Политика в отношении обработки персональных данных

Настоящая Политика в отношении обработки персональных данных АО «Эксперт Инвест» (далее – Политика) является официальным документом АО «Эксперт Инвест» (далее – Общество) и разработана в целях предоставления доступа к сведениям об обработке и защите персональных данных в Обществе.

‍

Настоящая Политика учитывает требования законодательства Российской Федерации в области обработки и защиты персональных данных и требования внутренних нормативных документов Общества в области обеспечения информационной безопасности.

‍

Действие Политики распространяется на всю информацию Общества, содержащую персональные данные, в электронном виде и на материальных носителях, в том числе создаваемую, получаемую, передаваемую, хранимую и обрабатываемую с использованием автоматизированных и телекоммуникационных систем Общества.

‍

Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

‍

Политика, являющаяся публичным документом, доступна любому пользователю официального сайта Общества.

‍

Обработка персональных данных субъектов осуществляется Обществом в соответствии со следующими нормативно-правовыми актами:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ (часть первая), от 05.08.2000 № 117-ФЗ (часть вторая);
• Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ (часть первая), от 26.01.1996 № 14-ФЗ (часть вторая), от 26.11.2001 №146-ФЗ (часть третья); 
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» (с изменениями и дополнениями);
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (с изменениями и дополнениями);
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете» (с изменениями и дополнениями);
• постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
• приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Устав ООО «КонтролТуГоу».

Обработка персональных данных осуществляется в следующих целях:

• обеспечения соответствия требованиям Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Гражданского кодекса Российской Федерации и других нормативно-правовых актов Российской Федерации; 
• принятия решения о трудоустройстве кандидатов в Общество и ведения кадрового   резерва; 
• ведения учета персонала;
• выполнения обязательств работодателя по трудовому договору;
• содействия в получении социальных льгот;
• содействия работникам в обучении и карьерном росте;
• отбора поставщиков товаров/работ/услуг для нужд Общества;
• обеспечения договорных обязательств между Обществом и контрагентами (физическими и юридическими лицами);
• обработки обращений и запросов граждан;
• соблюдение пропускного и внутриобъектового режима.

‍

Действиями, совершаемыми с персональными данными, являются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

‍

Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таковых средств (неавтоматизированная обработка).

‍

Общество не осуществляет обработку персональных данных, относящихся к состоянию здоровья субъектов персональных данных, расовой и национальной принадлежности, политическим взглядам, религиозным и философским убеждениям, интимной жизни и сведениям о судимости. Таким образом, Общество не осуществляет обработку специальных категорий персональных данных. 

‍

Общество не осуществляет обработку биометрических персональных данных.

‍

Общество не осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке.

‍

Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

‍

Общество осуществляет сбор и обработку персональных данных с использованием баз данных, расположенных на территории Российской Федерации.

‍

Распространение персональных данных запрещено. Режим конфиденциальности персональных данных должен соблюдаться всеми работниками и третьими лицами, которые получили санкционированный доступ и осуществляют обработку персональных данных.

‍

Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

• текущие и бывшие работники Общества, а также их родственники;
• кандидаты на замещение вакантных должностей в Обществе;
• текущие и потенциальные контрагенты Общества (физические лица);
• представители / работники текущих и потенциальных контрагентов Общества (юридических лиц);
• лица, персональные данные которых передаются в Общество в рамках исполнения договоров с контрагентами;
• участники публичных мероприятий (форумы, семинары), проводимых Обществом;
• лица, направляющие обращения и запросы в Общество;
• посетители Общества.

Обработка персональных данных субъектов персональных данных осуществляется Обществом на основе следующих принципов:

• законности и справедливости;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, соответствия целей обработки персональных данных целям сбора персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки и актуальности по отношению к целям обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленной цели их обработки;
• принятия необходимых мер (либо обеспечения их принятия) по удалению
  или уничтожению неполных или неточных персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные созданных для несовместимых между собой целей обработки персональных данных;
• уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
• личной ответственности работников Общества за сохранность и конфиденциальность персональных данных, а также их носителей;
• наличия четкой разрешительной системы доступа работников Общества к документам и базам данных, содержащим персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации или договором, стороной которого является субъект персональных данных.

‍

Обработка персональных данных субъектов осуществляется при следующих условиях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных осуществляется по поручению контрагента Общества в рамках исполнения соответствующего договора

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

‍

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

‍

Работники Общества и лица, заключившие с Обществом договоры гражданско-правового характера, перед обработкой персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Обществом без использования средств автоматизации.

‍

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки персональных данных;
• типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
• типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, персональные данные которых содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе,
  не нарушая прав и законных интересов иных субъектов персональных данных;
• типовая форма должна исключать объединение полей, предназначенных
  для внесения персональных данных, цели обработки которых заведомо несовместимы.

‍

При обработке персональных данных без использования средств автоматизации должно обеспечиваться раздельное хранение персональных данных (материальных носителей персональных данных), обработка которых осуществляется в различных целях.

Общество при сборе и дальнейшей Обработке персональных данных вправе:

• получать от субъекта персональных данных согласие на обработку его персональных данных; 
• устанавливать способы получения согласия субъектов персональных данных, не нарушающие их законные права и интересы, и в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• устанавливать правила обработки персональных данных субъектов и вносить изменения и дополнения в настоящую Политику, самостоятельно разрабатывать и применять формы документов, необходимых для исполнения настоящей Политики;
• поручать обработку персональных данных другому лицу с согласия субъекта персональных данных (если иное не предусмотрено законодательством Российской Федерации) на основании заключаемого с этим лицом договора с учетом требований части 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• осуществлять иные права, предусмотренные законодательством Российской Федерации, нормативными правовыми актами и локальными актами Общества.

‍

Общество при сборе и дальнейшей обработке персональных данных обязано:

• получать персональные данные субъектов на законных основаниях;
• разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и отказа дать согласие на их обработку в случае, если предоставление персональных данных или согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;
• разъяснять субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных
  и возможные юридические последствия такого решения, предоставлять возможность заявить возражение против такого решения, а также разъяснять порядок защиты субъектом персональных данных своих прав и законных интересов;
• организовать и реализовать право субъекта персональных данных на доступ к своим персональным данным в сроки, по правилам, с учетом ограничений, установленных в статьях 14 и 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• взаимодействовать с субъектом персональных данных и уполномоченным органом по защите прав субъектов персональных данных для обработки запросов и обращений в части получения сведений об обрабатываемых персональных данных,
  их актуализации, а также обеспечения законности обработки персональных данных;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

‍

Общество должно обеспечить:

• предотвращение несанкционированного доступа к персональным данным;
• предупреждение возможности наступления неблагоприятных последствий в результате нарушения порядка доступа к персональным данным;
• недопущение воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, содержащей персональные данные, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• исполнение иных обязанностей, предусмотренных законодательством Российской Федерации и локальными нормативными актами Общества.

‍

Если персональные данные получены не от субъекта персональных данных, Общество до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес Общества или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) перечень персональных данных;

4) предполагаемые пользователи персональных данных;

5) права субъекта персональных данных;

6) источник получения персональных данных.

Субъект персональных данных имеет право на получение сведений об обработке Обществом его персональных данных, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

‍

Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

‍

Субъект персональных данных имеет право на отзыв ранее предоставленного согласия на обработку своих персональных данных.

‍

Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества                         в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

‍

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.

Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных Обществом на:

• обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений о субъекте персональных данных;
• соблюдение конфиденциальности персональных данных;
• реализацию права на доступ к персональным данным.

‍Для защиты персональных данных Общество обеспечивает безопасность и конфиденциальность персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в частности устанавливаются и соблюдаются следующие меры, в том числе обеспечительные меры согласно установленному уровню защищенности персональных данных:

• назначение Обществом лица, ответственного за организацию обработки персональных данных, и подразделения, ответственного за обеспечение безопасности информации (включая персональные данные);
• издание локальных актов по вопросам обработки и защиты персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• осуществление внутреннего контроля и (или) аудита соответствия порядка обработки персональных данных Обществом требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества; 
• ознакомление работников Общества, осуществляющих обработку персональных данных, с правилами и требованиями законодательства Российской Федерации, с локальными нормативными актами Общества, касающимися обработки персональных данных, и требованиями по обеспечению безопасности, а также при необходимости – обучение указанных работников;
• проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз и их нейтрализация;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации для нейтрализации актуальных угроз безопасности персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
• организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц,
  не имеющих права доступа в эти помещения;
• обеспечение сохранности материальных носителей персональных данных;
• утверждение руководством Общества документа, определяющего перечень лиц, доступ которым к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
• иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

‍Реализация мер по обеспечению безопасности персональных данных осуществляется с помощью разработанной системы защиты персональных данных, которая в том числе нейтрализует актуальные угрозы безопасности персональных данных и обеспечивает защиту персональных данных в соответствии с уровнем их защищенности.‍Уровень защищенности персональных данных устанавливается комиссией, назначенной приказом Общества, и утверждается генеральным директором или другим уполномоченным лицом.

При предоставлении Обществом персональных данных третьим лицам должны выполняться следующие условия:

• передача (предоставление) персональных данных третьей стороне осуществляется на основании договора, условием которого является обеспечение третьей стороной конфиденциальности и безопасности персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации;
• в договоре с третьим лицом определены цели обработки и перечень действий (операций) с персональными данными;
• наличие письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.

‍Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

Порядок хранения персональных данных, обрабатываемых в Обществе, определяется нормативными документами Общества в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

‍

Сроки обработки (хранения) персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, приказом Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством Российской Федерации и нормативными документами Общества.

‍

Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами Общества.

‍

В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, в срок, не превышающий  3 (трех) рабочих дней с даты этого выявления, Общество обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

‍

В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 10 (десяти) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

‍

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных или поступления требования субъекта персональных данных о прекращении обработки его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 10 (десяти) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

‍

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 11 настоящей Политики, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.

‍

Работником, ответственным за взаимодействие с субъектами персональных данных в соответствии с требованиями законодательства Российской Федерации в области обработки и защиты персональных данных, является лицо, ответственное за организацию обработки персональных данных.  

‍

Субъект персональных данных может направить обращение как на бумажном носителе, так и в форме электронного документа.

К письменным обращениям субъектов персональных данных относятся любые письменные обращения субъектов персональных данных, направленные в адрес Общества, в том числе обращения, отправленные через отделения почтовой связи. 

‍

Первичный учет поступивших обращений от субъектов персональных данных осуществляется в соответствии с внутренними документами Общества. Письменные обращения, а также ответы на них хранятся в порядке и в течение срока, определенных внутренними документами Общества.

‍

Ответ субъекту персональных данных (или его представителю) направляется Обществом вне зависимости от формы обращения субъекта (письменная или электронная) и результатов рассмотрения обращения. 

‍

В случае если обращение направлено субъектом персональных данных (или его представителем) повторно с целью получения информации об обработке его персональных данных, Общество осуществляет проверку временного периода, прошедшего с даты последнего обращения субъекта персональных данных (или его представителя). Если данный временной период составляет менее 10 (десяти) рабочих дней и по предыдущему обращению субъекта персональных данных была предоставлена полная информация в соответствии с его обращением, Общество готовит и направляет письменный ответ субъекту персональных данных (или его представителю) с отказом в предоставлении запрашиваемых субъектом персональных данных сведений со ссылкой на пункт 6 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 

‍

Обращения субъектов персональных данных (или их представителей) проверяются на наличие:

• Ф.И.О. заявителя (представителя субъекта персональных данных – если применимо);
• Ф.И.О. субъекта персональных данных;
• номера основного документа, удостоверяющего личность субъекта персональных данных (и его законного представителя – если применимо), сведений о дате выдачи указанного документа и выдавшем органе, а также документа, подтверждающего право представления интересов субъекта (для законного представителя);
• сведений, подтверждающих участие субъекта персональных данных в отношениях с Обществом (факт обработки персональных данных Обществом);
• собственноручной подписи субъекта персональных данных (или его представителя) – для письменных обращений.

‍

В случае необходимости работник, ответственный за организацию обработки персональных данных, запрашивает дополнительную информацию у субъекта персональных данных (или его представителя).

‍

Срок предоставления ответа субъекту персональных данных (или его представителю) не превышает 10 (десяти) дней с даты получения обращения. Контроль за своевременным предоставлением ответа осуществляется подразделением, ответственным за обеспечение безопасности персональных данных. 

‍

Сведения предоставляются субъекту персональных данных (или его представителю) с использованием всех доступных средств доставки с подтверждением приема-передачи (почта с уведомлением о получении, электронная почта с электронной подписью и подтверждением получения письма и другие). Сведения не должны содержать персональных данных, относящихся к другим субъектам персональных данных.

‍

Общество ответственно за обеспечение безопасности персональных данных субъектов персональных данных. В случае поручения (частичного поручения) обработки персональных данных третьему лицу Общество обязано предусмотреть в договоре обязанность третьего лица соблюдать требования по конфиденциальности, правила обработки и обеспечивать безопасность полученных персональных данных при их обработке.

‍

Общество несет ответственность за нарушение законодательства Российской Федерации в области персональных данных, настоящей Политики и других локальных нормативных актов Общества в отношении обработки и защиты персональных данных.

‍

Работники Общества, виновные в нарушении норм, регулирующих обработку, в том числе сбор (получение), хранение персональных данных, и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную, уголовную, гражданско-правовую ответственность в соответствии с законодательством Российской Федерации.

‍

При обеспечении безопасности персональных данных во всех случаях, не описанных в настоящей Политике, Общество руководствуется законодательством Российской Федерации.