4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ТС ИННОТЕХ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.
Субъект Данных имеет право:· на
получение в доступной форме
информации, касающихся обработки персональных данных, в случае направления запроса, который соответствует ч. 3 ст. 14 Закона о персональных данных – формы таких запросов размещены на сайте Компании;
· требовать от Компании
уточнения его персональных данных, их блокирования или уничтожения;
·
отозвать согласие на обработку персональных данных;
· осуществлять
иные права, предусмотренные законодательством.4.2.
Компания имеет право: ·
обрабатывать персональные данные Субъекта Данных при наличии правового основания;
·
требовать от Субъекта Данных
достоверности предоставляемых персональных данных, их достаточности для целей обработки, а также в иных случаях, предусмотренных законодательством РФ;
·
ограничить доступ Субъекта Данных к его персональным данным в установленных законодательством случаях;
·
поручить обработку персональных данных другому лицу;
·
продолжить обработку персональных данных
Субъекта Данных в случае отзыва им согласия при наличии правового основания;
· осуществлять
иные права, предусмотренные законодательством.4.3.
Обязанности Компании:· принимать
меры, необходимые и достаточные
для обеспечения выполнения законных обязанностей;·
предоставить Субъекту Данных по его просьбе
информацию, касающуюся обработки его персональных данных;
·
уточнить, блокировать или уничтожить персональные данные в законные сроки;
·
разъяснить Субъекту Данных
юридические последствия отказа предоставить его персональные данные, если их предоставление является обязательным;
· обеспечить выполнение
требований по локализации персональных данных;
· принять правовые, организационные и технические
меры для обеспечения безопасности персональных данных;
·
производит оценку в соответствии с требованиями законодательства России в случае необходимости проведения трансграничной передачи персональных данных;
·
ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области обработки персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами по вопросам обработки персональных данных;
·
проводить оценку возможного вреда Субъектам Данным в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных;
·
уничтожать персональные данные в случае достижения целей их обработки или при наступлении иных законных оснований в сроки, способами и в порядке, который установлен требованиями уполномоченного органа по защите прав субъектов персональных данных;
·
уведомлять уполномоченный орган по защите прав субъектов персональных данных в установленных законом случаях, а также проводить внутренние расследования в случае выявления инцидентов с персональными данными;
·
осуществлять внутренний контроль и аудит соответствия обработки персональных данных в соответствии с требованиями законодательства России;
·
подтверждать уничтожение персональных данных в случаях, предусмотренных законодательством, а также
выполнять иные обязанности, предусмотренные законодательством.5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Компания предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности и конфиденциальности персональных данных в соответствии с требованиями законодательства РФ:
·
назначает DPO;
· разрабатывает и внедряет организационно-распорядительные
документы и иные документы
в области обработки и защиты персональных данных;· вводит режим конфиденциальности в отношении персональных данных и предпринимает меры, ограничивающие круг лиц, имеющих доступ к персональным данным, обрабатываемым Компанией;
·
проводит инструктажи и обучение работников по вопросам обработки персональных данных и мер по их защите;
· обеспечивает
физическую безопасность помещений и мест хранений персональных данных;
·
определяет угрозы безопасности персональных данных при их обработке в информационных системах;
· применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
· обнаруживает и расследует
факты несанкционированного доступа к персональным данным, в том числе реализует меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
·
восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
·
устанавливает правила доступа к персональным данным;
· осуществляет
контроль за принимаемыми мерами по обеспечению
безопасности персональных данных и уровнем защищенности информационных систем;
· применяет
иные правовые, организационные и технические меры по обеспечению безопасности персональных данных.
5.2.
Работники Компании обязаны: • Знакомиться с Политикой и осуществлять обработку данных с соблюдением требований законодательства, Политики и иных локальных актов Компании • Обрабатывать персональные данные исключительно в рамках своих должностных обязанностей, следуя инструкциям по обработке персональных данных • Сохранять конфиденциальность персональных данных и не передавать персональные данные третьим лицам • Выполнять требования и правила по информационной безопасности, установленные в Компании при обработке персональных данных