3 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АРДМ – АО «АРДМ»;
ИСПДн – информационная система персональных данных;
ПДн – персональные данные;
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов персональных данных.
4 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Обработка персональных данных должна осуществляться на законной и справедливой основе.
4.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3 Цели обработки персональных данных отражаются в локальных нормативных актах АРДМ, регулирующих порядок обработки и защиты персональных данных, а также в согласиях субъектов персональных данных.
4.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в АРДМ применяются различные информационные системы, позволяющие разделить допуск должностных лиц к тем или иным персональным данным субъектов, необходимых должностным лицам, для осуществления своих трудовых функций.
4.5 При сборе персональных данных, в том числе посредством сети «Интернет», АРДМ обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в законодательстве РФ.
4.6 При обработке персональных данных АРДМ обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. АРДМ предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных.
4.7 Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ.
5 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Правовым основанием обработки персональных данных для АРДМ является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми АРДМ осуществляет обработку персональных данных, в том числе:
− Конституция Российской Федерации;
− Гражданский кодекс Российской Федерации;
− Трудовой кодекс Российской Федерации;
− Налоговый кодекс Российской Федерации;
− Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
− Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
− Федеральный закон от 18.07.2006 №109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
− Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
− Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
− Федеральный закон от 02.10.2007 №229-ФЗ «Об исполнительном производстве»;
− Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
− Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
− Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
− Приказ Роскомнадзора от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
− Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
− Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
− иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью АРДМ и организацией процесса обработки и защиты персональных данных.
5.2 Правовым основанием обработки персональных данных также являются:
− Устав АРДМ;
− договоры, заключаемые между оператором и субъектом персональных данных;
− согласие субъекта персональных данных на обработку его персональных данных.
6 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
6.2 Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом персональных данных АРДМ имеет право:
− отказать в их принятии;
− уничтожить в присутствии субъекта персональных данных;
− использовать свои типовые формы по сбору персональных данных для исключения сбора избыточных персональных данных.
6.3 АРДМ может обрабатывать персональные данные следующих категорий субъектов персональных данных:
− работники компании;
− родственники работников компании;
− представители работников компании;
− уволенные работники компании;
− соискатели;
− студенты;
− контрагенты;
− представители контрагентов;
− бенифициарный владелец контрагента;
− учредитель/акционер контрагента;
− орган управления контрагента;
− выгодоприобретатели по договорам;
− посетители сайта.
6.4 АРДМ не осуществляет обработку биометрических персональных данных.
6.5 АРДМ осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, в соответствии с законодательством РФ.
7 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Обработка Оператором персональных данных осуществляется в следующих целях:
− ведение кадрового учета;
− ведение бухгалтерского учета;
− подбор персонала (соискателей) на вакантные должности оператора;
− обеспечение прохождения ознакомительной, производственной или преддипломной практики;
− повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения;
− подготовка, заключение и исполнение гражданского-правового договора;
− подготовка, заключения, исполнения и прекращения договоров с контрагентами;
− продвижение товаров, работ, услуг на рынке;
− оформления электронной подписи;
− оформление доверенностей;
− страхование;
− исполнение социальных программ;
− обеспечение пропускного режима на территорию оператора;
− осуществление бронирования билетов, проживания, трансферов;
− формирование аналитической отчетности;
− обеспечение автоматизированной обработки персональных данных, в том числе для обеспечения отказоустойчивости (резервного копирования);
− исполнение судебного акта;
− участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
− обеспечение соблюдения трудового законодательства РФ;
− обеспечения соблюдения требований законодательства РФ в части воинского учета;
− обеспечение соблюдения законодательства РФ об исполнительном производстве;
− обеспечение соблюдения налогового законодательства РФ;
− обеспечение соблюдения законодательства РФ о противодействии легализации финансированию терроризма;
− передача информации в Социальный фонд России.
7.2 Перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований описаны в приложении 1.
8 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
8.2 Обработка персональных данных субъектов включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
8.3 АРДМ осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
− неавтоматизированная обработка персональных данных;
− автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
− смешанная обработка персональных данных.
8.4 АРДМ не осуществляет трансграничную передачу персональных данных.
8.5 В АРДМ могут создаваться общедоступные источники персональных данных (сайт, информационный стенд). Персональные данные (фамилия, имя, отчество, должность, квалификация, год рождения, и др.) субъекта персональных данных могут включаться в такие источники только при наличии письменного согласия субъекта персональных данных.
8.6 К обработке персональных данных допускаются работники АРДМ, в должностные обязанности которых входит обработка персональных данных, а также работники иных организаций, с которыми заключены соответствующие договоры.
8.7 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работник АРДМ или работники иных организаций, с которыми заключены соответствующие договоры, осуществляющие сбор (получение) персональных данных непосредственно от субъектов персональных данных, обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.8 Обработка персональных данных для каждой цели обработки, указанной в разделе 8 настоящей Политики, осуществляется путем:
− получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
− внесения персональных данных в журналы, реестры и информационные системы АРДМ;
− использования иных способов обработки персональных данных.
8.9 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При необходимости согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 №18.
8.10 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства РФ.
8.11 АРДМ принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
8.12 АРДМ реализует меры по организации обработки и обеспечению безопасности персональных данных, обрабатываемых без средств автоматизации, в том числе:
− для каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;
− обеспечено раздельное хранение персональных данных материальных носителей), обработка которых осуществляется в различных целях;
− соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ при хранении материальных носителей.
8.13 Реализуются меры по защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн), в том числе:
− определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
− определяется уровень защищенности персональных данных при их обработке в информационных системах;
− выполняются требования по защите персональных данных в ИСПДн в соответствии с определенными уровнями защищенности персональных данных;
− применяются необходимые средства защиты информации;
− осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
− осуществляется учет машинных носителей персональных данных;
− осуществляется обнаружение фактов НСД к персональным данным и принятие необходимых мер;
− осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие НСД к ним;
− устанавливаются правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в ИСПДн, там, где это необходимо;
− контролируются принимаемые меры по обеспечению безопасности персональных данных и уровень защищенности ИСПДн.
8.14 Принципы и требования по обеспечению безопасности персональных данных распространяются на все возможные форматы предоставления персональных данных, такие как:
− документы;
− изображения;
− файлы;
− почтовые сообщения;
− базы данных;
− записи базы данных;
− другие информационные массивы.
8.15 АРДМ осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.16 Персональные данные на бумажных носителях хранятся в АРДМ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект персональных данных не может запретить обработку персональных данных или отозвать персональные данные, обработку которых АРДМ осуществляет в соответствии с действующим архивным законодательством РФ.
8.17 Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
8.18 АРДМ прекращает обработку персональных данных в следующих случаях:
− выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;
− достигнута цель их обработки;
− истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда обработка этих данных допускается только с согласия.
8.19 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку АРДМ прекращает обработку этих данных, если:
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект персональных данных;
− АРДМ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
− иное не предусмотрено другим соглашением между АРДМ и субъектом персональных данных.
8.20 При обращении субъекта персональных данных в АРДМ с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения АРДМ соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого АРДМ необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
9 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1 Подтверждение факта обработки персональных данных в АРДМ, правовые основания и цели обработки персональных данных, а также иные сведения, предоставляются АРДМ субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого АРДМ следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
− номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
− сведения, подтверждающие участие субъекта персональных данных в отношениях с АРДМ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в АРДМ;
− подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
АРДМ предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора АРДМ осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению АРДМ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных АРДМ на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению АРДМ) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3 В случае выявления неправомерной обработки персональных данных, осуществляемой АРДМ или лицом, действующим по поручению АРДМ, АРДМ в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению АРДМ. В случае, если обеспечить правомерность обработки персональных данных невозможно, АРДМ в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
9.4 При выявлении АРДМ, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, АРДМ:
− в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
− в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9.5 Порядок уничтожения персональных данных в АРДМ
9.5.1 Условия и сроки уничтожения персональных данных в АРДМ:
− достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 дней с даты достижения цели обработки персональных данных или утраты необходимости достигать эту цель;
− предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений;
− отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 дней с даты поступления указанного отзыва.
9.5.2 При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
− АРДМ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ;
− иное не предусмотрено другим соглашением между АРДМ и субъектом персональных данных.
9.5.3 Уничтожение персональных данных осуществляет комиссия, созданная приказом директора АРДМ.
9.5.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах АРДМ.
10 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE
10.1 АРДМ в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия посетителей сайтов и совершения ими каких-либо действий по отправке данных.
10.2 Достоверность собранных таким способом электронных данных в АРДМ не проверяется, информация обрабатывается в том виде, в каком она поступила с клиентского устройства.
10.3 На сайтах АРДМ используются данные «cookie», обработка которых необходима для корректной работы сайтов, в частности:
− их функций, относящихся к доступу зарегистрированных;
− персонализации пользователей;
− повышения эффективности и удобства работы с сайтами;
− а также иных целей, предусмотренных настоящей Политикой.
10.4 Посетителям и пользователям сайтов АРДМ могут показываться всплывающие уведомления о сборе и обработке данных «cookie» с ссылкой на настоящую Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.
10.5 Принятие пользователем условий обработки «cookie» или закрытие всплывающего уведомления в соответствии с настоящей Политикой расценивается как согласие на обработку данных «cookie» на сайтах АРДМ.
10.6 В случае если пользователь не согласен с обработкой «cookie», он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
− произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные «cookie» для любых сайтов либо для конкретного сайта АРДМ или сайта стороннего компонента;
− переключиться в специальный режим «инкогнито» браузера для использования сайтом «cookie» до закрытия окна браузера или до переключения обратно в обычный режим;
− покинуть сайт во избежание дальнейшей обработки «cookie».
10.7 Уведомления означают, что при посещении и использовании сайтов, информационных ресурсов АРДМ в браузер на устройстве пользователя может сохраняться информация, позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Эта информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне АРДМ.
10.8 Информация о посещении сайтов АРДМ фиксируется установленными статистическими счетчиками сайтов и «Яндекс.Метрика», предоставляемая компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс). Подробнее ознакомиться с политикой конфиденциальности Яндекс можно по ссылке https://yandex.ru/legal/confidential/ , а узнать, как можно отказаться от их аналитических cookie-файлов, по ссылке https://yandex.ru/support/metrica/index.html.
10.9 Информация об использовании посетителями сайтов, собранная при помощи «cookie», может передаваться Яндексу и храниться на серверах Яндекса, расположенных на территории Российской Федерации. Яндекс обрабатывает эту информацию для оценки использования посетителем сайта, составления отчетов о деятельности сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса «Яндекс.Метрика».
11 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Субъект персональных данных имеет право:
− получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством РФ. Сведения предоставляются субъекту персональных данных АРДМ в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством РФ;
− требовать от АРДМ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
− давать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
− обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие АРДМ при обработке его персональных данных;
− иные права, предусмотренные законодательством РФ.
12 ПРАВА И ОБЯЗАННОСТИ АРДМ ПРИ СБОРЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 АРДМ имеет право:
− самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
− поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению АРДМ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
− в случае отзыва субъектом персональных данных согласия на обработку персональных данных АРДМ вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве РФ;
− иные права, предусмотренные законодательством РФ.
12.2 АРДМ обязан:
− организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
− отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями законодательства РФ;
− сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого АРДМ необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
− в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
− иные обязанности, предусмотренные законодательством РФ.
13 ВНЕСЕНИЕ ИЗМЕНЕНИЙ
Инициатором разработки изменения может быть любое заинтересованное подразделение компании. Разработку изменений к Политике осуществляет управление информационной безопасности.