уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
11.13. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
11.14. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11.15. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11.16. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.17. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
11.18. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения в шредере;
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
12. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ12.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
12.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
12.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с партнерами и сторонними лицами.
12.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
12.5. Основными мерами защиты ПД, используемыми Оператором, являются:
12.5.1. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
12.5.2. Разработка политики в отношении обработки персональных данных.
12.5.3. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
12.5.4. Установление индивидуальных паролей доступа в информационную систему.
12.5.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
12.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
12.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих
несанкционированный к ним доступ.
12.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
12.5.9. Восстановление ПД, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним.
12.5.10. Осуществление внутреннего контроля и аудита.
13. БЛОКИРОВАНИЕ, АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ13.1. Блокирование персональных данных:
13.1.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
13.1.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
13.2. Актуализация и исправление персональных данных:
13.2.1. Субъект персональных данных вправе предоставить сведения, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
13.2.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом или иных необходимых документов, в срок не более 7 рабочих дней вносит в них необходимые изменения.
13.3. Уничтожение персональных данных:
13.3.1. В случае выявления неправомерной обработки персональных данных оператор в срок, указанный в Законе о персональных данных, обязан прекратить неправомерную обработку персональных данных.
13.3.2. Если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, указанный в Законе о персональных данных, обязан уничтожить такие персональные данные.
13.3.3. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
13.4. Неправомерный доступ к персональным данным:
13.4.1. При выявлении факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
13.5. Уничтожение персональных данных
13.5.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных - в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено Законом о персональных данных.
отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется - в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не