ПОЛОЖЕНИЕ
о порядке обработки и защите персональных данных,
информационной безопасности
Настоящее Положение о порядке обработки и защите персональных данных, информационной безопасности (далее – Положение) является документом, определяющим политику в Благотворительном фонде «ФОРПОСТ ПОМОЩИ», ОГРН 1237700772748, адрес: 119192, г. Москва, ул.Мосфильмовская, д.40 (далее – Оператор) в отношении обработки персональных данных.
- Общие положения
и свобод Субъектов персональных данных при обработке Оператором их персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В Положении используются термины и определения в соответствии с их значениями, закрепленными в Федеральном законе № 152-ФЗ.
1.3. Права Субъекта персональных данных:
1.3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных
не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных
ст. 18.1 Федерального закона № 152-ФЗ;
- иные сведения, предусмотренные федеральными законами.
Указанные сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
1.3.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.3.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в случаях, указанных
в ч. 8 ст. 14 Федерального закона № 152-ФЗ.
1.3.4. Если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных
или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов,
в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.4. Оператор вправе:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ
и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено этим законом или иными федеральными законами;
- в порядке, установленном ч. 3 ст. 6 Федеральным законом № 152-ФЗ, поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное
не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие Субъекта персональных данных на такую обработку;
- в случае отзыва Субъектом персональных данных согласия на обработку персональных данных продолжить такую обработку без согласия Субъекта при наличии оснований, указанных
в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
1.5. Оператор обязан:
1.5.1. При сборе персональных данных:
- предоставить Субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Федерального закона № 152-ФЗ;
- разъяснить Субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии
с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на их обработку являются обязательными;
- до начала обработки персональных данных, полученных не от Субъекта персональных данных, предоставить последнему следующую информацию: наименование либо фамилия, имя, отчество и адрес Оператора или его представителя; цель обработки персональных данных
и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные Федеральным законом № 152-ФЗ права Субъекта персональных данных; источник получения персональных данных. Оператор освобождается
от обязанности предоставить Субъекту персональных данных указанные сведения в случаях, предусмотренных ч. 4 ст. 18 Федерального закона № 152-ФЗ;
- обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
1.5.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Положениям, Федеральным законом № 152-ФЗ
и принятыми в соответствии с ним нормативными правовыми актами.
1.5.3. Оператор обязан ознакомить своих работников, непосредственно осуществляющих обработку персональных данных, с Положением и локальными актами по вопросам обработки персональных данных.
1.6. Правовые основания обработки персональных данных:
1.6.1. согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством для соответствующей категории персональных данных;
1.6.2. достижение целей, предусмотренных международным договором Российской Федерации или законом, осуществление и выполнение возложенных на Оператора законодательством Российской Федерации и Уставом Оператора функций, полномочий
и обязанностей;
1.6.3. судебные акты, акты другого органа или должностного лица, подлежащие исполнению Оператором в соответствии с законодательством Российской Федерации
об исполнительном производстве;
1.6.4. договор, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект персональных данных, а также договор, заключенный по инициативе Субъекта персональных данных или договор, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
1.6.5. обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
1.6.6. осуществление прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права
и свободы Субъекта персональных данных;
1.6.7. осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта персональных данных;
1.6.8. обработка персональных данных в статистических или иных исследовательских целях при условии их обязательного обезличивания;
1.6.9. обработка персональных данных в целях опубликования или обязательного раскрытия информации в соответствии с законодательством Российской Федерации.
2. Цели обработки персональных данных
2.1. Обработка персональных данных, в том числе любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, осуществляется Оператором в целях, предусмотренных приложением к Положению.
3. Объем и категории обрабатываемых персональных данных. Категории субъектов персональных данных
3.1. Состав персональных данных и их категории, а также категории субъектов персональных данных указаны в приложении к Положению.
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных должна осуществляться с соблюдением следующих принципов:
- персональные данные должны обрабатываться на законной и справедливой основе;
- обработка должна ограничиваться достижением конкретных, заранее определенных
и законных целей, которым должны соответствовать содержание и объем обрабатываемых персональных данных. Обрабатывать можно только персональные данные, которые отвечают целям обработки;
- при обработке должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;
- хранить персональные данные необходимо в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уточнению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если утрачена необходимость в достижении этих целей, при условии, что иное не предусмотрено федеральным законом.
Не допускается:
- обработка персональных данных, несовместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных осуществляется с согласия Субъекта персональных данных за исключением случаев, установленных законодательством Российской Федерации.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие
на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Такое согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.
Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных.
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия, предоставленного в письменной форме Субъектом персональных данных.
Специальные категории персональных данных и биометрические персональные данные обрабатываются с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
4.3. Персональные данные обрабатываются с использованием средств автоматизации
и без использования средств автоматизации.
4.4. Персональные данные Субъектов персональных данных размещаются Оператором
в следующих информационных системах:
- информационная система персональных данных работников Оператора;
- информационная система персональных данных лиц, не являющихся работниками Оператора, но персональные данные которых Оператор должен обрабатывать в соответствии
с трудовым законодательством Российской Федерации;
- информационная система персональных данных клиентов и контрагентов Оператора
и представителей клиентов и контрагентов Оператора.
4.5. Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.6. Оператор осуществляет передачу персональных данных третьим лицам с письменного согласия Субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации, когда такое согласие не требуется. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
Оператор не осуществляет трансграничную передачу персональных данных.
Передача персональных данных органам государственной власти допускается в отсутствие согласия Субъекта персональных данных на обработку его персональных данных в порядке
и в случаях, предусмотренных законодательством Российской Федерации.
Обеспечение безопасности персональных данных при их передаче по открытым каналам связи достигается применением средств криптографической защиты информации.
4.7. Оператор осуществляет распространение персональных данных, разрешенных Субъектом персональных данных для распространения, то есть производит действия, направленные
на их раскрытие неопределенному кругу лиц, с соблюдением запретов и условий, установленных ст. 10.1 Федерального закона № 152-ФЗ. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого Субъекта на обработку его персональных данных.
4.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
4.9. Хранение персональных данных:
4.9.1. Персональные данные хранятся в течение срока, установленного законодательством Российской Федерации. Персональные данные, для которых не установлен такой срок, хранятся не дольше, чем это необходимо для цели их обработки.
4.9.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации
их на отдельных материальных носителях персональных данных, в специальных разделах или
на полях форм (бланков).
4.9.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
В целях обработки различных категорий персональных данных для каждой категории используется отдельный материальный носитель.
Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей установлены меры, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним, а именно допуск
в помещения для хранения материальных носителей с персональными данными только тех лиц, которые входят в перечень лиц, имеющих доступ к персональным данным в целях выполнения ими их трудовых (служебных) обязанностей.
4.9.4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. При этом Оператор соблюдает требования, установленные постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
4.10. Соблюдение конфиденциальности и меры по защите персональных данных:
4.10.1. Оператор, получивший доступ к персональным данным, не раскрывает третьим лицам и не распространяет персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.10.2. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие:
- определение угрозы безопасности персональных данных при их обработке
в информационных системах персональных данных (далее - информационная система);
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия;
- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- ведение учета машинных носителей персональных данных;
- обеспечение обнаружения фактов несанкционированного доступа к персональным данным
и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
4.10.3. При обработке персональных данных в информационных системах Оператор соблюдает требования, установленные постановлением Правительства Российской Федерации
от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России
от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер
по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4.10.4. При обработке персональных данных без использования средств автоматизации Оператор соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5. Актуализация (уточнение), удаление и уничтожение персональных данных. Ответы на запросы Субъектов на доступ к персональным данным
5.1. Актуализация (уточнение) персональных данных:
5.1.1. В случае подтверждения факта неточности персональных данных Оператор
на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
5.1.2. Актуализация (уточнение) персональных данных осуществляется путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же носителе сведений
о вносимых в них изменениях либо путем изготовления нового материального носителя
с уточненными персональными данными.
5.2. Блокирование персональных данных:
5.2.1. Оператор обязан осуществить блокирование персональных данных или обеспечить
их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в следующих случаях и в следующие сроки:
- если выявлена неправомерная обработка персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных – с момента такого обращения или получения указанного запроса на период проверки;
- если выявлены неточные персональные данные при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа
по защите прав субъектов персональных данных – с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц;
- если отсутствует возможность уничтожения персональных данных в течение срока, указанного в ч. 3 - ч. 5.1 ст. 21 Федерального закона № 152-ФЗ, – до момента уничтожения.
5.3. Оператор должен также прекратить обработку персональных данных или обеспечить прекращение такой обработки лицом, действующим по поручению Оператора, в следующих случаях:
- если устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных ч. 2 и ч. 3 ст. 10 Федерального закона № 152-ФЗ, если иное не установлено федеральным законом;
- если выявлена неправомерная обработка персональных данных, осуществляемая Оператором или лицом, действующим по поручению Оператора, – в срок не более 3 (трех) рабочих дней с даты этого выявления;
- если достигнуты цели обработки персональных данных;
- если Субъект персональных данных отозвал согласие на обработку его персональных данных;
- если Субъект персональных данных обратился к Оператору с требованием о прекращении обработки – в срок не более 10 (десяти) рабочих дней с даты получения соответствующего требования. Этот срок может быть продлен не более чем на 5 (пять) рабочих дней, если Оператор направит Субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
5.4. Уничтожение персональных данных:
5.4.1. Оператор обязан уничтожить персональные данные, в частности, в следующих случаях и в следующие сроки:
- если достигнуты цели обработки персональных данных либо утрачена необходимость
их достижения – в срок не более 30 (тридцати) дней с даты достижения указанных целей, если иное
не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем
по которому является Субъект персональных данных, иным соглашением между Оператором
и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами;
- если Субъект персональных данных или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в срок не более 7 (семи) рабочих дней со дня представления таких сведений;
- если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, – в срок не более 10 (десяти) рабочих дней с даты выявления неправомерной обработки;
- если Субъект персональных данных отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, –
в срок не более 30 (тридцати) дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо в случае, если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.4.2. Уничтожение осуществляется в следующем порядке:
5.4.2.1. Отбор материальных носителей (документы, жесткие диски, флеш-накопители
и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, назначаемое приказом Оператора.
5.4.2.2. Уничтожение персональных данных осуществляет комиссия, созданная приказом Оператора.
5.4.2.3. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.4.2.4. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.4.2.5. Комиссия подтверждает уничтожение персональных данных согласно Требованиям
к подтверждению уничтожения персональных данных, утвержденным приказом Роскомнадзора
от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»:
- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий
в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
5.4.3. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных.
При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - Выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала.
Акт об уничтожении персональных данных и Выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
5.5. Ответы на запросы и обращения Субъектов персональных данных:
5.5.1. Субъекты персональных данных вправе обращаться к Оператору и направлять ему запросы по вопросам, указанным в Федеральном законе № 152-ФЗ. Это могут быть, в частности, запросы:
- о предоставлении сведений, указанных в ч. 7 ст. 14 Федерального закона № 152-ФЗ;
- о предоставлении информации о наличии персональных данных, относящихся к соответствующему Субъекту, и предоставлении возможности ознакомления с этими персональными данными;
- об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- с требованием прекратить обработку персональных данных.
5.5.2. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона
№ 152-ФЗ, Субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения соответствующего запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, если Оператор направит в адрес Субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
Эти сведения Оператор предоставляет Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.5.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие Субъекта персональных данных в отношениях
с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.5.4. Оператор обязан сообщить в порядке, предусмотренном ст. 14 Федерального закона
№ 152-ФЗ, Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту, а также предоставить возможность ознакомления с этими данными при обращении Субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, если Оператор направит в адрес Субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
В случае отказа в предоставлении информации о наличии персональных данных
о соответствующем Субъекте или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ. Такой ответ должен содержать ссылку на положение ч. 8 ст. 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа. Ответ должен быть дан
в срок не более 10 (десяти) рабочих дней со дня обращения Субъекта персональных данных или его представителя либо с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, если Оператор направит в адрес Субъекта персональных данных мотивированное уведомление
с указанием причин продления срока.
6. Заключительные положения
6.1. Ответственность за нарушение требований Положения определяется в соответствии
с законодательством Российской Федерации.
6.2. Положение вступает в силу с 10 ноября 2023 г. и применяется к отношениям, возникшим после введения его в действие. Положение действует бессрочно.
6.3. Положение размещается на сайте Оператора: https://forpostbf.ru.
6.4. Оператор имеет право вносить изменения в Положение.
