6.1. Обработка и порядок прекращения обработки персональных данных
Обработка ПД в Компании допускается в следующих случаях:
- обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
- обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
- обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
- обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
- осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД, либо по его просьбе;
- осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- также обработка ПД Компанией возможна в иных случаях, предусмотренных федеральным законодательством.
Включение Компанией ПД субъектов в общедоступные источники ПД возможно только в случае наличия требований федерального законодательства либо в случае получения письменного согласия субъекта ПД.
Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Компания осуществляет трансграничную передачу ПД субъектов в целях исполнения договорных обязательств с контрагентами только при наличии согласия субъекта ПД.
Компания осуществляет обработку биометрических персональных данных только при наличии требований федерального законодательства либо при наличии письменного согласия субъекта ПД. Биометрические персональные данные не хранятся вне информационных систем персональных данных Компании.
Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПД.
Компания вправе поручить обработку ПД другому лицу только с согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку ПД по поручению, соблюдать принципы и правила обработки ПД, предусмотренные законодательством Российской Федерации. В случае, если Компания поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПД по поручению Компании, несет ответственность перед Компанией.
Компания обязуется и обязывает иных лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации
Обработка Компанией ПД прекращается в следующих случаях:
- достижение целей обработки ПД;
- истечение срока обработки ПД, предусмотренного законодательством Российской Федерации, договором или согласием субъекта ПД на обработку его ПД;
- при отзыве субъектом ПД согласия на обработку его ПД в случаях, не противоречащих требованиям законодательства Российской Федерации.
6.2. Сведения о реализуемых требованиях по защите персональных данных
Компания принимает все необходимые правовые, организационные и технические меры при обработке ПД для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.
Реализуются меры по организации обработки и обеспечению безопасности ПД, обрабатываемых без средств автоматизации, в том числе:
- для каждой категории ПД должны быть определены места хранения ПД (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПД и имеющих к ним доступ;
- должно быть обеспечено раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях;
- должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ (далее – НСД) к ним при хранении материальных носителей.
Реализуются меры по защите ПД при их обработке в информационных системах ПД, в том числе:
- определяется уровень защищенности ПД при их обработке в информационных системах;
- выполняются требования по защите ПД в информационных системах ПД, в соответствии с определенными уровнями защищенности ПД;
- применяются необходимые средства защиты информации;
- осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
- осуществляется учет машинных носителей ПД;
- осуществляется обнаружение фактов НСД к ПД и принятие необходимых мер;
- осуществляется восстановление ПД, модифицированных или уничтоженных вследствие НСД к ним;
- устанавливаются правила доступа к ПД, обрабатываемым в ИСПД, а также обеспечиваются регистрация и учет действий, совершаемых с ПД в ИСПД, там, где это необходимо;
- контролируются принимаемые меры по обеспечению безопасности ПД и уровень защищенности ИСПД.