5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
Согласие на обработку персональных данных посетителей официального сайта Оператора предоставляется путем заполнения посетителем сайта специальной формы согласия на официальном сайте Оператора.
5.3. Оператор осуществляет автоматизированную, неавтоматизированную и смешанную обработку персональных данных.
5.3.1. Для достижения цели: "Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников. Обеспечение личной безопасности работников, осуществление охраны труда. Обеспечения исполнения работниками Оператора своих обязанностей в области воинского учета в установленных законодательством случаях» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:
- работники Оператора;
- бывшие работники Оператора.
В рамках указанных категорий Субъектов осуществляется смешанная обработка персональных данных. Информация передается по внутренней сети Оператора и с использованием сети общего доступа Интернет.Перечень действий, совершаемых с персональными данными для достижения указанной цели: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), блокирование, удаление, уничтожение.
В рамках указанной цели осуществляется передача персональных данных следующим третьим лицам: Федеральная налоговая служба РФ; Фонд пенсионного и социального страхования РФ (Социальный фонд России, СФР); Уполномоченные органы на основаниях, предусмотренных действующим законодательством РФ; иные третьи лица, указанные Субъектом в согласии на обработку персональных данных. Порядок и сроки хранения определяются Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации". Срок хранения персональных данных достигает 50 (пятьдесят) лет.
5.3.2. Для достижения цели «Осуществление гражданско-правовых отношений (заключение и исполнение гражданско-правых и хозяйственных договоров с субъектами персональных данных)» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:
- Клиенты и контрагенты Оператора (физические лица);
- Представители (работники) клиентов и контрагентов Оператора (юридических лиц).
В рамках указанных категорий Субъектов осуществляется смешанная обработка персональных данных. Информация передается по внутренней сети Оператора и с использованием сети общего доступа Интернет. Перечень действий, совершаемых с персональными данными для достижения указанной цели: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), блокирование, удаление, уничтожение. В рамках указанной цели передача персональных данных третьим лицам не осуществляется. Обработка персональных данных Субъекта осуществляется исключительно в связи с заключением и исполнением договора. Срок хранения персональных данных составляет 5 (пять) лет с момента достижения указанной цели обработки с последующим уничтожением в установленном порядке.
5.3.3. Для достижения цели «Привлечение и отбор кандидатов на работу у Оператора» Оператор осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
- Кандидаты для приема на работу у Оператора.
В рамках указанных категорий Субъектов осуществляется неавтоматизированная обработка персональных данных. Перечень действий, совершаемых с персональными данными для достижения указанной цели: сбор, запись, использование, удаление, уничтожение. В рамках указанной цели передача персональных данных третьим лицам не осуществляется. Срок хранения персональных данных составляет 1 (один) год с момента достижения указанной цели обработки с последующим уничтожением в установленном порядке.
5.3.4. Для достижения цели «Продвижение товаров, работ, услуг Оператора на рынке» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:
- клиенты и контрагенты Оператора (физические лица);
- представители (работники) клиентов и контрагентов Оператора (юридических лиц);
- посетители сайта Оператора.
В рамках указанных категорий Субъектов осуществляется смешанная обработка персональных данных. Информация передается по внутренней сети Оператора и с использованием сети общего доступа Интернет. Перечень действий, совершаемых с персональными данными для достижения указанной цели: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение. В рамках указанной цели передача персональных данных третьим лицам не осуществляется. Обработка персональных данных Субъекта осуществляется исключительно в связи с информированием и консультированием Субъекта о предлагаемых Оператором товарах и услугах. Срок хранения персональных данных составляет 5 (пять) лет с момента достижения указанной цели обработки с последующим уничтожением в установленном порядке.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Доступ работникам Оператора (за исключением собственника данных) к персональным данным для выполнения должностных обязанностей может быть открыт только после подписания обязательства о неразглашении персональных данных. Временный или разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию с директором. Доступ к персональным данным третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта персональных данных, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. В случае если сотруднику сторонней организации необходим доступ к персональным данным, обрабатываемым Оператором, то необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности персональных данных и обязанность сторонней организации и ее сотрудников по соблюдению требований текущего законодательства в области защиты персональных данных. Кроме того, в случае доступа к персональным данным лиц, не являющихся сотрудниками Оператора, должно быть получено согласие субъектов персональных данных на предоставление их персональных данных третьим лицам. Указанное согласие не требуется, если персональные данные предоставляются в целях исполнения гражданско-правового договора, заключенного Оператором с субъектом персональных данных. Доступ сотрудника Оператора к персональным данным прекращается с даты прекращения трудовых отношений либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к персональным данным. В случае увольнения все носители, содержащие персональные данные, которые в соответствии с должностными обязанностями находились в распоряжении сотрудника Оператора во время работы, должны быть переданы его непосредственному руководителю.
5.5. Обработка персональных данных осуществляется путем:
· получения персональных данных в устной и письменной форме на бумажных или электронных носителях непосредственно от субъектов персональных данных;
· получения персональных данных из общедоступных источников;
· внесения персональных данных в журналы, реестры и информационные системы Оператора;
· получения в установленном законодательством случаях оригиналов документов, содержащих персональные данные;
· хранения персональных данных как на бумажных носителях, так и в электронном виде;
· уничтожения персональных данных;
· передачи (предоставления доступа) персональных данных;
· использования иных способов обработки персональных данных в порядке, установленном 10 законодательством РФ.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования РФ (Социальный фонд России, СФР) и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома руководителя Оператора. Оператор вправе передавать персональные данные субъекта третьим лицам только если субъект персональных данных выразил на это согласие. Передача персональных данных третьим лицам может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных. Ответы на правомерные письменные запросы других организаций даются с разрешения директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника. Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет актуальные угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные, а также учет машинных носителей, в том числе съемных, содержащих персональные данные Cубъектов;
· организует работу с информационными системами, в которых обрабатываются персональные данные, в том числе обеспечивает работоспособность компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации, а также обеспечивает использование только сертифицированного программного обеспечения, в том числе антивирусного, с регулярно обновляемыми базами;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных;
· устанавливает правила доступа к персональным данным Cубъектов, обрабатываемым в информационных системах Оператора, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными Cубъектов в информационных системах Оператора;
· организует работу по обнаружению и регистрации фактов несанкционированного доступа к персональным данным, а также принимает меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, в порядке, установленном действующим законодательством РФ
· обеспечивает восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
· организует проведение служебного расследования по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
· осуществляет внутренний контроль и аудит за соблюдением Оператором и его работниками требований к защите персональных данных.
5.9. Персональные данные Субъектов, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.10. Персональные данные Субъектов, обрабатываемые в разных целях, хранятся отдельно друг от друга.
5.11. Оператор не допускает хранение и размещение электронных образов документов и электронных документов, содержащих персональные данные Субъектов в открытых электронных каталогах (файлообменниках) в информационной системе Оператора.
5.12. Оператор осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.13. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
5.14. Доступ сотрудников Оператора к персональным данным Субъектов, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке.
5.15. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
5.16. Офис, помещения Оператора, по окончании рабочего дня и отсутствия сотрудников запирается, окна закрываются. Сетевое оборудование расположено в местах, недоступных для посторонних лиц (в специальных помещениях).
6. Актуализация, исправление, удаление, уничтожение персональных данных и прекращение их обработки, ответы на запросы о доступе к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса Субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору направляет Субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:
· номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
· подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Прием и обработка обращений и запросов Субъектов персональных данных или их представителей осуществляется Ответственным. По факту обращения Субъекта персональных данных на получение сведений о своих персональных данных в Журнал учета обращений субъектов заносятся следующие сведения: фамилия, инициалы субъекта персональных данных; дата поступления обращения (с указанием входящего номера обращения); дата ответа на обращение (с указанием исходящего номера письменного ответа). Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Оператор обязан предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных, по месту своего расположения в рабочее время.
6.2. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 (семь) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) Субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав Субъектов персональных данных, Оператор:
· в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам Субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
· в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА), включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6.5. Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок:
- не превышающий 30 (тридцать) дней с даты достижения целей обработки персональных данных, или истечения максимальных сроков хранения, или с даты утраты необходимости в достижении целей обработки персональных данных, или с даты отзыва Субъектом согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом либо, если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами Российской Федерации;
- не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки персональных данных;
- не превышающий 7 (семь) рабочих дней в случае предоставление Субъектом или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- не превышающий 2 (два) рабочих дней в случае отзыва Субъектом согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг.
6.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий 3 (три) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.
В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав Субъектов были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.7. Персональные данные, обрабатываемые для цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников. Обеспечение личной безопасности работников, осуществление охраны труда. Обеспечения исполнения работниками Оператора своих обязанностей в области воинского учета в установленных законодательством случаях» уничтожаются в случаях и в сроки, указанные в п. 6.5. Политики с учетом требований архивного законодательства Российской Федерации в порядке, указанном в п. 6.10. Политики, следующими способами:
- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающими возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов);
- уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания;
- подлежащие уничтожению файлы с персональными данными клиентов, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
- в случае допустимости повторного использования носителя FDD, CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.8. Персональные данные, обрабатываемые для цели «Осуществление гражданско-правовых отношений (заключение и исполнение гражданско-правых и хозяйственных договоров с субъектами персональных данных)» и «Продвижение товаров, работ, услуг Оператора на рынке» уничтожаются в случаях и в сроки, указанные в п. 6.5. Политики в порядке, указанном в п. 6.10. Политики, следующими способами:
- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающими возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов);
- уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя или его сжигания;
- подлежащие уничтожению файлы с персональными данными клиентов, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
- в случае допустимости повторного использования носителя FDD, CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.9. Персональные данные, обрабатываемые для цели «Привлечение и отбор кандидатов на работу 15 у Оператора» уничтожаются в случаях и в сроки, указанные в п. 6.5. Политики в порядке, указанном в п. 6.10. Политики, следующими способами: - уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем сжигания или измельчения на мелкие части, исключающими возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов).
6.10. Вопрос об уничтожении документов и (или) материальных носителей, содержащих персональные данные, рассматривается директором организации. По итогам составляется опись уничтожаемых документов и материальных носителей персональных данных. После уничтожения материальных носителей составляется акт об уничтожении носителей, содержащих персональные данные. Описи и акты утверждаются директором Оператора.
6.11. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
7. Трансграничная передача персональных данных.
7.1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законодательством РФ и может быть запрещена или ограничена уполномоченным органом по защите прав субъектов персональных данных в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
7.2. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
7.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
8. Контроль, ответственность за нарушение или неисполнение положения
8.1. Контроль за исполнением Политики возложен на Ответственного, который получает указания непосредственно от директора Оператора и подотчетен ему.
8.2. Сотрудники Оператора незамедлительно доводят до сведения своего непосредственного руководителя и Ответственного сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
8.3. Руководство Оператора несет ответственность за необеспечение конфиденциальности персональных данных и несоблюдение прав и свобод субъектов персональных данных в отношении их персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
8.4. Сотрудники Оператора несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности персональных данных, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.
8.5. Сотрудник Оператора может быть привлечен к ответственности в случаях:
- умышленного или неосторожного раскрытия персональных данных;
- утраты материальных носителей персональных данных;
- нарушения требований настоящего Положения и других нормативных документов Оператора в части вопросов доступа и работы с персональных данных.
8.6. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации. Лица, нарушающие или не исполняющие требования законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных, привлекаются к гражданско-правовой, дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации) в установленном действующим законодательством порядке. 8.7. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.