Политика конфиденциальности - Центр инжиниринга и инноваций Томской области

Политика в отношении обработки персональных данных в Автономной некоммерческой организации «Центр инжиниринга и инноваций Томской области»

1. Общие положения.

1.1. Политика Автономной некоммерческой организации «Центр инжиниринга и инноваций Томской области» (далее – АНО «ЦИИТО», Оператор) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика определяет политику, порядок и условия Оператора в отношении обработки и защиты ПД, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой ПД.
1.3. Все вопросы, связанные с обработкой и защитой ПД, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области ПД.
1.4. Политика действует в отношении всех ПД, которые обрабатывает АНО «ЦИИТО».
1.5. Политика распространяется на отношения в области обработки ПД, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.6. Во исполнение требований части 2 статьи 18.1 Закона о ПД настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.7. Основные понятия, используемые в Политике: ПД - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД); оператор ПД (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД; обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД; автоматизированная обработка ПД - обработка ПД с помощью средств вычислительной техники; распространение ПД - действия, направленные на раскрытие ПД неопределенному кругу лиц; предоставление ПД - действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц; блокирование ПД - временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД); уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД; обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД; информационная система ПД - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств; конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; угрозы безопасности ПД – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе ПД; уровень защищенности ПД – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационных системах ПД; файлы cookie – данные, которые автоматически передаются Оператору в процессе использования официального сайта АНО «ЦИИТО» с помощью установленного на устройстве субъекта ПД программного обеспечения, в том числе: IP-адрес, географическое местоположение, информация о браузере и виде операционной системы устройства субъекта ПД, технические характеристики оборудования и программного обеспечения, используемых субъектом ПД, дата и время доступа к сайту; пользователь сайта – лицо, имеющее доступ к сайту https://innovationtomsk.ru/ (далее – Сайт) посредством сети «Интернет» и использующее сайт.
1.8. На Сайте оператора используется сервис веб-аналитики «Яндекс.Метрика», предоставляемый компанией ООО «Яндекс» (119021, Россия, г. Москва, ул. Л.Толстого, 16), осуществляющий сбор cookie. При первом посещении сайта Пользователю Сайта с помощью браузера предоставляется баннер, предупреждающий об осуществлении сбора cookie. Нажимая кнопку «Принять» или продолжая пользоваться Сайтом, Пользователь предоставляет свое согласие на обработку его cookies, а также подтверждает согласие с положениями настоящей Политики. Продолжение пользования Сайтом означает осуществление Пользователем Сайта перехода по любой ссылке, размещенной на Сайте, или нажатие любой кнопки на Сайте, а также просмотр контента на любой странице Сайта. Пользователь Сайта вправе отказаться от использования cookies, выбрав соответствующие настройки в браузере.
1.9. Основные права и обязанности Оператора.
1.9.1. Оператор имеет право: 1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПД или другими федеральными законами; 2) поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные Законом о ПД, соблюдать конфиденциальность ПД, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о ПД; 3) в случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в Законе о ПД; 4) иные права, предусмотренные Законом о ПД и иными федеральными законами.
1.9.2. Оператор обязан: 1) организовывать обработку ПД в соответствии с требованиями Закона о ПД; 2) отвечать на обращения и запросы субъектов ПД и их законных представителей в соответствии с требованиями Закона о ПД; 3) сообщать в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в сроки, установленные Законом о ПД; 4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПД; 5) выполнять иные обязанности, предусмотренные Законом о ПД и иными федеральными законами.
1.10. Основные права субъекта ПД. Субъект ПД имеет право: 1) получать информацию, касающуюся обработки его ПД, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Перечень информации и порядок ее получения установлен Законом о ПД; 2) требовать от оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; 3) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке, если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований Закона о ПД или иным образом нарушает его права и свободы; 4) иные права, предусмотренные Законом о ПД и иными федеральными законами.

2. Цели обработки ПД

2.1. Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
2.2. Обработке подлежат только ПД, которые отвечают целям их обработки.
2.3. Обработка Оператором ПД осуществляется в следующих целях:
2.3.1. обеспечение соблюдения трудового законодательства Российской Федерации;
2.3.2. подбор персонала (соискателей) на вакантные должности Оператора;
2.3.3. подготовка, заключение и исполнение гражданско-правового договора;
2.3.4. осуществление деятельности в соответствии с Уставом Автономной некоммерческой организации «Центр инжиниринга и инноваций Томской области», связанной с оказанием содействия организациям Томской области в использовании инновационных технологий, обеспечением их участия в выставочно-ярмарочных мероприятиях, подготовкой и обеспечением процессов производства и реализации продукции, оказанием инженерно-исследовательских, консалтинговых, консультационных и иных услуг по направлениям инновационного развития Томской области, в том числе в целях реализации государственной программы «Научно-технологическое развитие Томской области», утвержденной постановлением Администрации Томской области от 27.09.2019 № 359а.

3. Правовые основания обработки ПД

3.1. Правовым основанием обработки ПД является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПД, в том числе Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний», Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне», Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции», Федеральный закон от 27.07.2006 № 152-ФЗ «О ПД», Устав АНО «ЦИИТО», а также согласие субъектов ПД на обработку их ПД в случаях, предусмотренных законодательством Российской Федерации в области ПД, договоры, заключаемые между Оператором и субъектами ПД.
3.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям АНО «ЦИИТО», обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД.

4. Объем и категории обрабатываемых ПД, категории субъектов ПД

4.1. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Сведения о категориях субъектов, ПД которых обрабатываются Оператором, категориях и перечне обрабатываемых ПД, способах, сроках их обработки и хранения представлены в Приложении к настоящей Политике.
4.3. Оператором не осуществляется обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

5. Порядок и условия обработки ПД

5.1. Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор не поручает обработку ПД другому лицу.
5.4. Оператор вправе передавать ПД органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.5. Положения Политики распространяются на все отношения, связанные с обработкой ПД, осуществляемой Оператором:
5.5.1. с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях;
5.5.2. без использования средств автоматизации, если обработка ПД без использования таких средств соответствует характеру действий (операций), совершаемых с ПД с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПД, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПД, и (или) доступ к таким ПД;
5.5.3. с использованием смешанной обработки ПД.
5.6. К обработке ПД допускаются работники Оператора, в должностные обязанности которых входит обработка ПД.
5.7. Обработка ПД для каждой цели обработки, указанной в пункте 2.3 Политики, осуществляется путем: • получения ПД в устной и письменной форме непосредственно от субъектов ПД; • внесения ПД в журналы, реестры и информационные системы Оператора; • использования иных способов обработки ПД.
5.8. Если ПД получены не от субъекта ПД, Оператор, за исключением случаев, предусмотренных пунктом 5.9 настоящей Политики, до начала обработки таких ПД предоставляет субъекту ПД следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес Оператора или представителя Оператора; 2) цель обработки ПД и ее правовое основание; 3) перечень ПД; 4) предполагаемые пользователи ПД; 5) установленные Законом о ПД права субъекта ПД; 6) источник получения ПД.
5.9. Оператор освобождается от обязанности предоставить субъекту ПД сведения, предусмотренные пунктом 5.8 настоящей Политики, в случаях, если: 1) субъект ПД уведомлен об осуществлении обработки его ПД Оператором; 2) ПД получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД; 3) обработка ПД, разрешенных субъектом ПД для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона о ПД; 4) оператор осуществляет обработку ПД для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПД; 5) предоставление субъекту ПД информации, предусмотренной пунктом 5.8 настоящей Политики, нарушает права и законные интересы третьих лиц.
5.10. При сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.11. Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.
5.12. Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку ПД должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПД. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются оператором.
5.13. Согласие на обработку ПД может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Закона о ПД.
5.14. Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД или доказательство наличия основания, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона «О ПД», возлагается на Оператора.
5.15. В случаях, предусмотренных федеральным законом, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПД на обработку его ПД должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД); 3) наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта ПД; 4) цель обработки ПД; 5) перечень ПД, на обработку которых дается согласие субъекта ПД; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка будет поручена такому лицу; 7) перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД; 8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта ПД.
5.16. В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.
5.17. В случае смерти субъекта ПД согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом ПД при его жизни.
5.18. ПД могут быть получены Оператором от лица, не являющегося субъектом ПД, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Закона о ПД.
5.19. Субъект ПД дает согласие на обработку его ПД следующим образом: 5.19.1. путем заполнения Согласия на обработку ПД на бумажных носителях, выдаваемых Оператором; 5.19.2. путем заполнения специальной формы на Сайте; 5.19.3. путем пользования Сайтом.
5.20. Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД.
5.21. Передача ПД органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.22. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе: • определяет угрозы безопасности ПД при их обработке; • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПД; • назначает лиц, ответственных за обеспечение безопасности ПД в структурных подразделениях и информационных системах Оператора; • создает необходимые условия для работы с ПД; • организует учет документов, содержащих ПД; • организует работу с информационными системами, в которых обрабатываются ПД; • хранит ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним; • организует обучение работников Оператора, осуществляющих обработку ПД.
5.23. Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требует каждая цель обработки ПД, если срок хранения ПД не установлен федеральным законом, договором. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.23.1. ПД на бумажных носителях хранятся в АНО «ЦИИТО» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.23.2. Срок хранения ПД, обрабатываемых в информационных системах ПД, соответствует сроку хранения ПД на бумажных носителях.
5.24. Оператор прекращает обработку ПД в следующих случаях: • выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления; • достигнута цель их обработки; • истек срок действия или отозвано согласие субъекта ПД на обработку указанных данных, когда по Закону о ПД обработка этих данных допускается только с согласия.
5.25. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку Оператор прекращает обработку этих данных, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД; • Оператор не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или иными федеральными законами; • иное не предусмотрено другим соглашением между Оператором и субъектом ПД.
5.26. При обращении субъекта ПД к Оператору с требованием о прекращении обработки ПД в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка ПД прекращается, за исключением случаев, предусмотренных Законом о ПД. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту ПД мотивированное уведомление с указанием причин продления срока.
5.27. При сборе ПД, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о ПД.

6. Актуализация, исправление, удаление, блокирование, уничтожение ПД, ответы на запросы субъектов на доступ к ПД

6.1. Подтверждение факта обработки ПД Оператором, правовые основания и цели обработки ПД, а также иные сведения, указанные в части 7 статьи 14 Закона о ПД, предоставляются Оператором субъекту ПД или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПД или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту ПД мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Запрос должен содержать: • номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; • сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором; • подпись субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о ПД, субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта ПД не отражены в соответствии с требованиями Закона о ПД все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с частью 8 статьи 14 Закона о ПД, в том числе если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД, Оператор осуществляет блокирование ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц. В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов уточняет ПД в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПД.
6.3. В случае выявления неправомерной обработки ПД при обращении (запросе) субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД, Оператор осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения запроса.
6.4. Порядок уничтожения ПД Оператором.
6.4.1. Условия и сроки уничтожения ПД Оператором: • достижение цели обработки ПД либо утрата необходимости достигать эту цель - в течение 30 дней; • достижение максимальных сроков хранения документов, содержащих ПД, - в течение 30 дней; • предоставление субъектом ПД (его представителем) подтверждения того, что ПД получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней; • отзыв субъектом ПД согласия на обработку его ПД, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.4.2. При достижении цели обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД; • Оператор не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или иными федеральными законами; • иное не предусмотрено другим соглашением между Оператором и субъектом ПД.
6.4.3. Уничтожение ПД осуществляет комиссия, созданная приказом директора АНО «ЦИИТО».
6.4.4. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих ПД, которые подлежат уничтожению. 6.4.5. ПД на бумажных носителях уничтожаются с использованием шредера. ПД на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить ПД, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.4.6. Комиссия подтверждает уничтожение ПД в соответствии с Требованиями к подтверждению уничтожения ПД, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно: • актом об уничтожении ПД - если данные обрабатываются без использования средств автоматизации; • актом об уничтожении ПД и выгрузкой из журнала регистрации событий в информационной системе ПД - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
6.4.7. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения ПД.

7. Защита ПД. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

7.1. Без письменного согласия субъекта ПД Оператор не раскрывает третьим лицам и не распространяет ПД, если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрывать и распространять ПД субъектов ПД по телефону.
7.2. С целью защиты ПД в АНО «ЦИИТО» приказами директора назначаются (утверждаются): • лицо, ответственное за организацию обработки ПД; • перечень лиц (работников АНО «ЦИИТО»), доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей • иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области ПД.
7.3. Работники, которые занимают должности, предусматривающие обработку ПД, допускаются к ней после подписания обязательства об их неразглашении.
7.4. Материальные носители ПД хранятся в шкафах, запирающихся на ключ. Помещения АНО «ЦИИТО», в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.5. Лицо, ответственное за организацию обработки ПД, в частности, обязано: • осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о ПД, в том числе требований к защите ПД; • доводить до сведения работников Оператора положения законодательства Российской Федерации о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД; • организовывать прием и обработку обращений и запросов субъектов ПД или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
7.6. Внутренний контроль осуществляется в виде внутренних проверок.
7.6.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается директором АНО «ЦИИТО».
7.6.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки ПД. Основанием для них служит информация о нарушении законодательства в области ПД, поступившая в устном или письменном виде.
7.6.3. По итогам внутренней проверки оформляется служебная записка на имя директора АНО «ЦИИТО». Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.4. В АНО «ЦИИТО» проводятся внутренние расследования в следующих ситуациях: • при неправомерной или случайной передаче (предоставлении, распространении, доступе) ПД, повлекшей нарушение прав субъектов ПД; • в иных случаях, предусмотренных законодательством в области ПД.
7.5. При выявлении Оператором, уполномоченным органом по защите прав субъектов ПД или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПД (доступа к ПД), повлекшей нарушение прав субъектов ПД, Оператор: в течение 24 часов - уведомляет уполномоченный орган по защите прав субъектов ПД о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПД, предполагаемом вреде, нанесенном правам субъектов ПД, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПД по вопросам, связанным с инцидентом; в течение 72 часов – уведомляет уполномоченный орган по защите прав субъектов ПД о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

8. Ответственность за нарушение норм, регулирующих обработку ПД

8.1. Лица, виновные в нарушении требований законодательства в области ПД, несут предусмотренную законодательством Российской Федерации ответственность.
8.2. Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, нарушения правил обработки ПД, а также несоблюдения требований к их защите, установленных Законом о ПД, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

Полный текст по ссылке