УТВЕРЖДЕНО
Приказом Генерального директора ООО «ФлексиДрайв»
№ 1/2023 от «29» марта 2023г.
Порядок осуществления субъектом персональных данных прав,
предусмотренных фз №152 «О персональных данных»
ООО «ФлексиДрайв»
Российская Федерация, г. Москва, 2023 г.
1. Назначение и область применения
1.1. Настоящий «Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ № 152 «О персональных данных», (далее - Порядок) утвержден во исполнение «Политики по обработке персональных данных в ООО «ФлексиДрайв», определяет порядок реализации субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» и описывает механизмы взаимодействия ООО «ФлексиДрайв» с ними.
1.2. Настоящий Порядок предназначен для информирования Субъектов ПДн о механизмах реализации их прав, предусмотренных ФЗ № 152 «О персональных данных» и распространяется на все процессы обработки ПДн в Компании.
2. Термины, определения и сокращения
В настоящем документе используются следующие термины, определения и сокращения:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Законный представитель субъекта персональных данных - родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законодательством.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ № 152 «О персональных данных» – Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».
Компания – ООО «ФлексиДрайв».
Ответственный за организацию обработки ПДн – работник Компании, назначенный приказом ответственным за организацию обработки персональных данных (в обязанности входят организация и проведение мероприятий по обеспечению соответствия процессов обработки ПДн законодательным требованиям, обработки обращений субъектов ПДн и запросов уполномоченного органа по защите прав субъектов ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ № 152 «О персональных данных»
3. Права субъекта персональных данных
3.1. В соответствии с ФЗ №152 «О персональных данных» субъект ПДн имеет право:
3.1.1. Получить следующие сведения, касающиеся обработки ПДн в Компании:
– Подтверждение факта обработки ПДн в Компании;
– Правовые основания и цели обработки ПДн;
– Цели и применяемые в Компании способы обработки ПДн;
– Наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
– Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– Сроки обработки ПДн, в том числе сроки их хранения;
– Порядок осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О персональных данных»;
– Информацию об осуществленной или предполагаемой трансграничной передаче данных;
– Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
Приложение A и Приложение B содержат формы запросов субъектов ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.2. Потребовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Приложение C и Приложение D содержат формы требований об уточнении, блокировании или уничтожении ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн. Приложение E и Приложение F содержат формы возражений, подаваемых на бумажном носителе и в виде электронного документа.
3.1.4. Отозвать согласие на обработку ПДн. Приложение G и Приложение H содержат формы отзыва согласий на обработку ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.5. Потребовать прекращение передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения ранее. Форма требования о прекращении передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения, приведена в Приложении I.
4. Порядок осуществления прав
4.1. Обращение субъекта ПДн в Компанию в целях реализации своих прав, установленных ФЗ №152 «О персональных данных», может осуществляться:
– В форме личного обращения (при непосредственном посещении офиса Компании);
– В виде запроса как в письменной, так и в электронной форме.
4.2. При личном обращении субъекта ПДн, ответственным за организацию обработки персональных данных субъекту ПДн выдаются принятые в Компании формы письменных обращений. Форма обращения заполняется субъектом ПДн с проставлением собственноручной подписи в присутствии вышеуказанного работника Компании. Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн; основания, по которым лицо выступает в качестве законного представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.
4.3. К запросам в письменной форме субъектов ПДн относятся любые письменные обращения субъектов ПДн, направленные в адрес Компании, в том числе обращения, отправленные через отделения почтовой связи.
4.4. К запросам в электронной форме относятся обращения (электронные документы), направленные на электронный адрес Компании.
4.5. По требованию субъекта персональных данных Компания обязана прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения ранее, в течение трех рабочих дней с момента получения этого требования субъекта персональных данных.
4.6. Ответ на обращение отправляется субъекту ПДн в том виде и по тому каналу, по которому был получен запрос субъекта ПДн.
4.7. Срок формирования ответа и его направления субъекту ПДн не может превышать тридцати дней с даты получения Компанией обращения.
4.8. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
4.9. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.10. Сведения предоставляются субъекту ПДн в доступной форме и в них не включаются ПДн, относящиеся к другим субъектам ПДн.
5. Зоны ответственности
5.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
– Обработка ПДн осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
– Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма;
– Доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
5.2. В случае, если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн, предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней с момента первоначального запроса*.
5.3. Субъект ПДн вправе направить в Компанию повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.2 в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование его направления.
5.4. Компания вправе мотивированно отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 5.2 и 5.3.
6. Актуализация документа
Настоящий Порядок должен пересматриваться в случае изменения законодательства и регуляторных требований в области обработки ПДн, а также в случае выявления недостатков, свидетельствующих о несовершенстве настоящего Порядка и обнаруживаемых, в том числе, в результате аудитов порядка обработки ПДн.
*Если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.
1.1. Настоящий «Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ № 152 «О персональных данных», (далее - Порядок) утвержден во исполнение «Политики по обработке персональных данных в ООО «ФлексиДрайв», определяет порядок реализации субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» и описывает механизмы взаимодействия ООО «ФлексиДрайв» с ними.
1.2. Настоящий Порядок предназначен для информирования Субъектов ПДн о механизмах реализации их прав, предусмотренных ФЗ № 152 «О персональных данных» и распространяется на все процессы обработки ПДн в Компании.
2. Термины, определения и сокращения
В настоящем документе используются следующие термины, определения и сокращения:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Законный представитель субъекта персональных данных - родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законодательством.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ № 152 «О персональных данных» – Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».
Компания – ООО «ФлексиДрайв».
Ответственный за организацию обработки ПДн – работник Компании, назначенный приказом ответственным за организацию обработки персональных данных (в обязанности входят организация и проведение мероприятий по обеспечению соответствия процессов обработки ПДн законодательным требованиям, обработки обращений субъектов ПДн и запросов уполномоченного органа по защите прав субъектов ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ № 152 «О персональных данных»
3. Права субъекта персональных данных
3.1. В соответствии с ФЗ №152 «О персональных данных» субъект ПДн имеет право:
3.1.1. Получить следующие сведения, касающиеся обработки ПДн в Компании:
– Подтверждение факта обработки ПДн в Компании;
– Правовые основания и цели обработки ПДн;
– Цели и применяемые в Компании способы обработки ПДн;
– Наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
– Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– Сроки обработки ПДн, в том числе сроки их хранения;
– Порядок осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О персональных данных»;
– Информацию об осуществленной или предполагаемой трансграничной передаче данных;
– Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
Приложение A и Приложение B содержат формы запросов субъектов ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.2. Потребовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Приложение C и Приложение D содержат формы требований об уточнении, блокировании или уничтожении ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн. Приложение E и Приложение F содержат формы возражений, подаваемых на бумажном носителе и в виде электронного документа.
3.1.4. Отозвать согласие на обработку ПДн. Приложение G и Приложение H содержат формы отзыва согласий на обработку ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.1.5. Потребовать прекращение передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения ранее. Форма требования о прекращении передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения, приведена в Приложении I.
4. Порядок осуществления прав
4.1. Обращение субъекта ПДн в Компанию в целях реализации своих прав, установленных ФЗ №152 «О персональных данных», может осуществляться:
– В форме личного обращения (при непосредственном посещении офиса Компании);
– В виде запроса как в письменной, так и в электронной форме.
4.2. При личном обращении субъекта ПДн, ответственным за организацию обработки персональных данных субъекту ПДн выдаются принятые в Компании формы письменных обращений. Форма обращения заполняется субъектом ПДн с проставлением собственноручной подписи в присутствии вышеуказанного работника Компании. Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн; основания, по которым лицо выступает в качестве законного представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.
4.3. К запросам в письменной форме субъектов ПДн относятся любые письменные обращения субъектов ПДн, направленные в адрес Компании, в том числе обращения, отправленные через отделения почтовой связи.
4.4. К запросам в электронной форме относятся обращения (электронные документы), направленные на электронный адрес Компании.
4.5. По требованию субъекта персональных данных Компания обязана прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения ранее, в течение трех рабочих дней с момента получения этого требования субъекта персональных данных.
4.6. Ответ на обращение отправляется субъекту ПДн в том виде и по тому каналу, по которому был получен запрос субъекта ПДн.
4.7. Срок формирования ответа и его направления субъекту ПДн не может превышать тридцати дней с даты получения Компанией обращения.
4.8. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
4.9. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.10. Сведения предоставляются субъекту ПДн в доступной форме и в них не включаются ПДн, относящиеся к другим субъектам ПДн.
5. Зоны ответственности
5.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
– Обработка ПДн осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
– Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма;
– Доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
5.2. В случае, если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн, предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней с момента первоначального запроса*.
5.3. Субъект ПДн вправе направить в Компанию повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.2 в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование его направления.
5.4. Компания вправе мотивированно отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 5.2 и 5.3.
6. Актуализация документа
Настоящий Порядок должен пересматриваться в случае изменения законодательства и регуляторных требований в области обработки ПДн, а также в случае выявления недостатков, свидетельствующих о несовершенстве настоящего Порядка и обнаруживаемых, в том числе, в результате аудитов порядка обработки ПДн.
*Если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.
