Политика конфиденциальности личного кабинета

физических лиц

 

Утверждено приказом директора от 16 июня 2025 года № 540 Политика защиты и обработки персональных данных 1. Общие положения 1.1. Настоящая Политика государственного унитарного предприятия Республики Башкортостан «Нефтекамскводоканал» (далее – Предприятие) защиты и обработки персональных данных (далее - Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 1.2. Основные понятия, используемые в Политике: 1.2.1. Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных); 1.2.2. Персональные данные, разрешенные субъектом персональ-ных данных для распространения – это персональные данные, доступ не-ограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешен-ных субъектом персональных данных для распространения. 1.2.3. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 1.2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: - сбор; - запись; - систематизацию; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передачу (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение. 1.2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. 1.2.6. Распространение персональных данных - действия, направ-ленные на раскрытие персональных данных неопределенному кругу лиц. 1.2.7. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 1.2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 1.2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 1.2.10. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 1.2.11. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств. 1.2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 1.2.13. Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкцио-нированных и непреднамеренных воздействий на защищаемые персональные данные. 1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. № 152-ФЗ (ред. от 14.07.2022) «О персональных данных» (далее – Федеральный закон). 1.4. Политика действует в отношении всех персональных данных, которые обрабатывает Предприятие. 1.5. Организацию работ по осуществлению обработки и защиты персо-нальных данных, осуществлению контроля за соблюдением требований за-конодательства по персональным данным и локальных актов оператора осу-ществляет ответственный за организацию обработки персональных данных. 1.6. Текущий контроль за соблюдением правил по обработке персональных данных без использования средств автоматизации осуществляет ответственный за организацию обработки персональных данных. 1.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных дан-ных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, преду-смотренных Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 9.1) информацию о способах исполнения оператором обязанностей, уста-новленных статьей 18.1 Федерального закона; 10) иные сведения, предусмотренные Федеральным законом "О персональ-ных данных" или другими федеральными законами. 1.8. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 1.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 1.10. Оператор персональных данных вправе: - отстаивать свои интересы в суде; - предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохра-нительные органы и др.); - отказывать в предоставлении персональных данных в случаях, предусмот-ренных законодательством; - использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством. 1.11. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотрен-ную частью 7 статьи 14 Федерального закона. 1.12. Обработка персональных данных в предприятии выполняется с использованием средств автоматизации или без использования таких средств. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации. 1.13. Политика распространяется на отношения в области обработки персональных данных, возникшие у оператора как до, так и после утверждения настоящей Политики. 1.14. Во исполнение требований ч. 2 ст. 18.1 Федерального закона на-стоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора. 2. Цели сбора персональных данных 2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности. 2.3. К целям обработки персональных данных оператора относятся: - обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации; - осуществление своей деятельности в соответствии с Уставом предпри-ятия; - заключение, исполнение и прекращение гражданско-правовых договоров; - организация кадрового учета предприятия, обеспечение соблюдения за-конов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам; - ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и должностного роста, пользовании льготами; - введение бухгалтерского учета; - исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование; - заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами; - содействия в выполнении осуществляемой работы и учета результатов исполнения работниками должностных обязанностей; - противодействия коррупции; - предоставление клиентам услуг по договору; - осуществление пропускного режима. 3. Правовые основания обработки персональных данных 3.1. Правовым основанием обработки персональных данных являются:  Конституция Российской Федерации от 12 декабря 1993г. (ст. ст. 2, 17-24, 41);  Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных дан-ных»;  Налоговый кодекс Российской Федерации;  Семейный кодекс Российской Федерации;  Кодекс Российской Федераций об административных правонарушениях;  Трудовой кодекс Российской Федерации;  Федеральный закон от 01.04.1996 г. №27 «Об индивидуальном (персони-фицированном) учете в системе обязательного пенсионного страхования»;  Федеральный закон от 18.07.2011 № 223-Ф3 «О закупках товаров, работ, услуг отдельными видами юридических лиц»;  Федеральный закон Российской Федерации «О трудовых пенсиях в Рос-сийской Федерации»;  Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;  Федеральный закон от 06 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;  Федеральный закон от 5 апреля 2013г. №44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;  Федеральный закон от 27.06.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;  Указ Президента Российской Федерации от 06.3.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;  «Положение о воинском учете», утвержденное постановлением Прави-тельства Российской Федерации №719 от 27 ноября 2006 г.;  Постановление Правительства РФ от 06.05.2011 № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»;  Закон Республики Башкортостан от 12.12.2006 г. №391-з «Об обращениях граждан в Республике Башкортостан»;  Постановления Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;  Постановление Правительства российской Федерации от 15.09.2008 г.№ 687 «Об утверждении Положения об особенностях обработки персональ-ных данных, осуществляемой без использования средств автоматизации»;  Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;  «Базовая модель угроз безопасности персональных данных при их обра-ботке ы информационных системах персональных данных»  Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (в ред. Приказа ФСТЭК России от 23.03.2017 № 49)  Устав предприятия. - договоры, заключаемые между оператором и субъектом персональных данных; - согласие на обработку персональных данных (в случаях, прямо не преду-смотренных законодательством Российской Федерации, но соответствую-щих полномочиям оператора). 4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных 4.1. Содержание и объем обрабатываемых персональных данных соот-ветствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 4.2. Обработка персональных данных допускается в следующих случаях: - обработка персональных данных осуществляется с согласия субъекта пер-сональных данных на обработку его персональных данных; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. 4.3. К категориям субъектов персональных данных относятся: 4.3.1. Работники оператора, бывшие работники, кандидаты на замеще-ние вакантных должностей, а также родственники работников. В данной категории субъектов оператором обрабатываются персональ-ные данные в связи с реализацией трудовых отношений: - фамилия, имя, отчество; - пол; - гражданство; - национальность; - дата (число, месяц, год) и место рождения (страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт); - адрес места проживания (почтовый индекс, страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - номера телефонов (домашний, мобильный, рабочий), адрес электронной почты; - замещаемая должность; - сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих ор-ганизациях (органах)); - идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); - данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа; - данные полиса обязательного медицинского страхования; - данные паспорта или иного удостоверяющего личность документа; - данные паспорта, удостоверяющего личность гражданина Российской Фе-дерации за пределами территории Российской Федерации; - данные трудовой книжки, вкладыша в трудовую книжку; - сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специ-альность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках); - сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации); - сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, вы-данных по результатам); - сведения о владении иностранными языками (иностранный язык, уровень владения); - сведения, содержащиеся в медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего исполнению трудовой функции, согласно кодам профессии, СОУТ (наличие (отсутствие) заболевания, форма заболевания); - сведения о наградах, иных поощрениях и знаках отличия (название награ-ды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении); - сведения о дисциплинарных взысканиях; - сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи, реквизиты свидетельства о заключении брака); - сведения о близких родственниках, свойственниках (степень родства, фа-милия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания); - сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера; - номер расчетного счета; - фотографии. 4.3.2. Клиенты и контрагенты оператора (физические лица); В данной категории субъектов оператором обрабатываются персональ-ные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных: - фамилия, имя, отчество; - пол; - гражданство; - дата (число, месяц, год) и место рождения (страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт); - адрес места проживания (почтовый индекс, страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - номера телефонов (домашний, мобильный, рабочий), адрес электронной почты; - замещаемая должность; - идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); - сведения, содержащиеся в страховом свидетельстве обязательного пенси-онного страхования или документе, подтверждающем регистрацию в системе индивидуального (персонифицированного) учета; - данные паспорта или иного удостоверяющего личность документа; - номер расчетного счета. 4.3.3. Представители/работники клиентов и контрагентов оператора (юридических лиц). В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые оператором исключительно для исполнения указанного договора: - фамилия, имя, отчество; - пол; - номера телефонов (домашний, мобильный, рабочий), адрес электронной почты; - замещаемая должность; - данные паспорта или иного удостоверяющего личность документа. 4.3.4. Лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых предприятием; - фамилия, имя, отчество; - дата (число, месяц, год) и место рождения (страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт); - адрес места проживания (почтовый индекс, страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - номера телефонов (домашний, мобильный, рабочий), адрес электронной почты; - идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); - сведения, содержащиеся в страховом свидетельстве обязательного пенси-онного страхования или документе, подтверждающем регистрацию в сис-теме индивидуального (персонифицированного) учета; - данные паспорта или иного удостоверяющего личность документа; - номер расчетного счета. 4.3.5. Пользователи официального сайта предприятия в информационно-телекоммуникационной сети «Интернет». В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с обработкой информации при передаче показаний приборов учета воды и оплаты услуг в личном кабинете: - фамилия, имя, отчество; - адрес места проживания (почтовый индекс, страна, республика, край, об-ласть, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); - номера телефонов (домашний, мобильный, рабочий), адрес электронной почты; - идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); - сведения, содержащиеся в страховом свидетельстве обязательного пенси-онного страхования или документе, подтверждающем регистрацию в сис-теме индивидуального (персонифицированного) учета; - данные паспорта или иного удостоверяющего личность документа; - номер расчетного счета, - номер банковской карты, - пароль доступа к Сервису, - сведения о документе, подтверждающее право владения собственностью; - информация о наличии совладельца собственности (фамилия, имя, отчество (при наличии). 4.4. Иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных. 5. Порядок и условия обработки персональных данных 5.1. Обработка персональных данных осуществляется оператором в со-ответствии с требованиями законодательства Российской Федерации. 5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации. 5.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. 5.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: - непосредственно; - с использованием информационной системы уполномоченного орга-на по защите прав субъектов персональных данных. 5.5. Оператор осуществляет обработку персональных данных - опера-ции, совершаемые с использованием средств автоматизации или без исполь-зования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 5.6. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных. 5.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем: 1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в отдел кад-ров предприятия) (далее - оригиналы документов); 2) копирования оригиналов документов; 3) внесения сведений в учетные формы (на бумажных и электронных носи-телях); 4) формирования персональных данных в ходе кадровой работы; 5) внесения персональных данных в информационные системы персональ-ных данных, используемые отделом кадров предприятия. 5.8. Обработка персональных данных оператором ограничивается дос-тижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. 5.9. Не допускается раскрытие третьим лицам и распространение персо-нальных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом. 5.10. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд и другим уполномоченным органам исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации. 5.11. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным. 5.12. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором или соглашением. Персональные данные, зафиксированные на бумажных носи-телях, хранятся в запираемых шкафах либо в запираемых помещениях с ог-раниченным правом доступа. Персональные данные субъектов, обрабаты-ваемые с использованием средств автоматизации в разных целях, хранятся в разных папках. Не допускается хранение и размещение документов, содер-жащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах персональных данных. 5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона. 5.14. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 5.15. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. 5.16. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом. 5.17. Оператор и иные лица, получившие доступ к персональным дан-ным, обязаны не раскрывать третьим лицам и не распространять персональ-ные данные без согласия субъекта персональных данных, если иное не пре-дусмотрено Федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено. 5.18. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно. 5.19. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в том числе: - определяет угрозы безопасности персональных данных при их обра-ботке; - принимает локальные нормативные акты и иные документы, регули-рующие отношения в сфере обработки и защиты персональных данных; - назначает лиц, ответственных за обеспечение безопасности персо-нальных данных в структурных подразделениях и информационных системах оператора; - создает необходимые условия для работы с персональными данными; - организует учет документов, содержащих персональные данные; - организует работу с информационными системами, в которых обра-батываются персональные данные; - хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним; - организует обучение работников оператора, осуществляющих обра-ботку персональных данных. 6. Порядок и условия обработки биометрических персональных данных 6.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. 6.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации. 6.3. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персо-нальных данных, установленными в соответствии со статьей 19 Федерального закона. 6.4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением та-кой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. 6.5. Под материальным носителем понимается машиночитаемый носи-тель информации (в том числе магнитный и электронный), на котором осу-ществляются запись и хранение сведений, характеризующих физиологиче-ские особенности человека и на основе которых можно установить его лич-ность. 6.6. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам. 6.7. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персо-нальных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя. 6.8. Оператор обязан: - осуществлять учет количества экземпляров материальных носителей; - осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель. 6.9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать: - доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц; - применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель; - проверку наличия письменного согласия субъекта персональных дан-ных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных. 6.10. При хранении биометрических персональных данных вне инфор-мационных систем персональных данных должна обеспечиваться регистра-ция фактов несанкционированной повторной и дополнительной записи ин-формации после ее извлечения из информационной системы персональных данных. 7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным 7.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя. 7.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 7.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действую-щим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. 7.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан действовать в соответствии с п.3.1 статьи 21 Федерального закона. 7.5. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, дейст-вующим по поручению оператора: - в случае выявления неправомерной обработки персональных данных, осу-ществляемой оператором или лицом, действующим по поручению опера-тора, в срок, не превышающий трех рабочих дней с даты этого выявления; - в случае отзыва субъектом персональных данных согласия на обработку его персональных данных; - при изменении, признании утратившими силу нормативных правовых ак-тов, устанавливающих правовые основания обработки персональных дан-ных; - в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. 7.6. Подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона о персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. В предоставляемые сведения не включаются персональные данные, от-носящиеся к другим субъектам персональных данных, за исключением слу-чаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать: • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи ука-занного документа и выдавшем его органе; • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором; • подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и под-писан электронной подписью в соответствии с законодательством Россий-ской Федерации. Если в обращении (запросе) субъекта персональных данных не отраже-ны в соответствии с требованиями Федерального закона все необходимые сведения или субъект не обладает правами доступа к запрашиваемой инфор-мации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона, в том числе если доступ субъекта персональных данных к его персо-нальным данным нарушает права и законные интересы третьих лиц. 7.7.Хранение биометрических персональных данных должно осуществляться в соответствии с порядком, утвержденным Постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». 7.8. Хранение персональных данных после истечения установленных сроков их обработки, отзыва Согласия, достижения цели обработки персональных данных или утраты необходимости в достижении цели обработки персональных данных осуществляется только в статистических целях, и только после обязательного проведения процедуры обезличивания персональных данных. 7.9. Вопрос об уничтожении документов, содержащих персональные данные с истекшими сроками хранения, рассматривается на заседании ко-миссий по уничтожению документов по работе с персональными данными (далее - Комиссия), состав которой утверждается приказом директора пред-приятия. 7.10. По итогам заседания Комиссии составляется акт о выделении к уничтожению документов, опись уничтожаемых дел. Акт о выделении к уничтожению документов подписывается председателем и членами Комиссии и утверждается заместителем директора по общим вопросам. 7.11. Уничтожение персональных данных по окончании срока их об-работки на электронных носителях производится путем механического на-рушения их целостности, не позволяющим произвести считывание и вос-становление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации. 8. Заключительные положения 8.1. Ответственность за нарушение требований законодательства Рос-сийской Федерации и нормативных документов предприятия в области пер-сональных данных определяется в соответствии с законодательством Российской Федерации. 8.2. Настоящая Политика вступает в силу с момента утверждения и дей-ствует бессрочно до принятия новой Политики. 8.3. Все изменения и дополнения к настоящей Политике должны быть утверждены директором предприятия.