ПОЛИТИКА

обработки персональных данных в

ООО «Икс тина»

(Версия 1.0)

 

 

 

 

 

 

 

 

Хабаровск, 2025г.

 

 

 

 

Содержание

1.Общие положения.......................................................................................................................................... 3
2. Термины и сокращения ............................................................................................................................ 3
3. Порядок обработки персональных данных .................................................................................... 4
4. Цели обработки персональных данных ........................................................................................... 7
5. Права и обязанности субъекта персональных данных............................................................. 8
6. Трансграничная передача персональных данных....................................................................... 9
7. Обязанности Оператора ....................................................................................................................... 10
8. Обеспечение безопасности персональных данных при их обработке в ИСПДН…… 11
9. Обработка персональных данных с использованием cookie-файлов .............................. 12
10. Ответственность ...................................................................................................................................... 13
11. Заключительные положения.................................................................................................................. 13





 
 
 
 
 
 
 
 

1. Общие положения

1.1 Настоящий документ определяет Политику СПАО «Ингосстрах» (далее – Компания, Оператор) в отношении обработки персональных данных и определяет принципы, порядок и условия обработки персональных данных клиентов, работников и иных лиц, чьи персональные данные обрабатываются Компанией.
1.2 Политика обработки персональных данных в СПАО «Ингосстрах» (далее – Политика) является внутренним нормативным документом Компании, подлежит пересмотру и, при необходимости, актуализации в случае изменений законодательства Российской Федерации в области персональных данных и/или локальных нормативных актов Компании по вопросам обработки персональных данных. Политика регламентирует деятельность всех подразделения и должностных лиц Компании, осуществляющих обработку персональных данных.
1.3 Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ), а также иными подзаконными нормативными правовыми актами в области обработки персональных данных.
1.4 Положения Политики действуют в отношении всех персональных данных, обрабатываемых Компанией, и являются основой для организации работы по обработке персональных данных в СПАО «Ингосстрах», в том числе, для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в СПАО «Ингосстрах». Политика распространяет свое действие на обрабатываемые Компанией персональные данные, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки персональных данных в СПАО «Ингосстрах» регулируется настоящей Политикой, разработанной в соответствии с требованиями действующего законодательства Российской Федерации в области защиты персональных данных и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки персональных данных.
1.5 Настоящая Политика распространяется на все процессы, связанные с обработкой персональных данных субъектов, и обязательна для применения и исполнения всеми работниками Компании, осуществляющими обработку персональных данных в силу своих должностных обязанностей.
1.6 Настоящая Политика является общедоступным документом и опубликована на официальном сайте Компании по адресу - https://ingos.ru/. К Политике обеспечивается неограниченный доступ.

2. Термины

2.1 В Политике используются следующие термины и определения:
Персональные данные (далее - ПДн) - любая информация, прямо или косвенно относящаяся к определенному, или определяемому физическому лицу (субъекту ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения - ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Специальные категории персональных данных - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Оператор персональных данных (далее - Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Автоматизированная обработка персональных данных - обработка ПДн с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Порядок обработки персональных данных

3.1 Принципы обработки ПДн. Обработка ПДн в СПАО «Ингосстрах» осуществляется на основе следующих принципов:
• обработка ПДн осуществляется на законной и справедливой основе (часть 1 статьи 5 Закона № 152-ФЗ);
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн (часть 2 статьи 5 Закона № 152-ФЗ);
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой (часть 3 статьи 5 Закона № 152- ФЗ);
• обработке подлежат только ПДн, которые отвечают целям их обработки (часть 4 статьи 5 Закона № 152-ФЗ);
• содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки (часть 5 статьи 5 Закона № 152-ФЗ);
• при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных (часть 6 статьи 5 Закона № 152-ФЗ);
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн (часть 7 статьи 5 Закона № 152-ФЗ);
• обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (часть 7 статьи 5 Закона № 152-ФЗ);
• принимаются необходимые технические и организационные меры для обеспечения защиты ПДн при их обработке (статьи 18.1, 19 Закона № 152-ФЗ).
3.2 Правовые основания обработки ПДн. Оператор производит обработку ПДн при наличии хотя бы одного из следующих условий (часть 1 статьи 6 Закона № 152-ФЗ):
• заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект;
• с согласия субъекта ПДн, предоставляемого при заполнении веб-форм или в ином виде;
• для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;
• участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• установление или осуществление прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
• для выполнения функций, полномочий и обязанностей, возложенных на Компанию применимым законодательством;
• обработка ПДн в статистических целях или иных исследовательских целях, при условии обязательного обезличивания ПДн;
• обработка ПДн, полученных в результате обезличивания ПДн, в целях повышения эффективности государственного или муниципального управления, в иных целях, предусмотренных действующим законодательством РФ.
3.3 Передача ПДн.
3.3.1 Передача ПДн Компанией в адрес третьих лиц осуществляется при наличии согласий субъектов ПДн или в иных случаях, регламентированных действующим законодательством РФ. Перечень третьих лиц, в адрес которых Компания может осуществлять передачу ПДн, опубликован на официальном сайте Компании по адресу: https://www.ingos.ru/docs/reestr-partnerov-univers.pdf. Указанный перечень третьих лиц может быть скорректирован в случае изменения его состава.
3.3.2 Компания при осуществлении передачи ПДн вправе поручать их обработку третьим лицам в соответствии с требованиями действующего законодательства (в т.ч. с учетом положений ч. 3 ст. 6 Закона № 152-ФЗ).
3.4 Хранение ПДн.
3.4.1 Сроки хранения ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, сроком, установленным в соответствующем согласии субъекта ПДн, Законом № 152-ФЗ (действие закона не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации), Положением Росархива № 1, Банка России № 867-П от 27.08.2025 «Об утверждении Перечня документов, образующихся в процессе деятельности страховых организаций, с указанием сроков их хранения», иными нормативными правовыми актами, и внутренними нормативными документами Компании.
3.4.2 Хранение ПДн осуществляется способами, обеспечивающими конфиденциальность и безопасность в отношении хранимых ПДн.
3.5 Уничтожение ПДн.
3.5.1 Порядок уничтожения ПДн в Компании, способы уничтожения ПДн, а также обязанности лиц, уполномоченных проводить эти процедуры, устанавливается внутренними нормативными документами в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения ПДн». Уничтожение ПДн осуществляется следующих случаях:
• по истечении установленных сроков обработки ПДн;
• при выявлении факта неправомерной обработки ПДн;
• по достижении целей обработки ПДн или отсутствии более необходимости в достижении этих целей;
• по требованию субъекта ПДн (его представителя) или Роскомнадзора (при отсутствии правовых оснований, позволяющих продолжать обработку ПДн);
• при отзыве субъектом ПДн (его представителем) согласия на обработку ПДн (при отсутствии правовых оснований, позволяющих продолжать обработку ПДн).
3.5.2 Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.
3.6 Источники получения ПДн.
3.6.1 При сборе ПДн, в том числе посредством сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Использование для обработки ПДн граждан Российской Федерации баз данных, находящихся за пределами Российской Федерации, запрещено, за исключением случаев, указанных в пп. 2, 3, 4, 8 части 1 статьи 6 Закона № 152-ФЗ. Аналогичное требование СПАО «Ингосстрах» предъявляет к контрагентам/Партнерам при работе с ними.
3.6.2 ПДн могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, являющихся контрагентами/Партнерами Компании.
3.6.3 В случаях, когда правовым основанием получения ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, соответствующей требованиям Закона № 152-ФЗ и позволяющей подтвердить факт его получения. Согласие субъекта на обработку ПДн должно быть оформлено отдельно от иной информации и/или документов, которые подтверждает и/или подписывает субъект ПДн.
3.6.4 В случаях, прямо предусмотренных действующим законодательством, обработка ПДн допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения которого должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.
3.6.5 В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
3.6.6 В случае получения ПДн не от субъекта ПДн, Компания, до начала обработки таких ПДн, обязана предоставить субъекту ПДн следующую информацию:
• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки ПДн и ее правовое основание;
• перечень ПДн; предполагаемые пользователи ПДн;
• установленные Законом № 152-ФЗ права субъекта ПДн;
• источник получения ПДн.
3.6.7 Компания освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 3.6.6 Политики, в случаях, если:
• субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором (Компанией);
• персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Законом № 152-ФЗ;
• Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных сведений, предусмотренных п.3.6.6 Политики, нарушает права и законные интересы третьих лиц.
3.7 Обработка ПДн может осуществляться следующими способами:
• автоматизированная обработка ПДн (с использованием средств вычислительной техники);
• неавтоматизированная обработка ПДн (без использования средств вычислительной техники) с фиксацией ПДн на материальных носителях;
• смешанная обработка ПДн. Смешанная обработка ПДн включает в себя как автоматизированные (обработка ПДн осуществляется в ИСПДн Компании в строгом соответствии с требованиями законодательства РФ), так неавтоматизированные (обработка осуществляется на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом) методы обработки.
3.8 Работники, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности обрабатываемых ПДн, которые определены:
• трудовым договором;
• обязательством о неразглашении конфиденциальной информации;
• должностными инструкциями в части обеспечения безопасности ПДн;
• локальными нормативными актами Компании и действующим законодательством РФ.

4. Цели обработки персональных данных

4.1 ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством Российской Федерации. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о тайне страхования, банках (банковская тайна), об архивном деле и другими.
Компания в рамках своей деятельности вправе осуществлять обработку общих и специальных категорий ПДн, только в случаях, прямо предусмотренных действующим законодательством Российской Федерации.
4.2 СПАО «Ингосстрах» является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
4.3 Цели обработки ПДн и соответствующие им категории и перечень обрабатываемых ПДн, категории субъектов ПДн приведены в Приложении № 1 к настоящей Политике, являющимся ее неотъемлемой частью.

5. Права и обязанности субъекта персональных данных

5.1 Субъект ПДн имеет право:
• получать информацию, касающуюся обработки его ПДн, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере обработки ПДн (часть 7 статья 14 Закона № 152-ФЗ);
• требовать уточнения своих ПДн, их блокирования или уничтожения, в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными, не являются необходимыми для заявленной цели обработки (часть 1 статьи 21 Закона № 152-ФЗ);
• требовать прекращения обработки своих ПДн (часть 5.1 статья 21 Закона № 152-ФЗ);
• принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку ПДн (часть 5 статья 21 Закона № 152-ФЗ);
• обжаловать действия или бездействия Оператора (статья 17 Закона № 152-ФЗ).
5.2  Для реализации своего права на получение информации, касающейся обработки его ПДн, субъект ПДн или его представитель, должен обратиться в Компанию с письменным заявлением или направить запрос в форме электронного документа, подписанный электронной подписью в соответствии с законодательством Российской Федерации, при этом заявление или запрос должно содержать:
• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн СПАО «Ингосстрах»;
• подпись субъекта ПДн или его представителя.
Субъекты ПДн могут обращаться в Компанию по вопросам обработки своих ПДн, в т.ч., в следующих случаях:
• для получения информации, касающейся обработки ПДн;
• для уточнения ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
• для подачи жалобы на неправомерную обработку Компанией ПДн;
• для отзыва своего согласия на обработку ПДн;
• для прекращения обработки ПДн и иных случаях.
Субъекты ПДн могут обращаться в адрес Компании по вопросам обработки ПДн следующими способами:
• посредством личного обращения в офис Компании;
• направление почтового отправления по адресу Компании: 117997, г. Москва, ГСП-7, ул. Пятницкая, д. 12, стр. 2;
• направление обращения по выделенному адресу электронной почты Компании (ingos24@ingos.ru);
• с использованием корпоративного сайта Компании (https://www.ingos.ru/), а также мобильного приложения IngoMobile;
• с использованием номеров телефонов горячей линии, опубликованных на сайте Компании.
Компания вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту ПДн (его представителю) мотивированного отказа, если у СПАО «Ингосстрах» в соответствии с законодательством Российской Федерации, имеются законные основания отказать в выполнении/удовлетворении поступивших требований.
5.3  Доступ неограниченного круга лиц к ПДн предоставляется субъектом ПДн путем предоставления отдельного согласия на обработку ПДн, разрешенных субъектом для распространения.
 В согласии на обработку ПДн, разрешенных субъектом для распространения, могут быть установлены (статья 10.1 Закона № 152-ФЗ):
• запреты на передачу (кроме предоставления доступа) ПДн Оператором неограниченному кругу лиц;
• запреты на обработку или условия обработки (кроме получения доступа) ПДн неограниченным кругом лиц;
• категории и перечень ПДн, для обработки которых субъект устанавливает условия и запреты. Оператор не может отказать в установлении субъектом ПДн таких запретов и условий. В течение 3 рабочих дней с момента получения согласия субъекта Оператор публикует информацию об условиях обработки и о наличии запретов и условий на обработку ПДн, разрешенных субъектом ПДн для распространения.
Если в согласии не установлены запреты и условия обработки, или категории и переченьПДн, на которые распространяются запреты и условия, – данные обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц.
Субъект дает свое согласие на обработку ПДн, разрешенных субъектом ПДн для распространения непосредственно, либо с использованием системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Молчание или бездействие не считается согласием на обработку разрешенных субъектом ПДн для распространения ПДн.
Если ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, Оператор, осуществляющий обработку таких данных (включая последующее распространение) обязан предоставить доказательства законности такой обработки.
Действие согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, заканчивается с момента получения Оператором требования о прекращении такой обработки.

6. Трансграничная передача персональных данных

6.1  Компания до начала осуществления деятельности по трансграничной передаче ПДн уведомляет уполномоченный орган о своем намерении осуществлять трансграничную передачу ПДн. Компания осуществляет трансграничную передачу ПДн при наличии соответствующих правовых оснований.
6.2  Компания осуществляет трансграничную передачу ПДн на территории иностранных государства, включенные в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, утвержденный уполномоченным органом, таких как:
• иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн;
• иностранные государства, не являющиеся сторонами Конвенции, действующие нормы право которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности ПДн при их обработке соответствуют положениям Конвенции.

7. Обязанности Оператора

7.1  Оператор обязан сообщить субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.2  Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
7.3  В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан:
• осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц;
• в срок, не превышающий трех рабочих дней с даты выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
7.4  В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
 • в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.5  В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
7.6  В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
7.7  В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона № 152-ФЗ. Компания предоставляет субъекту ПДн по его просьбе информацию, предусмотренную ч.7 ст.14 Закона № 152-ФЗ.

8. Обеспечение безопасности персональных данных (в т.ч., при их обработке в ИСПДн)

8.1  Компания принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2  Обеспечение безопасности ПДн, в частности, достигается:
• назначением лица, ответственного за организацию обработки ПДн;
• назначением ответственных за обеспечение мер по сохранности ПДн и исключению несанкционированный к ним доступа;
• назначением ответственного за обеспечение безопасности ПДн в информационных системах;
• ограничением состава лиц, допущенных к обработке ПДн;
• определением угроз безопасности ПДн при их обработке в ИСПДн;
• применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• применением для уничтожения ПДн, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• учетом машинных носителей ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн в ИСПДн;
• организацией пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки ПДн;
• реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них, включая взаимодействие в необходимом объеме с ГосСОПКА.
8.3  Уровни защищенности ПДн при их обработке в ИСПДн Компании, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от актуальных угроз безопасности ПДн с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК России, ФСБ России, Минцифры России и иных нормативных правовых актов, а также договорами между Компанией, операторами ПДн и субъектами ПДн.

9. Использование cookie-файлов

9.1  Компания использует cookie-файлы для улучшения функциональности сайтов и мобильного приложения Компании, обеспечения персонализированного взаимодействия и анализа поведения пользователей. Порядок использования cookie-файлов определен в Политике использования файлов cookie.

10. Ответственность

10.1  Виновные в нарушении требований законодательства Российской Федерации в области ПДн, а также положений настоящей Политики, могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.
10.2  Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.

11. Заключительные положения

11.1  В случае если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.