Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика определяет в обществе с ограниченной ответственностью «Санаторий «Янтарный берег» (далее – Общество),
 как в организации, являющейся оператором персональных данных (далее – Оператор), общие принципы и правила обработки персональных данных, а также состав обрабатываемых Обществом персональных данных и цели их обработки.

1.2. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
 (далее – федеральный закон).

2. Цели обработки и состав
 обрабатываемых персональных данных

2.1. Общество осуществляет обработку следующих категорий персональных данных в соответствующих целях:

2.1.1. Персональные данные, обрабатываемые с целью ведения кадрового
 и бухгалтерского учета:

Сведения о работниках:

• фамилия, имя, отчество;

• число, месяц, год рождения;

• место рождения;

• пол;

• гражданство;

• фотографическое изображение;

• сведения о занимаемой должности;

• данные вида на жительство иностранного гражданина;

• данные паспорта иностранного гражданина, не имеющего гражданства Российской Федерации, но проживающего на территории Российской Федерации (номер, серия, дата выдачи, дата окончания действия, орган, выдавший документ);

• адрес постоянной регистрации;

• адрес фактического проживания;

• адрес временного проживания;

• тип, вид и данные документа, удостоверяющего личность (номер, серия, кем и когда выдан, код подразделения);

• данные свидетельства государственного пенсионного страхования (СНИЛС);

• данные свидетельства о постановке на налоговый учет (ИНН);

• сведения о льготах;

• сведения о повышении квалификации, аттестации;

• сведения об ученых степенях/званиях;

• сведения о профессиональной переподготовке;

• сведения об образовании (наименование образовательного учреждения, номер документа об образовании, квалификация по образованию, дата окончания образовательного учреждения);

• сведения о предыдущих местах работы;

• сведения о социальных выплатах;

• сведения о стимулирующих выплатах;

• сведения о судебных решениях (по исполнительным листам);

• данные реквизитов для перечисления заработной платы;

• данные о начислении заработной платы;

• данные о трудовом стаже;

• данные о вычетах и взносах;

• сведения об инвалидности;

• данные свидетельства о смерти (для выплаты материальной помощи);

• сведения из листов нетрудоспособности (больничных листов);

• данные о наличии/отсутствии судимости;

• сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

• адрес электронной почты;

• контактный телефон (домашний, мобильный, рабочий).

Сведения о ближайших родственниках работников:

• фамилия, имя, отчество;

• число, месяц, год рождения;

• степень родства;

• сведения о месте учебы/работы;

• количество и возраст детей;

• данные свидетельства о рождении детей (серия, номер, номер записи акта, место государственной регистрации, дата выдачи).

2.1.2. Персональные данные, обрабатываемые с целью осуществления санаторно-курортной деятельности, включая осуществление амбулаторно-поликлинической
 и специализированной медицинской помощи, диагностики (УЗД, электрокардиографии, рентгенографии, эндоскопии и др.) и лечения в области общей и специальной медицины, предоставляемого врачами общего профиля и врачами-специалистами:

Сведения о физических лицах – потребителях санаторно-курортных услуг:

• фамилия, имя, отчество;

• пол;

• число, месяц, год рождения;

• адрес фактического проживания;

• адрес временного проживания;

• страна проживания;

• тип, вид и данные документа, удостоверяющего личность (номер, серия, кем и когда выдан, код подразделения);

• место работы;

• сведения о занимаемой должности;

• данные полиса обязательного медицинского страхования (тип, серия, номер);

• данные свидетельства государственного пенсионного страхования (СНИЛС);

• диагноз;

• диагноз из санаторно-курортной карты;

• шифр диагноза по международной классификации болезней;

• связанные истории болезни;

• данные из истории болезни;

• сведения о медицинских назначениях;

• перечень назначенных лечебных процедур;

• вид назначенного лечебного режима;

• наименование поликлиники, номер истории болезни;

• данные больничного листа (дата выдачи);

• сведения о социальном положении (дошкольник, учащийся, безработный, пенсионер);

• сведения о принадлежности к льготным категориям проживающих;

• вид транспортировки (самостоятельно, на коляске);

• данные санаторно-курортной путевки (дата заказа, время заказа, программа лечения, программа лояльности, категория путевки, номер путевки, стоимость путевки);

• тип комнаты (проживание);

• адрес электронной почты.

• контактный телефон (домашний, мобильный, рабочий).

Сведения о плательщиках за оказание санаторно-курортных услуг:

• фамилия, имя, отчество;

• данные документа, удостоверяющего личность (номер, серия, кем и когда выдан, код подразделения);

• сведения о бронировании услуг (номер бронирования, сведения об оплате).

• данные банковских реквизитов.

2.1.3. Персональные данные, обрабатываемые с целью осуществления действий по взаимодействию Общества по вопросам приема обращений граждан, связанных
 с оказанием санаторно-курортных услуг; осуществления обратной связи; улучшения качества работы официального сайта Общества и его содержания:

Сведения о лицах, обратившихся по общим вопросам:

• фамилия, имя, отчество;

• адрес электронной почты (E-mail);

• контактный номер телефона (домашний, мобильный, рабочий).

Сведения о лицах, обратившихся
 по вопросам отмены бронирования санаторно-курортных услуг:

• фамилия, имя, отчество;

• адрес электронной почты (E-mail);

• контактный номер телефона (домашний, мобильный, рабочий).

Сведения о лицах, обратившихся
 по вопросам организации перевозки пассажиров:

• фамилия, имя, отчество;

• адрес электронной почты (E-mail);

• сведения о бронировании услуг (номер бронирования);

• данные железнодорожных и авиабилетов (номер рейса, дата, время, место прибытия);

• контактный номер телефона (домашний, мобильный, рабочий).

2.1.4. Персональные данные, обрабатываемые с целью осуществления деятельности, связанной с планированием и осуществлением закупок товаров, работ, услуг; заключения и фиксирования договоров (контрактов) на оказание услуг и (или) выполнение работ, поставку товара, с предоставлением сведений для оплаты договоров на оказание услуг и (или) выполнение работ:

Сведения о физических лицах, заключивших договоры
 на оказание услуг и (или) выполнение работ:

• фамилия, имя, отчество;

• число, месяц, год рождения;

• адрес постоянной регистрации;

• паспортные данные (номер, серия, кем и когда выдан; код подразделения);

• данные свидетельства о постановке на налоговый учет (ИНН);

• данные банковских реквизитов;

• данные договора об оказании услуг (дата, номер);

• сведения о стоимости договора;

• адрес электронной почты;

• контактный телефон (мобильный, рабочий).

Сведения об индивидуальных предпринимателях, заключивших договоры
 на оказание услуг и (или) выполнение работ

• фамилия, имя, отчество;

• адрес постоянной регистрации;

• данные свидетельства о постановке на налоговый учет (ИНН);

• данные свидетельства о внесении записи в ЕГРИП (серия, номер, дата выдачи);

• данные банковских реквизитов;

• данные договора об оказании услуг (дата, номер);

• сведения о стоимости договора;

• адрес электронной почты;

• контактный телефон (мобильный, рабочий).

2.1.5. Персональные данные, обрабатываемые с целью осуществления деятельности по бронированию санаторно-курортных услуг; осуществления деятельности по оказанию гостиничных услуг; осуществления деятельности столовых при предприятиях и учреждениях; предоставление туристических информационных услуг, организации продажи путевок и курсовок, организация туристической деятельности; предоставление туристических экскурсионных услуг:

Сведения о лицах, бронирующих санаторно-курортные услуги:

• фамилия, имя, отчество;

• город фактического проживания;

• адрес электронной почты (E-mail);

• контактный номер телефона (домашний, мобильный, рабочий).

Сведения о лицах, обратившихся
 по вопросам отмены бронирования санаторно-курортных услуг:

• фамилия, имя, отчество;

• адрес электронной почты (E-mail);

• контактный номер телефона (домашний, мобильный, рабочий).

Сведения о плательщиках за оказание санаторно-курортных услуг:

• фамилия, имя, отчество;

• данные документа, удостоверяющего личность (номер, серия, кем и когда выдан, код подразделения);

• сведения о бронировании услуг (номер бронирования, сведения об оплате).

• данные банковских реквизитов.

3. Принципы обработки персональных данных

3.1. Общество осуществляет обработку персональных данных на законной
 и справедливой основе, в составе, достаточном и необходимом для достижения заявленных целей обработки.

3.2. Правовым основанием для обработки персональных данных в Обществе является конкретное, предметное, информированное, сознательное и однозначное согласие субъекта персональных данных (далее – Субъект) на обработку персональных данных, предоставляемое Субъектом Обществу свободно, своей волей и в своем интересе, в любой форме, позволяющей подтвердить факт его получения.

3.3. Обработка персональных данных без согласия Субъекта (в том числе
 в случае отзыва или истечения срока действия такого согласия) в Обществе не осуществляется, за исключением случаев, в которых возможность такой обработки установлена Трудовым кодексом Российской Федерации и (или) федеральным законодательством.

3.4. Общество в установленном федеральным законом порядке уведомляет уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Калининградской области) об осуществлении обработки персональных данных, об условиях, целях и способах такой обработки, о составе обрабатываемых персональных данных и о принимаемых мерах защиты персональных данных, а также об изменении данных сведений.

3.5. Общество самостоятельно принимает меры по обеспечению достаточности, точности и актуальности обрабатываемых персональных данных по отношению к целям их обработки.

3.6. Обработка персональных данных в Обществе осуществляется как автоматизированным способом в информационных системах персональных данных, так и без использования средств автоматизации.

4. Получение и обработка персональных данных

4.1. Все обрабатываемые персональные данные Общество получает непосредственно от Субъекта, либо от третьих лиц с согласия Субъекта.

4.2. В случае, если Субъект не обладает полной гражданской дееспособностью по причине несовершеннолетия, установления над ним опеки или попечительства, либо в связи с обстоятельствами иного характера, Общество вправе получить персональные данные Субъекта от его законного представителя, при этом законный представитель самостоятельно принимает решение о предоставлении персональных данных Субъекта и дает Обществу согласие на их обработку от своего имени.

4.3. При получении персональных данных от законного представителя Субъекта Общество имеет право и обязано проверить полномочия законного представителя на передачу персональных данных Субъекта и предоставления согласия на их обработку.

4.4. Субъект либо его законный представитель имеют право по собственному желанию отозвать свое согласие на обработку персональных данных, уведомив об этом Общество в письменном заявлении. Отзыв согласия на обработку персональных данных равнозначен требованию прекращения обработки таких данных. Общество обязуется прекратить обработку персональных данных Субъекта с момента поступления заявления об отзыве согласия на их обработку.

4.5. В случае, если Общество поручает обработку персональных данных стороннему лицу, Общество обязуется заключить с таким лицом договор либо контракт о поручении осуществлять обработку персональных данных, а передачу персональных данных для такой обработки осуществлять исключительно с отдельно оформленного согласия Субъекта, если иной порядок не предусмотрен федеральным законом.

Общество несет ответственность перед Субъектом за действия лица, которому поручена обработка персональных данных.

4.6. Перед получением персональных данных Субъекта у третьей стороны, Общество обязуется уведомить Субъекта о данном намерении. Получение персональных данных у третьей стороны допускается исключительно с письменного согласия Субъекта, оформленного отдельно.

4.7. Вступая в договорные отношения с Субъектом, Общество не вправе включать в договор или контракт положения, прямо или косвенно ограничивающие предусмотренные федеральным законом права Субъекта.

4.8. Общество не осуществляет обработку персональных данных о частной жизни, политических, религиозных и иных убеждениях, членстве в общественных объединениях или его профсоюзной деятельности Субъектов.

4.9. Общество осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных исключительно с использованием баз данных, размещенных на территории Российской Федерации.

5. Хранение персональных данных

5.1. Общество осуществляет хранение персональных данных как на бумажных (материальных), так и на электронных носителях информации.

5.2. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.

6. Передача персональных данных

6.1. При передаче персональных данных третьим сторонам Общество руководствуется следующими принципами:

• персональные данные передаются третьей стороне исключительно
   с письменного согласия Субъекта, за исключением случаев, когда это необходимо
   в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных Трудовым кодексом и федеральным законодательством;

• лица, получающие персональные данные Субъекта, обязуются соблюдать требования к конфиденциальности персональных данных и использовать персональные данные только в тех целях, для которых они сообщены;

• передача персональных данных в коммерческих целях без письменного согласия Субъекта не осуществляется;

• персональные данные Субъекта могут быть переданы его законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, в составе, достаточном и необходимом для выполнения указанными представителями их функций;

• запросы третьих лиц на получение у Общества персональных данных Субъектов регистрируются в целях контроля правомерности использования данной информации получившими ее лицами.

6.2. Общество имеет право без согласия Субъекта передавать его персональные данные третьим лицам по их запросу, в случае если права и обязанности таких лиц по доступу к персональным данным установлены федеральным законодательством.

7. Распространение персональных данных

7.1. Размещение персональных данных Субъектов в общедоступных источниках (в том числе на веб-сайтах и информационных стендах), а равно распространение таких персональных данных неограниченному кругу лиц, осуществляется Обществом исключительно с отдельно оформленного письменного согласия Субъекта на обработку персональных данных, разрешенных для распространения, предусматривающего возможность установления Субъектом условий и запретов, связанных с распространением его персональных данных.

7.2. Согласие на распространение персональных данных Общество получает непосредственно от Субъекта.

7.3. Общество обязуется прекратить распространение персональных данных в случае поступления от Субъекта соответствующего требования.

7.4. Установленные Субъектом условия и запреты на обработку персональных данных, разрешенных для распространения, недействительны в случае, если распространение персональных данных неограниченному кругу лиц осуществляется
 в государственных интересах, определенных законодательством Российской Федерации.

7.5. Размещение изображений Субъекта, включая фотографии, видеозаписи, произведения изобразительного искусства, на официальном сайте Общества допускается без согласия Субъекта в следующих случаях:

• использование изображения осуществляется в государственных, общественных или иных публичных интересах;

• изображение Субъекта получено при съемке, проведенной в местах свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования.

7.6. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги, другие документы), в которые с согласия Субъекта могут быть включены его персональные данные.

7.7. Общество обязуется в любое время исключить сведения о Субъекте
 из общедоступных источников персональных данных по требованию Субъекта либо
 по решению суда или иных уполномоченных органов.

8. Уничтожение персональных данных

8.1. Уничтожение персональных данных в Обществе осуществляется
 в течение 3 (трех) дней с момента выполнения одного из следующих условий:

• достижения цели обработки персональных данных;

• утраты необходимости в достижении цели обработки персональных данных;

• отзыва Субъектом согласия на обработку своих персональных данных;

• поступления требования от Субъекта или уполномоченного органа по защите прав субъектов персональных данных в случае выявления неправомерных действий
   с персональными данными, когда устранить соответствующие нарушения
   не представляется возможным.

8.2. Уничтожение персональных данных осуществляется по решению созданной в Обществе комиссии. При уничтожении персональных данных оформляется акт об уничтожении с подписью ответственных за уничтожение лиц.

8.3. Хранение актов об уничтожении персональных данных осуществляется течение 3 (трех) лет. По истечении срока хранения уничтожение таких актов осуществляется в срок, указанный в п. 8.1, при этом повторно акты об уничтожении на содержащиеся в них персональные данные не составляются.

8.4. Равнозначным акту об уничтожении персональных данных на бумажном носителе является акт об уничтожении в электронной форме, подписанный электронной подписью в соответствии с законодательством Российской Федерации.

8.5. В случае отсутствия возможности уничтожения персональных данных
 в течение срока, указанного в п. 8.1, Общество осуществляет блокирование таких персональных данных и обеспечивает их дальнейшее уничтожение в срок не более чем 6 (шесть) месяцев.

8.6. Документы, содержащие персональные данные, подлежат хранению
 и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

8.7. После уничтожения персональных данных Общество в течение десяти рабочих дней направляет Субъекту уведомление об уничтожении персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, направляет уведомление
 об уничтожении персональных данных в уполномоченный орган по защите прав субъектов персональных данных.

9. Обеспечение безопасности персональных данных

9.1. Общество принимает организационные и технические меры по обеспечению безопасности обрабатываемых персональных данных в соответствии
 с требованиями федерального законодательства в области защиты информации,
 а также нормативных и руководящих документов Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России)
 и Федеральной службы безопасности Российской Федерации (далее – ФСБ России).

9.2. Организационные меры по защите персональных данных, принимаемые Общество, включают:

• назначение из числа работников Общества лиц, ответственных
   за выполнение организационных и технических мероприятий по защите персональных данных;

• издание локальных нормативных актов и организационно-распорядительных документов, регламентирующих порядок обеспечения безопасности персональных данных, права, обязанности, ответственность и порядок действий работников, непосредственно задействованных в обработке персональных данных, с обязательным ознакомлением таких лиц с данными документами;

• заключение с работниками, осуществляющими обработку персональных данных, соглашения о неразглашении персональных данных, ставших известными таким работниками при исполнении должностных обязанностей;

• заключение со сторонними организациями, осуществляющими обработку персональных данных по поручению Общества, договоров поручения на обработку персональных данных, содержащих положения, регламентирующие обязанности
   и ответственность таких организаций в части обеспечения конфиденциальности персональных данных;

• проведение периодических внутренних проверок информационной безопасности;

• проведение регулярного инструктажа работников, задействованных
   в обработке персональных данных, в части правил обработки и защиты персональных данных.

9.3. Технические меры по защите персональных данных, принимаемые Обществом, включают:

• выявление актуальных угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии
   с нормативными и методическими документами ФСТЭК России;

• обеспечение физической защиты помещений, в которых осуществляется обработка персональных данных, от несанкционированного проникновения;

• обеспечение защиты технических средств информационных систем персональных данных и материальных носителей персональных данных
   от воздействия негативных факторов природного и техногенного характера;

• разграничение прав доступа работников к обрабатываемым персональным данным в соответствии с локальными нормативными актами Общества;

• применение средств криптографической защиты информации, прошедших процедуру сертификации по требованиям ФСБ и ФСТЭК России, при передаче персональных данных по сети Интернет;

• применение средств защиты информации от несанкционированного доступа, прошедших процедуру сертификации по требованиям ФСТЭК России;

• применение средств антивирусной защиты обеспечения с целью выявления
   и предотвращения реализации угроз безопасности информации, связанных
   с использованием вредоносного программного обеспечения;

• обеспечение внутриобъектового и пропускного режима на территории Общества.

10. Обработка персональных данных
 на официальном сайте Общества

10.1. Под официальным веб-сайтом Общества (далее – Официальный сайт)
 в рамках настоящей Политики подразумевается совокупность информационных ресурсов, доступных в сети Интернет по протоколу https на домене yantarbereg.ru
 и всех его поддоменах.

10.2. Обработка персональных данных с помощью Официального сайта осуществляется с целью:

• взаимодействия с гражданами и иными лицами по вопросам деятельности Общества;

• бронирования санаторно-курортных услуг;

• отмены бронирования санаторно-курортных услуг;

• регистрации заявок на организацию перевозки пассажиров;

• получения медицинской консультации.

10.3. Субъектами персональных данных, обрабатываемых с помощью Официального сайта, являются физические лица (далее – Пользователи), самостоятельно инициирующие обращение к Официальному сайту с помощью средств вычислительной техники и получающие доступ к размещенным на нем публичным информационным ресурсам.

10.4. Общество осуществляет обработку персональных данных Пользователей
 в следующем составе:

• фамилия; имя; отчество;

• адрес электронной почты;

• контактный номер (домашний, мобильный, рабочий);

• паспортные данные (номер, серия, кем и когда выдан; код подразделения);

• фотографическое изображение;

• сведения о бронировании услуг (номер бронирования, сведения об оплате);

• данные об оплате услуг;

• данные железнодорожных и авиабилетов (номер рейса, дата, время, место прибытия);

• сведения о предпочтениях Пользователя и его поведении на Официальном сайте, а также статистические данные, получаемые посредством использования сервиса сбора интернет-статистики «Яндекс.Метрика»;

• обезличенные данные об идентификации технических средств пользователя
   и параметрах подключения к сетям общего пользования, автоматически получаемые при подключении Пользователя к Официальному сайту.

10.5. Пользователи Официального сайта самостоятельно осуществляют передачу Обществу своих персональных данных, за исключением статистических
 и обезличенных, путем заполнения специализированных форм отправки персональных данных, размещенных на Официальном сайте.

10.6. Получение статистических и обезличенных персональных данных Пользователей осуществляется в автоматическом режиме.

10.7. Общество обязано разместить на Официальном сайте в открытом доступе:

• настоящую Политику;

• текст согласия Пользователя на обработку его персональных данных.

10.8. Каждая специализированная форма сбора персональных данных, размещенная на Официальном сайте, снабжена гиперссылками, позволяющими пользователям ознакомиться с настоящей Политикой и текстом согласия Пользователя на обработку персональных данных.

Пользователь, получая доступ к Официальному сайту, обязуется ознакомиться
 с указанными документами и прекратить использование Официального сайта в случае своего несогласия с настоящей Политикой либо отказа предоставить согласие
 на обработку своих персональных данных в соответствии с опубликованной
 на Официальном сайте формой такого согласия.

10.8. Обрабатывая персональные данные Пользователей, Общество предполагает, что Пользователь сознательно использует Официальный сайт от своего имени, указывает достоверные сведения о себе в объеме, не превышающем предусмотренный специализированными формами, сознательно определяет
 и контролирует параметры используемого им программного обеспечения, а также ознакомился и имеет возможность в любой момент ознакомиться с настоящей Политикой.

10.9. Ответственность за правомерность предоставления и достоверность предоставляемых Обществу персональных данных несет исключительно Пользователь, поскольку Общество не проводит мероприятий по установлению личности Пользователя или проверке достоверности его персональных данных.

10.10. Срок обработки персональных данных, полученных через Официальный сайт, составляет 30 (тридцать) рабочих дней со дня получения персональных данных, включительно, в течение которых Общество осуществляет рассмотрение полученного обращения (заявки).

Обработка персональных данных при оказании услуг по результату рассмотрения полученного обращения (заявки), осуществляется на основании отдельного письменного согласия субъекта персональных данных, которое может предусматривать иные сроки обработки персональных данных.

11. Права, обязанности и ответственность
 субъектов персональных данных

11.1. Субъект имеет право:

• обращаться к Обществу с целью получения информации, касающейся обработки его персональных данных, и получать такую информацию в составе, установленном федеральным законом;

• требовать от Общества уточнения, блокирования или уничтожения своих персональных данных, а также, в случае необходимости, уведомления об этом лиц, которым персональные данные были сообщены;

• дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

• получать безвозмездный доступ с целью ознакомления к своим персональным данным, за исключением случаев, предусмотренных п. 8 ст. 14 федерального закона;

• обжаловать действия или бездействие Общества в части обработки
   и защиты персональных данных в уполномоченном органе по защите прав субъектов персональных данных либо в судебном порядке;

• на защиту своих прав и законных интересов, включая возмещение материального и морального ущерба, в случае если такие права и интересы были нарушены вследствие нарушения Обществом требований по обработке и защите персональных данных.

11.2. Субъект, предоставляя свои персональные данные Обществу, несет ответственность за их актуальность, точность и достаточность относительно заявленных Обществом целей их обработки.

11.3. Субъект обязуется своевременно уведомлять Общество об изменении сведений, составляющих его персональные данные.

12. Обязанности Общества
 при работе с персональными данными

12.1. При получении персональных данных не от Субъекта Общество
 до начала обработки таких персональных данных обязуется предоставить Субъекту следующую информацию:

• наименование либо фамилию, имя, отчество и адрес оператора персональных данных или его представителя;

• цель обработки получаемых персональных данных;

• правовое основание обработки персональных данных;

• перечень получаемых персональных данных;

• список предполагаемых пользователей персональных данных;

• установленные федеральным законом права Субъекта;

• источник получения персональных данных.

12.2. В случае установления Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов (далее – инцидент), Общество обязано в сроки, предусмотренные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
 от 14 ноября 2022 г. № 187, предоставить в уполномоченный орган по защите прав субъектов персональных данных сведения об инциденте и о результатах внутреннего расследования, проведенного по итогам инцидента.

13. Ответственность за нарушение норм,
 регулирующих обработку и защиту персональных данных

13.1. Моральный вред, причиненный Субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с федеральным законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Субъектом убытков.

13.2. Лица, виновные в нарушении норм, регулирующих получение, обработку
 и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами Российской Федерации, а также привлекаются
 к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральным законодательством Российской Федерации.

13.3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных изложена в:

• Кодексе об административных правонарушениях Российской Федерации;

• Уголовном Кодексе Российской Федерации;

• Трудовом Кодексе Российской Федерации.

14. Заключительные положения

14.1. Настоящая Политика не заменяет собой требований действующего законодательства Российской Федерации, нормативных и правовых актов органов государственной власти Российской Федерации, руководящих и методических документов в сфере обработки персональных данных и защиты информации. В случае, если данные требования, при их изменении, вступают в противоречие с отдельными положениями настоящей Политики, такие положения не подлежат применению.

14.2. Актуализация настоящей Политики осуществляется на периодической основе по решению Общества. Новая редакция Политики вступает в силу с момента ее опубликования Обществом.