»

 

1. Общие положения

Настоящая Политика Общества с ограниченной ответственностью «Ива СиАйЭс» (ОГРН 1197746034540, ИНН 9715335844), расположенного по адресу: 127273, Москва, ул. Отрадная, д. 2Б, стр. 6, эт. 3, оф. 303 (далее — «Оператор») характеризуется следующими признаками в отношении организации обработки и обеспечения безопасности персональных данных:

  • разработана в целях реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных субъектов;
  • раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
  • является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.

Облачные сервисы - облачные решения Оператора и любое клиентское программное обеспечение, предоставляемое Оператором в качестве части Облачных сервисов. 

Автономные решения - загружаемое программное обеспечение и любое клиентское программное обеспечение, предоставляемое Оператором в качестве части Автономных решений.

Конечный пользователь - физическое лицо, пользователь Облачных сервисов и/или Автономных решений Оператора. 

Данные о корпоративной деятельности Конечных пользователей - данные, собранные и обработанные Облачными сервисами из корпоративных источников  информации клиента Оператора  и сторонних сервисов, подключенных клиентом Оператора к Облачным сервисам. Данные о корпоративной деятельности могут содержать сообщения электронной почты Конечных пользователей, записи календаря, данные управления взаимоотношениями с клиентами («CRM»), данные корпоративных мессенджеров Конечных пользователей (например, Slack), данные корпоративных платформ производительности (например, GitHub, Jira) и т.д. 

Иные понятия,  используемые в настоящей Политике, толкуются согласно их определению в Федеральном законе РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

 

Оператор гарантирует соблюдение конфиденциальности в отношении полученных персональных данных с учетом положений настоящей Политики и обязуется использовать их только в целях, указанных в Политике.

Обработка персональных данных осуществляется Оператором на основе принципов:

  • законности целей и способов обработки персональных данных;
  •  добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

2. Права субъектов персональных данных

Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

3. Обязанности Оператора персональных данных

Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ и настоящей Политикой.

При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию об основаниях, целях и условиях использования персональных данных. 

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в определенный законом или договором срок. 

 

https://www.yva.ai/ru/personal-data-policy

4. Цели сбора и обработки персональных данных


4.1. Целями сбора и обработки Оператором персональных данных являются:

  • осуществление деятельности по предоставлению  клиентам Оператора прав на использование Автономных решений,  Облачных сервисов, оказание  иных услуг и выполнение работ, влекущих необходимость обработки персональных данных  физических лиц - представителей клиента и Конечных пользователей Автономных решений и Облачных сервисов Оператора;

  • осуществление трудовых взаимоотношений с работниками Оператора;

  • ведение кадровой работы и бухгалтерского учета;

  • установление с физическими лицами гражданско-правовых отношений, связанных с оказанием услуг, выполнением работ;

  • осуществление рекламной деятельности, в том числе, рассылка, предоставление в иных формах партнерам и потенциальным клиентам справочной и маркетинговой информации о предлагаемых Оператором Автономных решениях, Облачных сервисах, услугах, новостной рассылки и иных сведений от имени Оператора;

  • выполнение обязательств Оператора перед пользователями в отношении использования веб-сайта Оператора, персонализация  его посещения пользователями;

  • иные цели, не противоречащие действующему законодательству Российской Федерации и условиям соглашений между Оператором и клиентом Оператора, а также субъектом персональных данных. 

4.2. Обработка персональных данных не может быть использована Оператором или его работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

 

4.3. Предоставление персональных данных третьим лицам.

4.3.1. В целях предоставления партнерам и/или потенциальным клиентам Оператора справочной и маркетинговой информации об Автономных решениях, Облачных сервисах и заключения соответствующих сделок Оператор вправе осуществлять передачу, в т.ч. трансграничную, персональных данных потенциальных клиентов, пользователей веб-сайта Оператора   третьим лицам - партнерам Оператора, информация о которых размещена на соответствующей странице сайта Оператора.

Перечень персональных данных, которые могут быть переданы указанным  третьим лицам: фамилия, имя, отчество, должность, адрес электронной почты, контактный номер телефона субъекта.

 

4.3.2. В целях исполнения обязательств по обработке персональных данных Конечных пользователей Облачных сервисов по поручению клиента Оператор вправе осуществлять передачу  их персональных данных  третьему лицу - Публичному акционерному обществу «Мобильные ТелеСистемы» (ИНН 7740000076), выполняющему функции субобработчика персональных данных.

Перечень персональных данных, которые могут быть переданы указанному  третьему лицу: фамилия, имя, отчество, должность, адрес электронной почты, контактный номер телефона, Данные о корпоративной деятельности Конечного пользователя.

 

 4.3.3. Предоставление персональных данных  указанным третьим лицам производится с соблюдением следующих условий: 

  • третье лицо обязуется обеспечить конфиденциальность персональных данных, а также не раскрывать иным лицам, не распространять персональные данные субъектов персональных данных без их согласия; 
  • третье лицо гарантирует соблюдение следующих мер по обеспечению безопасности персональных данных при их обработке: использование средств защиты информации; обнаружение и фиксация фактов несанкционированного доступа к персональным данным и принятие мер по восстановлению персональных данных; ограничение доступа к персональным данным; регистрация и учет действий с персональными данными; контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных;
  • третье лицо осуществляет обработку персональных данных с использованием баз данных, размещенных на территории Российской Федерации; 
  • Оператор обязуется предупредить третье лицо, которому переданы персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лиц подтверждение того, что данное условие соблюдено.

4.3.4. Перечень разрешенных способов обработки персональных данных, переданных третьему лицу: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение. 

4.3.5. В случае участия субъекта персональных данных в мероприятиях, организуемых Оператором, последний вправе раскрыть соответствующие персональные данные субъекта лицам, участвующим в организации такого мероприятия.

 

5. Правовые основания обработки персональных данных

Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных, в том числе:

  • Конституцией Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

В целях реализации положений Политики Оператором разработаны соответствующие локальные нормативные акты, в том числе, Положение об организации обработки и безопасности персональных данных, Правила рассмотрения запросов субъектов персональных данных или их представителей и др.

 

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

К категориям субъектов персональных данных относятся:

  1. работники Оператора, бывшие работники Оператора, кандидаты на замещение вакантных должностей;
  2. потенциальные клиенты Оператора (физические лица, представители юридических лиц);
  3. контрагенты Оператора (физические лица, представители юридических лиц);
  4. пользователи веб-сайта Оператора (физические лица и представители юридических лиц);
  5. Конечные пользователи Облачных сервисов  и Автономных решений Оператора, обработка персональных данных которых поручена Оператору в рамках  договора, заключенного  между Оператором и его клиентом.

К категориям обрабатываемых персональных данных относятся: 

  • фамилия, имя, отчество (для вышеуказанных категорий 1-5 субъектов персональных данных);
  • дата рождения (для вышеуказанной категории 1 субъектов персональных данных);
  • место рождения (для вышеуказанной категории 1 субъектов персональных данных);
  • адрес (для вышеуказанных категорий 1, 3 субъектов персональных данных);
  • семейное положение (для вышеуказанной категории 1 субъектов персональных данных);
  • социальное положение (для вышеуказанной категории 1 субъектов персональных данных);
  • образование (для вышеуказанной категории 1 субъектов персональных данных);
  • профессия (для вышеуказанной категории 1 субъектов персональных данных);
  • паспортные данные (для вышеуказанных категорий 1, 3 субъектов персональных данных);
  • данные трудовой книжки/сведения о трудовой деятельности (для вышеуказанной категории 1 субъектов персональных данных);
  • сведения о воинском учете (для вышеуказанной категории 1 субъектов персональных данных);
  • сведения о пенсионном страховании (для вышеуказанной категории 1 субъектов персональных данных); 
  • ИНН (для вышеуказанной категории 1 субъектов персональных данных);
  • номер телефона (для вышеуказанных категорий 1-5 субъектов персональных данных);
  • адрес электронной почты (для вышеуказанных категорий 1-5 субъектов персональных данных).
  • адрес интернет-протокола (IP-адрес), тип и язык браузера, информация о поставщике интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, отметки даты и времени, а также сведения о посещениях сайта пользователем (для вышеуказанной категории 4 субъектов персональных данных);
  • Данные о корпоративной деятельности Конечного пользователя, например, IP-адрес, метаданные электронной почты, содержание сообщений, другие подключенные корпоративные источники данных (для вышеуказанной категории 5 субъектов персональных данных).

6.1. Сбор персональных данных на веб-сайте Оператора

Оператор производит обработку и защиту персональных данных пользователей сайта Оператора, размещенного в сети Интернет по адресу: www.yva.ai/ru (Сайт), а также персональных данных, поступающих на адрес корпоративной почты Оператора, заканчивающейся на @yva.ai, субъектов, которые выразили Согласие на обработку персональных данных и их предоставление  Оператором третьим лицам на условиях настоящей Политики (далее – Согласие) путем отправления информации через выбранные формы (далее – Формы) на страницах Сайта или отправления электронного письма. Моментом принятия Согласия является маркировка пользователем соответствующего поля в Форме и нажатие на кнопку отправки Формы на любой странице Сайта, а также нажатие на кнопку отправки электронного письма, содержащего персональные данные субъекта, на адрес корпоративной почты Оператора.

6.2. Идентификационные файлы (cookies) и  иные технологии 

Сайт может использовать  идентификационные файлы cookies и иные технологии, такие как: пиксельные ярлыки (pixel tags), веб-маяки (web beacons). 

Пользователь Сайта имеет возможность отключить cookies в настройках используемого им веб-браузера или мобильного устройства. 

Используя Сайт, пользователь дает свое согласие с правом Оператора загружать cookie-файлы на устройство пользователя согласно описанным выше условиям.

 

7. Порядок и условия обработки персональных данных

В соответствии с требованиями, установленными ст. 7 Федерального закона «О персональных данных», Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В частности, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Перечень действий, совершаемых Оператором с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.

Обработка вышеуказанных персональных данных осуществляется Оператором смешанным способом (с использованием средств автоматизации и без использования средств автоматизации), с передачей по внутренней сети Оператора, а также по сети Интернет. 

При осуществлении обработки персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, трансграничная передача персональных данных осуществляется Оператором с согласия субъекта персональных данных в соответствии с законодательством РФ. 

Для надлежащего исполнения обязательств по обработке персональных данных Оператором приняты меры, предусмотренные законодательством РФ, в том числе, статьями 18.1. и 19 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных».

Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

 

8. Актуализация, исправление, удаление и уничтожение персональных данных

Актуализация, исправление, удаление и уничтожение обрабатываемых Оператором персональных данных осуществляется на основании запросов субъектов персональных данных в сроки и порядке, установленные законодательством Российской Федерации в области персональных данных и Правилами рассмотрения Оператором запросов субъектов персональных данных или их представителей, являющимися Приложением №1 к настоящей Политике.

Оператор оставляет за собой право вносить любые изменения в Политику в любое время по своему усмотрению с целью дальнейшего совершенствования системы защиты персональных данных.

Действующая редакция Политики Оператора всегда доступна для просмотра неограниченным кругом лиц на Сайте: https://www.yva.ai/ru/personal-data-policy .

 

Дата последнего обновления Политики: 11 января  2021 г.

 

 

Приложение №1

к Политике в отношении обработки персональных данных

ООО «Ива СиАйЭс»

 

Правила рассмотрения запросов субъектов персональных данных или их представителей

1. Общие положения

Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) регулируют отношения, возникающие при выполнении ООО «Ива СиАйЭс» (далее - Оператор) обязательств согласно требованиям статей 14, 20 и 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ). 

Положения настоящих Правил распространяются на действия Оператора при получении запроса от субъектов персональных данных и их законных представителей (далее - субъект персональных данных) и Уполномоченного органа по защите прав субъектов персональных данных. Эти действия направлены на определение порядка учета (регистрации), рассмотрение запросов, а также на подтверждение наличия, ознакомления, уточнения, уничтожения персональных данных (ПДн) или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн. 

 

2. Организация и проведение работ Оператором по запросу персональных данных

Субъект персональных данных имеет право па получение информации, касающейся обработки его ПДн, в соответствии с частью 7 статьи 14 Федерального закона № 152-Ф3. Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона №152- ФЗ. Субъект персональных данных вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

Сведения, указанные в части 7 статьи 14 Федерального закона № 152-Ф3, предоставляются субъекту персональных данных Оператором при получении запроса от субъекта персональных данных. 

Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. 

Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта персональных данных. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 

Рассмотрение запросов является должностной обязанностью лиц Оператора, ответственных за обработку ПДн. Должностные лица Оператора обеспечивают:

  • объективное, всестороннее и своевременное рассмотрения запроса;
  •  принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных; 
  • направление письменных ответов по существу запроса. 

Все поступившие запросы регистрируются в день их поступления в журнале учета запросов граждан (субъектов персональных данных) по вопросам обработки ПДн. На запросе проставляется входящий номер и дата регистрации. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.

 В случае подачи субъектом персональных данных повторного запроса, в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса.

 Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивирован. 

   Должностные лица Оператора при рассмотрении и разрешении запроса обязаны:

  • внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о ПДн; 
  • принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение; 
  • сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.

Оператор обязан сообщить субъекту персональных данных информацию о наличии ПДн, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими ПДн при запросе субъекта персональных данных либо в течение тридцати дней с даты получения запроса субъекта персональных данных. 

В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте персональных данных или ПДн субъекту персональных данных при получении запроса субъекта персональных данных Оператор обязан руководствоваться частью 2 статьи 20 Федерального закона № 152-Ф3. 

Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с ПДн, относящимися к этому субъекту персональных данных.

Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю. Ответы на запросы печатаются на бланке установленной формы.

Должностное лицо Оператора, ответственное за обработку персональных данных, осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов. При осуществлении контроля обращается внимание на сроки исполнения запроса и полноту рассмотрения поставленных вопросов, своевременность их исполнения и направления ответов заявителям. 

 

3. Действия Оператора в ответ на запросы по персональным данным

3.1. В случае поступления запроса субъекта персональных данных по ПДн необходимо выполнить следующие действия:

  • при получении запроса субъекта персональных данных на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии персональных данных;
  • при получении запроса субъекта персональных данных на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ,) необходимо отправить уведомление об отказе в предоставлении информации по ПДн. 

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных; 
  • цели и применяемые оператором способы обработки персональных данных; 
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона № 152-Ф3; 
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-Ф3;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  •  порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; 
  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами;

При получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона № 152-Ф3) и отправить уведомление о внесенных изменениях. 

Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн. 

При получении запроса субъекта персональных данных на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-Ф3), и отправить уведомление об уничтожении. 

Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн.

При получении запроса на отзыв согласия субъекта персональных данных па обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона № 152- Ф3), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно части 5 статьи 21 Федерального закона № 152-Ф3).

При выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-Ф3). 

Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или   его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона № 152-Ф3). 

Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн.

При выявлении неправомерных действий с ПДн Оператору по запросу субъекта ПДн необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона № 152Ф3).

В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона №152-Ф3), обязан уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите нрав субъектов персональных данных, также указанный орган.

При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно части 4 статьи 21 Федерального закона №152- ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Федерального закона № 152-Ф3 или другими федеральными законами, и отправить уведомление об уничтожении ПДн. 

 

3.2. В случае поступления запроса уполномоченного органа по защите прав субъекта персональных данных по ПДн необходимо выполнить следующие действия:

  • при получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа; 
  • при выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-Ф3). 

Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно части 2 статьи 21 Федерального закона №. 152-ФЗ). 

Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн. 

При выявлении неправомерных действий Оператора с ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152- Ф3).

В случае невозможности обеспечения правомерности обработки оператором ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн. 

 

4.Ответственность Оператора

Персональные данные не подлежат разглашению (распространению).  Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации ограниченного доступа. Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению ПДн возлагается на должностное лицо Оператора, ответственное за обработку персональных данных. 

Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации. Обобщенный алгоритм действий по запросу ПДн приведен в приложении к настоящим Правилам.    

 

Приложение №1

к Правилам рассмотрения запросов субъектов персональных данных или их представителей

Действия по запросу персональных данных 

 

Приложение №2

к Правилам рассмотрения запросов субъектов персональных данных или их представителей


Типовые формы документов по запросу субъектов персональных данных или их представителей

Москва, ул.Отрадная, 2Б, стр. 6

info@yva.ai
ПРОДУКТ
КОМПАНИЯ
РЕШЕНИЯ
КОНФИДЕНЦИАЛЬНОСТЬ И ПРАВИЛА

©2020, Yva.ai. All Rights Reserved. Privacy Policy.