1Общие положения
1.1. Политика ООО «Медицинский центр «Гален» в отношении обработки персональных данных (далее - Политика, оператор) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия, используемые в Политике:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.4. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика размещается на информационном сайте ООО «Медицинский центр «Гален», а также доводится до сведения работников и клиентов.
Оператор предоставляет Политику любому лично обратившемуся лицу.
1.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.6. Ответственность Оператора за нарушение требований законодательства Российской Федерации и нормативных актов в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2Основные права и обязанности оператора
2.1. Оператор вправе:
а) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
б) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
в) вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных, в случае отзыва субъектом персональных данных согласия на обработку персональных данных.
2.2. Оператор обязан:
а) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
б) при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
в) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
г) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
д) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
е) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
ж) прекратить обработку персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3Основные права субъекта персональных данных
3.1. Субъект персональных данных имеет право:
а) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
б) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
в) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4Цели сбора персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3. Обработка Оператором персональных данных осуществляется в следующих целях:
- соблюдение трудового законодательства и иных актов, содержащих нормы трудового права, включая учет труда, его оплату, осуществление кадрового учета, контроль над трудовой дисциплиной;
- ведение бухгалтерского и налогового учета в отношении осуществляемой деятельности;
- привлечение и отбор кандидатов для трудоустройства у оператора;
- заключение и исполнение договоров, дополнительных соглашений, иных юридически значимых документов от имени оператора;
- осуществления деятельности, предусмотренной учредительными документами Оператора.
5Правовые основания обработки персональных данных
5.1. Правовым основанием обработки персональных данных являются нормативные правовые акты, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью».
5.2. Правовым основанием обработки персональных данных также являются:
- нормативно-правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
- уставные документы Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- договоры, заключаемые между оператором и контрагентами;
- согласие субъектов персональных данных на обработку их персональных данных.
5.3. Обработка персональных данных прекращается при реорганизации или ликвидации оператора, а также в иных случаях, предусмотренных законодательством РФ.
6Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, способы и сроки обработки, хранения и порядок уничтожения
6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных для следующих целей:
6.2.1. Кандидаты на замещение вакантных должностей.
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором, в целях рассмотрения вопроса о приеме кандидатов на работу (оценка профессиональных качеств потенциального работника, сведений о его опыте работы и т. д.), осуществления пропускного режима, обеспечения сохранности имущества работников, Оператора и иных лиц, находящихся на территории Оператора:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные (номер мобильного телефона и адрес электронной почты);
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- иные персональные данные, сообщаемые кандидатами на замещение вакантных должностей, в соответствии с требованиями законодательства.
6.2.2. Работники и бывшие работники Оператора.
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором, в целях исполнения законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, содействия работникам в получении образования и продвижении по службе, обеспечения личной безопасности работников, осуществления пропускного режима, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работников, Оператора и иных лиц, находящихся на территории Оператора:
- фамилия, имя, отчество (при наличии), дата и место рождения, пол, возраст, сведения о гражданстве;
- место постоянной и временной регистрации, место фактического проживания;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
- ИНН;
- СНИЛС;
- сведения о семейном положении, составе семьи, реквизиты свидетельства о регистрации брака, свидетельства о рождении ребенка;
- реквизиты полиса ОМС;
- сведения о трудовой деятельности, в том числе о трудовом стаже, предыдущих местах работы, о приеме, переводе, увольнении и иных событиях, о доходах, в том числе с предыдущих мест работы;
- должность;
- сведения о воинской обязанности, реквизиты военного билета;
- сведения об образовании, включая реквизиты документов об образовании, сведения о квалификации, профессиональной подготовке, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; сведения о повышении квалификации;
- номер телефона, адрес электронной почты;
- сведения о деловых и иных личных качествах, носящих оценочный характер;
- сведения о водительском удостоверении;
- сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
- сведения об инвалидности;
- сведения об удержании алиментов и иных платежей;
- номер расчетного счета;
- номер банковской карты;
- сведения, содержащиеся в приказах;
- данные о командировках;
- сведения об удержании алиментов и иных платежей;
- сведения о социальных льготах;
- специальные персональные данные, а именно сведения о состоянии здоровья;
- биометрические персональные данные, а именно фотографическое изображение/видеоизображение Субъекта персональных данных.
6.2.3. Члены семьи работников Оператора.
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором, в целях исполнения законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- фамилия, имя, отчество;
- степень родства;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
6.2.4. Контрагенты и клиенты Оператора (физические лица).
В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором, в целях заключения, изменения, расторжения, исполнения договора, стороной которого является субъект персональных данных, и осуществления своей деятельности в соответствии с Уставом Оператора, осуществления пропускного режима, обеспечения сохранности имущества работников, Оператора и иных лиц, находящихся на территории Оператора:
6.2.4. Клиенты:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные (номер мобильного телефона и адрес электронной почты);
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- иные персональные данные, предоставляемые субъектами персональных данных.
6.2.5. Представители транспортных компаний, обеспечивающих логистические / экспедиторские услуги Оператора, включая ПДн водителей, предоставляемых контрагентами/клиентами или транспортными компаниями, осуществления пропускного режима, обеспечения сохранности имущества работников, Оператора и иных лиц, находящихся на территории Оператора:
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные (номер мобильного телефона и адрес электронной почты);
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
6.2.6. Представители компаний, являющихся контрагентами / клиентами Оператора, или являющихся потенциальными клиентами или их представителями для прохождения обучения у Оператора:
- фамилия, имя, отчество;
- контактные данные (номер мобильного телефона и адрес электронной почты);
- иные персональные данные, предоставляемые работниками,
6.3. Оператором осуществляется обработка специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных Законом о персональных данных. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
7.3. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.4. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных данных.
7.5. Способ обработки персональных данных для каждой цели их обработки неавтоматизированная обработка персональных данных.
7.6. Сроки обработки персональных данных определяются исходя из конкретных целей обработки персональных данных в соответствии со сроком действия договоров с субъектами персональных данных, требованиями законодательства Российской Федерации и иных нормативных правовых актов.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или письменный отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.7. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
7.8. Обработка персональных данных для каждой цели обработки, указанной в пункте 6.2 настоящей Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
7.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Оператор обеспечивает субъекту персональных данных возможность определения переченя персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, прекращается Оператором в любое время по требованию субъекта персональных данных.
7.10. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.11. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и других неправомерных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обработку и обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
7.12. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.13. Срок хранения персональных данных обусловлен достижением конкретной цели их обработки, моментом отзыва согласия на обработку персональных данных субъектом персональных данных, а также требованиями действующего законодательства.
7.14. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
7.15. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Закона о персональных данных.
7.16. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки, в срок, не превышающий трех рабочих дней с даты этого выявления;
- достигнута цель их обработки, в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено пунктом 7.17 настоящей Политики.
7.17. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
7.18. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в адрес субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
7.19. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8Порядок и условия обработки биометрических персональных данных
8.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.
8.2. Оператор осуществляет обработку биометрических персональных данных только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
8.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных пунктом 8.2. настоящей Политики. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение Оператором согласия на обработку персональных данных не является обязательным.
8.4. Оператор осуществляет обработку биометрических персональных данных в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Закона о персональных данных.
8.5. Оператор осуществляет использование и хранение биометрических, а также персональных данных с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
8.6. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
- доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
- применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
- проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
8.7. Оператор обеспечивает при хранении биометрических персональных данных вне информационных систем персональных данных регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
9Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. Оператор в порядке, предусмотренном статьей 14 Закона о персональных данных, сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.2. Оператор предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.
В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные.
Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.5. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
9.6. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
9.7. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения на мелкие части с помощью шрёдера;
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
9.8. Документом, подтверждающим уничтожение персональных данных субъектов, обрабатываемых Оператором без использования средств автоматизации, является акт об уничтожении персональных данных.
9.9. Документами, подтверждающими уничтожение персональных данных субъектов, обрабатываемых Оператором с использованием средств автоматизации, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.