5.1 Права субъекта в отношении персональных данных, обрабатываемых Агентством.
5.1.1 Агентство обязано предоставлять Субъекту ПДн по его заявлению (запросу, обращению) доступ к сведениям, касающимся обработки его ПДн, а именно Субъект ПДн имеет право:
- на подтверждение факта обработки ПДн Агентством;
- на правовые основания и цели обработки ПДн;
- на получение сведений о Агентстве, о месте его нахождения;
- получить информацию о способе обработки ПДн;
- получить сведения о лицах (за исключением работников) которые имеют доступ к его ПДн или которым могут быть раскрыты ПДн на основании договора с Агентством или на основании законодательства РФ;
- получить информацию о перечне обрабатываемых ПДн и источниках их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
- получить информацию о сроках обработки и сроках хранения ПДн;
- на получение информации об осуществленной или о предполагаемой трансграничной передаче данных;
- на получение информации о наименовании или фамилии, имени, отчеству и адресу лица, осуществляющего обработку ПДн по поручению Агентства, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством РФ.
5.1.2 Право Субъекта ПДн данных на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ.
5.1.3 Агентство обязано разъяснить Субъекту ПДн по его заявлению (запросу, обращению) порядок принятия решения об обработке его ПДн на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения. Предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Субъектом ПДн своих прав и законных интересов.
5.1.4 Агентство обязано рассмотреть возражение, указанное в пункте 5.1.3 Политики, в течение тридцати календарных дней со дня его получения и уведомить Субъекта ПДн о результатах рассмотрения такого возражения.
5.1.5 Агентство обязано в срок, не превышающий семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений:
- подтверждающих, что ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения;
- подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные.
5.1.6 Агентство обязано уведомить Cубъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от Субъекта ПДн, за исключением случаев, если:
- Субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
- ПДн получены Агентством на основании законодательства РФ или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн;
- ПДн сделаны общедоступными Субъектом ПДн или получены из общедоступного источника;
- обработка ПДн осуществляется для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы Субъекта ПДн;
- предоставление Субъекту ПДн таких сведений нарушает права и законные интересы третьих лиц.
5.2 Обеспечение конфиденциальности ПДн.
5.2.1 Агентство и другие третьи лица, получающие доступ к ПДн, обеспечивают конфиденциальность таких данных путем реализации комплекса организационных и технических мероприятий по защите ПДн, за исключением случаев, когда обеспечение конфиденциальности персональных данных не требуется в соответствии с законодательством Российской Федерации.
5.2.2 Агентство может передавать ПДн клиентов на обработку третьим лицам (принимающей стороне), если это необходимо для достижения целей обработки ПДн и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке.
5.3 Условия обработки ПДн.
5.3.1 Обработка ПДн осуществляется Агентством с соблюдением принципов и правил, предусмотренных законодательством РФ, в следующих случаях:
- обработка ПДн осуществляется с согласия Субъекта ПДн на обработку его персональных данных;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Агентство функций, полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, в том числе в случае реализации Агентство ом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для осуществления прав и законных интересов Агентства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн;
- осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными Субъектом ПДн);
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;
- иных случаях, предусмотренных законодательством о персональных данных.
5.3.2. Особенности обработки специальных категорий ПДн, а также биометрических ПДн устанавливаются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3.3. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным.
5.3.4. В случае получения согласия на обработку ПДн от представителя Субъекта ПДн полномочия данного представителя на дачу согласия от имени Субъекта ПД проверяются Агентством.
5.3.5. Трансграничная передача ПДн Агентством не осуществляется.
5.3.6. В случае, если Агентство осуществляет обработку ПДн по поручению другого оператора, Агентство не обязан получать согласие Субъекта ПДн на обработку его персональных данных.
5.3.7. Обработка ПДн осуществляется с согласия Субъекта ПДн или его представителя в письменной форме. Письменное согласие может быть включено в текст договора с Клиентом, иные документы, оформляемые Субъектом ПДн в Агентстве, либо составлено по форме (Приложение 1 к Политике) и включает в себя:
- фамилию, имя, отчество, адрес Субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя Субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя Субъекта ПДн);
- наименование или фамилию, имя, отчество и адрес Агентства;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Агентства, если обработка будет поручена такому лицу;
- цель обработки ПДн;
- перечень персональных данных, на обработку которых дается согласие Субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Агентство ом способов обработки ПДн;
- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законодательством РФ;
- подпись Субъекта ПДн.
5.4. Требования к обработке ПДн.
5.4.1. Требования к обработке ПДн, осуществляемых с использованием средств автоматизации, формируются в соответствии с внутренними документами Агентства и действующим законодательством РФ.
5.4.2. В Агентстве на периодической основе проводится инвентаризация ИСПДн путем опроса владельцев информационных систем на предмет наличия обработки в них ПДн и определяются уровни защищенности.
5.4.3. Для новых ИСПДн применяются аналогичные требования к наличию в них обработки ПДн и определению уровня защищенности ПДн.
5.4.4. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, устанавливаются нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также с учетом требований настоящей Политики.
5.4.5. Сотрудники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящей Политике.
5.4.6. В типовых формах, в которые предполагается внесение ПДн (например, анкеты претендентов на вакансии при трудоустройстве субъектов и т.п.) должно содержаться поле для проставления субъектом ПДн отметки о согласии на обработку ПДн.
5.4.7. Типовая форма должна заполняться на каждого Субъекта ПДн в отдельности.
5.4.8. Для каждой категории персональных данных, обработка которых осуществляется без использования средств автоматизации, определяются места хранения персональных данных (материальных носителей) и устанавливается перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ в соответствии с внутренними нормативными документами Агентства.
5.4.9. В соответствии с внутренними нормативными документами Агентства обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.4.10. Носители ПДн не должны оставаться без присмотра. При покидании рабочего места лица, ответственные за носители ПДн, должны убирать носители в шкаф.
5.5. Меры по обеспечению безопасности ПДн при их обработке.
5.5.1. Агентство при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
5.5.2. Обеспечение безопасности ПДн достигается Агентством, в частности:
- определением угроз безопасности ПДн при их обработке в информационных ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- обеспечение физической безопасности помещений и средств обработки;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
5.6. Взаимодействие с государственными органами.
5.6.1. Агентство предоставляет в случае поступления запросов от Уполномоченного органа по защите прав Субъектов ПДн или иных надзорных органов, осуществляющих контроль и надзор в области ПДн, информацию, необходимую для реализации его полномочий, в течение тридцати календарных дней с даты получения такого запроса.
5.6.2. Агентство, в установленных законодательством случаях и сроках, направляет уведомление об обработке ПДн в РКН. Перечень данных, которые указываются в уведомлении, определяется РКН.